Caricamento...
Caricamento...
Piattaforma che raccoglie e correla i log di sicurezza da tutti i dispositivi aziendali per rilevare minacce e anomalie in tempo reale.
Il SIEM (Security Information and Event Management) è una piattaforma che raccoglie, normalizza, correla e analizza i log di sicurezza provenienti da tutte le componenti dell’infrastruttura IT aziendale: firewall, server, endpoint, applicazioni, servizi cloud, sistemi di autenticazione e dispositivi di rete. L’obiettivo e fornire una visione centralizzata e in tempo reale della postura di sicurezza dell’azienda, identificando minacce, anomalie e violazioni delle policy.
Il SIEM combina due funzionalità: SIM (Security Information Management) per la raccolta e l’archiviazione a lungo termine dei log per compliance e indagini forensi, e SEM (Security Event Management) per il monitoraggio e la correlazione in tempo reale degli eventi per il rilevamento delle minacce. Le regole di correlazione permettono di collegare eventi apparentemente innocui in pattern di attacco: ad esempio, 10 tentativi di login falliti seguiti da un login riuscito da un IP estero possono indicare un brute-force con credenziali compromesse.
BullTech utilizza piattaforme SIEM come componente fondamentale del proprio servizio SOC/MDR. I log dei firewall WatchGuard, degli endpoint Bitdefender, dei server e di Microsoft 365 dei clienti vengono raccolti e analizzati in tempo reale dal team di analisti BullTech. Le regole di detection vengono aggiornate continuamente in base alla threat intelligence e ai nuovi vettori di attacco.
Senza un SIEM, i log di sicurezza restano isolati su ogni dispositivo: il firewall vede il traffico di rete, l’antivirus vede le minacce sull’endpoint, il server vede i login. Nessuno di questi sistemi, da solo, può ricostruire una catena di attacco complessa. Il SIEM correla tutti questi dati e rivela pattern che singolarmente sarebbero invisibili. Un attaccante che usa credenziali legittime viene identificato non dal singolo login, ma dalla combinazione di comportamenti anomali su più sistemi.
Per la compliance NIS2 e GDPR, il SIEM è quasi indispensabile: queste normative richiedono capacità di monitoraggio della sicurezza, rilevamento degli incidenti e conservazione dei log per un periodo definito. Il SIEM soddisfa tutti questi requisiti in un’unica piattaforma e produce la documentazione necessaria per dimostrare la conformità in caso di audit.
Connettori e agenti raccolgono i log da tutte le sorgenti configurate e li inviano al SIEM in tempo reale o in batch. Il SIEM normalizza i log (ogni vendor usa un formato diverso) in un formato unificato, li indicizza per consentire ricerche rapide e li sottopone alle regole di correlazione. Le regole possono essere basate su signature (pattern di attacco noti), su anomalie statistiche (deviazioni dal comportamento normale) o su threat intelligence (indicatori di compromissione noti).
Quando una regola di correlazione produce un match, viene generato un alert classificato per severità. Nel servizio SOC/MDR di BullTech, gli alert vengono analizzati dal team di analisti che determinano se si tratta di un vero positivo o di un falso allarme. In caso di minaccia confermata, vengono attivate le procedure di incident response per contenere e neutralizzare la minaccia. I log vengono conservati per il periodo richiesto dalla compliance.
Scopri come possiamo aiutarti con SOC & MDR
Le risposte alle domande più comuni su SIEM – Security Information and Event Management.
Continua a esplorare la terminologia IT aziendale.
Modello di sicurezza dove nessun utente o dispositivo è automaticamente considerato affidabile.
Leggi definizioneCybersecurityCentro operativo per il monitoraggio della sicurezza 24/7 e risposta gestita alle minacce.
Leggi definizioneCybersecurityDispositivo di sicurezza avanzato che filtra il traffico di rete con ispezione deep packet e prevenzione intrusioni.
Leggi definizioneCybersecurityMalware che crittografa i dati aziendali e richiede il pagamento di un riscatto per restituirne l'accesso.
Leggi definizioneHai bisogno di chiarimenti su SIEM – Security Information and Event Management o vuoi capire come applicarlo nella tua azienda? I nostri esperti sono a disposizione.