Nel 2025, il tempo medio di rilevamento di una violazione in Italia è stato di 207 giorni (fonte: IBM Cost of Data Breach 2025). Un SIEM riduce questo tempo a meno di 24 ore. BullTech Informatica, MSP dal 2009 a Vimercate (MB), ha implementato SIEM e soluzioni di security monitoring per oltre 30 aziende B2B. In questa guida ti spiego cos'è un SIEM, quando serve davvero e quando invece basta qualcosa di più semplice.
Cos'è un SIEM e perché dovresti preoccupartene
SIEM sta per Security Information and Event Management. In parole povere: è un sistema che raccoglie i log da tutti i dispositivi della tua rete — firewall, server, endpoint, applicazioni cloud, Active Directory — e li correla per trovare comportamenti sospetti. Pensa al SIEM come a un detective che legge migliaia di rapporti al giorno e trova il pattern che nessun umano noterebbe.
Un esempio pratico: un utente accede da Milano alle 9:00 e poi dalla Romania alle 9:15. Un singolo log non dice niente. Il SIEM correla i due eventi e genera un alert: "impossible travel detected". Senza SIEM, quel login dalla Romania sarebbe passato inosservato per settimane — forse mesi.
Il problema è che per anni il SIEM è stato un giocattolo da enterprise. Costava centinaia di migliaia di euro, richiedeva un team SOC dedicato e generava più falsi positivi che alert utili. Oggi le cose sono cambiate: esistono SIEM cloud, SIEM managed e alternative come XDR che rendono la cybersecurity per aziende a Milano e in tutta la Lombardia accessibile anche alle PMI.
SIEM vs SOAR vs XDR: il confronto che ti serve
Prima di comprare qualcosa, devi capire cosa ti serve davvero. Ecco le differenze concrete tra SIEM, SOAR e XDR — senza marketing.
| Aspetto | SIEM | SOAR | XDR |
|---|---|---|---|
| Funzione principale | Raccolta log, correlazione, alerting | Orchestrazione e automazione risposte | Detection & response cross-layer |
| Fonti dati | Qualsiasi (syslog, API, agent) | Riceve alert da SIEM/XDR | Endpoint, email, identity, cloud |
| Automazione | Limitata (regole/playbook base) | Avanzata (workflow complessi) | Integrata (risposta automatica) |
| Complessità | Alta (richiede tuning continuo) | Molto alta (richiede SOC maturo) | Media (più out-of-the-box) |
| Costo PMI (50 endpoint) | 500-2.000 €/mese | 1.000-3.000 €/mese | 250-750 €/mese |
| Team richiesto | Analisti SOC o MSP | SOC maturo con automation engineer | IT interno + MSP |
| Compliance NIS2 | Ottimo (log retention, audit trail) | Buono (incident response documentato) | Sufficiente (limitato su log retention) |
| Ideale per | PMI 100+ utenti o compliance NIS2 | Enterprise 500+ utenti con SOC | PMI 10-200 utenti |
La morale della favola: se hai meno di 100 utenti e non sei soggetto NIS2, un XDR/EDR ben configurato probabilmente ti basta. Se sei soggetto NIS2 o hai più di 100 utenti, il SIEM diventa quasi obbligatorio. Il SOAR? Lascialo alle enterprise con un SOC interno strutturato. Per un confronto più dettagliato tra SIEM, XDR e le diverse architetture di security monitoring, leggi anche la nostra guida completa al SIEM per aziende.
Le migliori soluzioni SIEM per PMI
Non ti faccio la lista di 20 tool con le stelline. Ti dico le 4 soluzioni che vediamo funzionare nelle PMI che seguiamo, con pregi e difetti reali.
Microsoft Sentinel
SIEM cloud-native di Microsoft, integrato nell'ecosistema Azure/M365. Se la tua azienda usa già Microsoft 365 e Azure AD (ora Entra ID), Sentinel è la scelta naturale: i log di M365, Entra ID e Defender si ingeriscono con pochi click e molti sono gratuiti. Il modello pay-per-GB è flessibile ma può diventare costoso se non controlli il volume di log. Per una PMI con 50 endpoint: 500-1.500 €/mese. Il vero costo nascosto è il tuning delle regole — servono competenze Kusto Query Language (KQL).
