Caricamento...
Caricamento...
Piattaforma che raccoglie e correla i log di sicurezza da tutti i dispositivi aziendali per rilevare minacce e anomalie in tempo reale.
Il SIEM (Security Information and Event Management) è una piattaforma che raccoglie, normalizza, correla e analizza i log di sicurezza provenienti da tutte le componenti dell’infrastruttura IT aziendale: firewall, server, endpoint, applicazioni, servizi cloud, sistemi di autenticazione e dispositivi di rete. L’obiettivo è fornire una visione centralizzata e in tempo reale della postura di sicurezza dell’azienda, identificando minacce, anomalie e violazioni delle policy.
Il SIEM combina due funzionalità: SIM (Security Information Management) per la raccolta e l’archiviazione a lungo termine dei log per compliance e indagini forensi, e SEM (Security Event Management) per il monitoraggio e la correlazione in tempo reale degli eventi per il rilevamento delle minacce. Le regole di correlazione permettono di collegare eventi apparentemente innocui in pattern di attacco: ad esempio, 10 tentativi di login falliti seguiti da un login riuscito da un IP estero possono indicare un brute-force con credenziali compromesse.
BullTech utilizza piattaforme SIEM come componente fondamentale del proprio servizio SOC/MDR. I log dei firewall WatchGuard, degli endpoint Bitdefender, dei server e di Microsoft 365 dei clienti vengono raccolti e analizzati in tempo reale dal team di analisti BullTech. Le regole di detection vengono aggiornate continuamente in base alla threat intelligence e ai nuovi vettori di attacco.
Senza un SIEM, i log di sicurezza restano isolati su ogni dispositivo: il firewall vede il traffico di rete, l’antivirus vede le minacce sull’endpoint, il server vede i login. Nessuno di questi sistemi, da solo, può ricostruire una catena di attacco complessa. Il SIEM correla tutti questi dati e rivela pattern che singolarmente sarebbero invisibili. Un attaccante che usa credenziali legittime viene identificato non dal singolo login, ma dalla combinazione di comportamenti anomali su più sistemi.
Per la compliance NIS2 e GDPR, il SIEM è quasi indispensabile: queste normative richiedono capacità di monitoraggio della sicurezza, rilevamento degli incidenti e conservazione dei log per un periodo definito. Il SIEM soddisfa tutti questi requisiti in un’unica piattaforma e produce la documentazione necessaria per dimostrare la conformità in caso di audit.
Connettori e agenti raccolgono i log da tutte le sorgenti configurate e li inviano al SIEM in tempo reale o in batch. Il SIEM normalizza i log (ogni vendor usa un formato diverso) in un formato unificato, li indicizza per consentire ricerche rapide e li sottopone alle regole di correlazione. Le regole possono essere basate su signature (pattern di attacco noti), su anomalie statistiche (deviazioni dal comportamento normale) o su threat intelligence (indicatori di compromissione noti).
Quando una regola di correlazione produce un match, viene generato un alert classificato per severità. Nel servizio SOC/MDR di BullTech, gli alert vengono analizzati dal team di analisti che determinano se si tratta di un vero positivo o di un falso allarme. In caso di minaccia confermata, vengono attivate le procedure di incident response per contenere e neutralizzare la minaccia. I log vengono conservati per il periodo richiesto dalla compliance.
Scopri come possiamo aiutarti con SOC & MDR
Tre sigle che fanno girare la testa. La verità? Fanno cose diverse, e per una PMI la scelta giusta dipende dal budget, dal team e dagli obblighi normativi. Ecco il confronto senza giri di parole.
| Feature | SIEM | SOAR | XDR |
|---|---|---|---|
| Focus | Log collection + correlation | Automated response | Unified detection + response |
| Costo medio/anno | €15.000-50.000 | €20.000-60.000 | €8.000-25.000 |
| Best for | Compliance, forensics | SOC automation | PMI con team IT ridotto |
| Setup time | 3-6 mesi | 2-4 mesi | 1-2 settimane |
| Complessità gestione | Alta (serve team dedicato) | Alta (serve SOC maturo) | Media (spesso managed) |
| Log retention | Sì (punto di forza) | Limitata | Variabile |
Per la maggior parte delle PMI italiane con meno di 100 dipendenti, un XDR gestito (MDR) è la scelta più sensata: costa meno, si implementa in giorni e non richiede un SOC interno. Il SIEM ha senso quando hai obblighi di compliance stringenti (NIS2 con log retention) o un SOC interno/esterno che lo gestisca davvero. Il SOAR è il terzo pezzo del puzzle, ma serve solo quando hai già SIEM e SOC e vuoi automatizzare la risposta.
Un SIEM cloud (Splunk, Microsoft Sentinel) costa circa 15-50.000 euro/anno per una PMI con 100-500 endpoint. L'alternativa managed SIEM/SOC as a service parte da 3.000 euro/mese.
| Soluzione | Costo annuo indicativo | Cosa include | Ideale per |
|---|---|---|---|
| SIEM on-premise (Splunk, QRadar) | €30.000 - 80.000 | Licenza + hardware + personale | Enterprise con SOC interno |
| SIEM cloud (Sentinel, Elastic) | €15.000 - 50.000 | Licenza SaaS + ingestione log | PMI strutturate con competenze security |
| SOC-as-a-Service (managed) | €36.000 - 96.000 | SIEM + analisti 24/7 + incident response | PMI che vogliono sicurezza senza gestirla |
| XDR/MDR gestito | €8.000 - 25.000 | Detection + response su endpoint/rete | PMI sotto 100 dipendenti (scelta BullTech) |
Il consiglio di BullTech Informatica: per le PMI da 20 a 100 dipendenti, un servizio MDR/SOC-as-a-Service offre il miglior rapporto protezione/costo. Il SIEM standalone ha senso solo se c'è qualcuno che guarda gli alert 24/7 — altrimenti è un costoso generatore di log che nessuno legge.
Le risposte alle domande più comuni su SIEM – Security Information and Event Management.
Continua a esplorare la terminologia IT aziendale.
Modello di sicurezza dove nessun utente o dispositivo è automaticamente considerato affidabile.
Leggi definizioneCybersecurityCentro operativo per il monitoraggio della sicurezza 24/7 e risposta gestita alle minacce.
Leggi definizioneCybersecurityDispositivo di sicurezza avanzato che filtra il traffico di rete con ispezione deep packet e prevenzione intrusioni.
Leggi definizioneCybersecurityMalware che crittografa i dati aziendali e richiede il pagamento di un riscatto per restituirne l'accesso.
Leggi definizioneHai bisogno di chiarimenti su SIEM – Security Information and Event Management o vuoi capire come applicarlo nella tua azienda? I nostri esperti sono a disposizione.