TLDR
- Hack The Box non è solo macchine da compromettere: le Sherlocks allenano indagine, priorità e lettura dei log.
- Il blue team parte da domande diverse: cosa è successo, quando, con quali prove, quale impatto.
- Strumenti come Zeek e Sigma aiutano a trasformare traffico e log in segnali riutilizzabili.
- Per imparare bene serve una timeline, non una collezione di screenshot.
Non sempre devi entrare
A volte devi capire chi è entrato.
Questa è la differenza mentale tra molte macchine offensive e una buona indagine blue team. Nel primo caso cerchi la strada. Nel secondo arrivi quando la strada è già stata percorsa, piena di impronte, rumore, falsi segnali e pezzi mancanti.
Hack The Box descrive le Sherlocks come laboratori investigativi su incidenti simulati: log, indizi, priorità, dinamiche dell'attacco. È un formato potente perché rompe l'idea che la cybersecurity sia solo "pwnare".
La parte più difficile spesso arriva dopo.
La domanda cambia
Nel red team la domanda classica è: posso arrivare da qui a lì?
Nel blue team la domanda diventa: cosa dimostrano davvero questi dati?
Non è una differenza estetica. Cambia tutto.
Un indirizzo IP da solo non basta.
Un alert da solo non basta.
Un file sospetto da solo non basta.
Serve una catena: evento, tempo, contesto, sorgente, impatto, confidenza. Devi capire se stai guardando l'attacco, un effetto collaterale, una configurazione normale o un falso positivo rumoroso.
Perché Sherlocks funziona
Le Sherlocks funzionano perché trasformano la sicurezza in detective work tecnico.
Non devi premere il pulsante giusto. Devi ricostruire.
Questo costringe a sviluppare muscoli diversi:
- leggere log senza saltare subito alla conclusione;
- distinguere tempo di compromissione e tempo di rilevamento;
- capire quali eventi sono causa e quali effetto;
- collegare host, account, processi e rete;
- spiegare il percorso dell'attaccante senza inventare pezzi;
- scrivere una risposta che un'altra persona possa verificare.
È meno adrenalinico di una flag trovata all'ultimo minuto.
È più vicino al lavoro reale.
Zeek: quando la rete diventa diario
Zeek è un riferimento importante perché non nasce come firewall che blocca tutto.
È un network security monitor: osserva traffico e produce log ricchi, pensati per analisi e caccia. Connessioni, DNS, HTTP, file, certificati, eventi. Non ti dice automaticamente "sei salvo" o "sei morto".
Ti dà materiale.
Questa distinzione è fondamentale per chi studia con Sherlocks o lab simili. Un log non è una risposta. È un pezzo di realtà ridotto a righe, campi e timestamp.
Il lavoro è capire quali righe stanno raccontando la stessa storia.
Sigma: scrivere il sospetto in modo portabile
Sigma risponde a un altro problema: come descrivere un comportamento rilevante senza legarsi subito a un solo SIEM?
La sua promessa è semplice: un formato aperto e strutturato per condividere detection.
In un percorso blue team, Sigma è utile anche se non scrivi regole perfette. Ti obbliga a pensare in termini di:
- logsource;
- selezione;
- filtri;
- falsi positivi;
- livello di severità;
- comportamento da cercare.
In pratica, ti fa passare da "questa cosa mi puzza" a "questa condizione è osservabile".
È un salto enorme.
Il quaderno dell'incidente
Se vuoi imparare davvero, prendi appunti come se dovessi consegnare il caso a qualcuno domani.
Non basta salvare screenshot.
Per ogni evento importante, scrivi:
- timestamp;
- sorgente del dato;
- cosa hai visto;
- perché potrebbe contare;
- cosa lo conferma;
- cosa potrebbe smentirlo;
- quale domanda apre.
La timeline è il tuo filo.
Senza timeline, l'indagine diventa una stanza piena di post-it urlanti.
Errori da principiante blue team
Il primo errore è innamorarsi del primo alert.
Un alert è un indizio, non una sentenza.
Il secondo è cercare solo malware. Molti incidenti passano da credenziali valide, servizi esposti, token, OAuth, configurazioni sbagliate, strumenti amministrativi legittimi.
Il terzo è ignorare i falsi positivi. Non sono una perdita di tempo: sono parte del lavoro. Se non li studi, non saprai mai quanto fidarti del segnale.
Il quarto è non scrivere. La memoria durante un'indagine mente con eleganza. Ti convince che hai visto una cosa "prima" o "dopo". I timestamp sono meno romantici, ma più utili.
Un percorso sensato
Per iniziare, non servono dieci tool.
Serve una routine.
Scegli un laboratorio investigativo. Leggi lo scenario. Non correre alle domande finali. Apri gli artefatti, costruisci una timeline grezza, identifica gli host, segna gli account, cerca eventi fuori posto.
Poi fai una seconda passata.
Nella prima guardi tutto.
Nella seconda cerchi relazioni.
Nella terza scrivi la storia.
Questa è la parte che crea competenza: trasformare log sparsi in una narrazione verificabile.
Il lato bello del blue team
Il blue team ha un fascino meno rumoroso.
Non vince perché "entra".
Vince quando capisce abbastanza presto da fermare il danno, abbastanza bene da spiegare cosa è successo, abbastanza chiaramente da evitare che succeda identico la settimana dopo.
Le Sherlocks sono interessanti proprio per questo: ti allenano a guardare il cratere, non solo l'esplosione.
E in sicurezza, spesso, il cratere racconta più della fiamma.
FAQ
Cosa sono le Hack The Box Sherlocks?
Sono laboratori investigativi hands-on che simulano incidenti di sicurezza: invece di compromettere un target, devi analizzare indizi, log e dinamiche dopo l'attacco.
Sherlocks è blue team?
Sì, il focus è difensivo: triage, analisi, priorità, timeline, log e comprensione dell'incidente.
Serve saper usare Kali per le Sherlocks?
Non necessariamente. Aiuta avere familiarità con Linux e strumenti security, ma qui contano soprattutto metodo, lettura dei dati e capacità di collegare eventi.
Che differenza c'è tra CTF e incident response?
Una CTF spesso punta alla flag. L'incident response punta a ricostruire cosa è successo, ridurre danno, preservare evidenze e migliorare controlli.
Zeek e Sigma sono obbligatori?
No, ma sono ottimi riferimenti mentali: Zeek produce log di rete ricchi, Sigma aiuta a descrivere comportamenti rilevanti in modo condivisibile tra strumenti.