Splunk
Il re dei SIEM enterprise. Potentissimo, con migliaia di integrazioni e una community enorme. Ma è costoso — parliamo di 15.000-50.000 €/anno per una PMI — e richiede competenze dedicate. La versione cloud (Splunk Cloud) ha semplificato il deployment, ma il prezzo resta proibitivo per la maggior parte delle PMI italiane. Ha senso se hai 200+ endpoint e un budget security dedicato.
Wazuh (open source)
Wazuh è la soluzione open source più completa: combina SIEM, XDR e vulnerability detection in un'unica piattaforma. Licenza gratuita, community attiva, buona documentazione. Il rovescio della medaglia: devi installarlo e mantenerlo tu. Servono competenze Linux, Elasticsearch/OpenSearch e security operations. Per una PMI con un sistemista senior esperto di security, Wazuh è un'opzione eccellente. Per tutte le altre, rischi di avere un SIEM installato ma non monitorato — che è peggio di non averlo.
Elastic Security
Elastic (quelli di Elasticsearch) ha costruito una suite SIEM/XDR sopra il suo stack. Ottimo per chi ha già Elasticsearch in casa. Il free tier è generoso, ma le funzionalità SIEM avanzate (machine learning, threat intelligence) richiedono la licenza Platinum o Enterprise (da 5.000 €/anno). Buon compromesso tra Wazuh (troppo manuale) e Sentinel (troppo legato a Microsoft).
| Soluzione | Tipo | Costo PMI (50 ep.) | Pro | Contro |
|---|---|---|---|---|
| Microsoft Sentinel | Cloud | 500-1.500 €/mese | Integrazione M365, pay-per-GB | Costi imprevedibili, KQL richiesto |
| Splunk | Cloud/On-prem | 15.000-50.000 €/anno | Potenza, integrazioni, community | Costoso, complesso |
| Wazuh | Open source | 0 € licenza + tempo | Gratuito, completo, flessibile | Richiede competenze, manutenzione |
| Elastic Security | Cloud/On-prem | 0-5.000 €/anno | Stack unificato, free tier generoso | SIEM avanzato solo in licenza Platinum |
Quanto costa un SIEM: i numeri veri
Te lo dico chiaro perché sono allergico ai "contattaci per un preventivo". Per una PMI con 30-100 endpoint, le opzioni sono tre:
- SIEM self-managed (Wazuh/Elastic): 0 € di licenza, ma servono 500-1.000 ore/anno di gestione interna. Se il tuo sistemista costa 30 €/ora, sono 15.000-30.000 €/anno di tempo nascosto. Più un server dedicato (2.000-5.000 €).
- SIEM cloud (Sentinel/Splunk): 6.000-50.000 €/anno di licenza a consumo. Più 5.000-15.000 €/anno per il tuning e la gestione delle regole (se fai tutto in-house).
- SIEM managed (MSP): 3.000-8.000 €/mese tutto incluso — piattaforma, monitoraggio 24/7, analisti, incident response, reportistica NIS2. È più costoso mensilmente, ma non hai sorprese e non devi assumere analisti SOC.
Per la stragrande maggioranza delle PMI italiane, il SIEM managed è la scelta migliore. Non perché lo vendo io — perché un SIEM senza nessuno che guarda gli alert è come una telecamera di sicurezza spenta.
Implementazione step-by-step per PMI
Se hai deciso che ti serve un SIEM (managed o meno), ecco come lo implementiamo noi in BullTech.
Fase 1: Assessment e use case (settimana 1)
Prima di toccare qualsiasi tool, mappiamo le fonti di log: quanti firewall, quanti server, quanti endpoint, quali applicazioni cloud. Poi definiamo le use case — cioè cosa vuoi rilevare. Per una PMI, le use case fondamentali sono: login anomali, impossible travel, brute force, malware detection, accesso fuori orario, privilege escalation. Non servono 200 regole: ne bastano 15-20 fatte bene.
Fase 2: Deployment e connessione fonti (settimana 2)
Installiamo gli agent sugli endpoint (o configuriamo il syslog forwarding per firewall e switch). Connettiamo le fonti cloud: Microsoft 365, Entra ID, eventualmente AWS o Google Workspace. Per chi usa soluzioni di sicurezza gestite da BullTech, questa fase è particolarmente veloce perché abbiamo già accesso agli ambienti.
Fase 3: Tuning e riduzione falsi positivi (settimana 3-4)
Questa è la fase che distingue un SIEM che funziona da uno che nessuno guarda. I primi giorni dopo il deployment, il SIEM genera centinaia di alert. Il 90% sono falsi positivi: il backup notturno che sembra un data exfiltration, il software update automatico che sembra un malware download. Li filtriamo uno per uno, creiamo le whitelist, affiniamo le regole. Dopo 2-3 settimane, gli alert diventano gestibili e rilevanti.
Fase 4: Operatività e miglioramento continuo
Il SIEM è operativo. Un analista monitora gli alert, investiga quelli sospetti, scala quelli critici. Ogni mese rivediamo le regole, aggiungiamo nuove use case basate sulle minacce emergenti e generiamo i report per la compliance. È un lavoro continuo, non un progetto one-shot.
Quando basta un XDR o MDR (e non serve il SIEM)
Diciamocelo: non tutte le PMI hanno bisogno di un SIEM. Se hai meno di 50 endpoint, usi solo Microsoft 365, non sei soggetto NIS2 e non gestisci dati particolarmente sensibili, un EDR/XDR come Microsoft Defender for Business (2,50 €/utente/mese) o CrowdStrike Falcon Go (5 €/endpoint/mese) copre già il 80% delle tue esigenze di detection.
Aggiungi un servizio MDR (Managed Detection and Response) e hai qualcuno che monitora gli alert 24/7 a una frazione del costo di un SIEM completo. Il SIEM diventa necessario quando devi correlare log da fonti diverse (non solo endpoint), mantenere log retention per compliance, o quando la complessità della tua infrastruttura supera quello che un XDR può gestire.
SIEM e NIS2: cosa devi sapere
La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, impone ai soggetti essenziali e importanti una serie di obblighi di cybersecurity. Non dice esplicitamente "devi avere un SIEM", ma richiede:
- Monitoring degli incidenti: devi avere la capacità di rilevare incidenti di sicurezza. Un SIEM è lo strumento principale per farlo.
- Log retention: devi conservare i log per un periodo adeguato (tipicamente 12-24 mesi). Il SIEM gestisce nativamente la retention.
- Incident response: devi poter rispondere agli incidenti in tempi definiti (24 ore per la notifica iniziale). Senza detection automatica, è impossibile.
- Reportistica: devi produrre evidenze di compliance. I dashboard del SIEM generano i report che ti servono.
Se sei un soggetto NIS2 e non hai un SIEM o almeno un XDR con log retention, sei esposto sia al rischio cyber che al rischio sanzioni. BullTech ha aiutato diverse PMI a raggiungere la compliance NIS2 con soluzioni SIEM managed dimensionate sulle loro reali necessità, senza overengineering. Se stai cercando un partner per la cybersecurity aziendale Milano, il nostro team è a disposizione per una consulenza gratuita.
Come BullTech gestisce il SIEM per le PMI
Non ti vendiamo una licenza Splunk e arrivederci. Il nostro approccio al SIEM managed è diverso: partiamo dall'assessment, dimensioniamo la soluzione sulle tue reali esigenze (non su quelle del vendor), e poi la gestiamo noi. Il nostro team monitora gli alert, investiga gli incidenti, produce i report di compliance e mantiene aggiornate le regole.
Come servizio di sicurezza informatica gestita, il SIEM managed si integra con i nostri servizi di cybersecurity a Milano: firewall management, endpoint protection, vulnerability assessment e incident response. Non è un pezzo isolato — è parte di una strategia di sicurezza completa.
Vuoi capire se ti serve un SIEM?
BullTech offre un assessment gratuito della tua infrastruttura per capire se hai bisogno di un SIEM, di un XDR o di un servizio MDR. Niente vendite aggressive — solo una valutazione onesta basata sulle tue reali esigenze. Chiamaci al 039 6099 023 o scrivici.