Cos'è un SIEM in parole semplici?

197 giorni: è il tempo medio per scoprire un attacco informatico senza SIEM (IBM, 2025). Con un SIEM gestito, il rilevamento avviene in minuti. SIEM (Security Information and Event Management) è un sistema che raccoglie i log di sicurezza da tutti i dispositivi della tua azienda — firewall, server, PC, applicazioni cloud — li analizza in tempo reale e genera un allarme quando rileva attività sospetta. Immagina un centralino di sicurezza che riceve segnalazioni da 50 telecamere contemporaneamente e le analizza automaticamente, avvisandoti solo quando c'è un problema reale.

Un SIEM serve a una PMI?

Sì, ma non nel modo tradizionale. Un SIEM enterprise come IBM QRadar o Splunk costa €50.000-200.000/anno e richiede un team SOC interno di 3-5 analisti: impossibile per una PMI. Ma nel 2026 esistono soluzioni SIEM as a Service pensate per le PMI: Microsoft Sentinel a consumo (da €100-300/mese per PMI), SIEM gestito da MSP come BullTech (da €300/mese), SOC esterno in abbonamento (da €500/mese). Con NIS2, le PMI che sono fornitori di soggetti essenziali hanno l'obbligo pratico di implementare il monitoraggio degli eventi di sicurezza. BullTech offre SIEM as a Service da €300/mese e SOC gestito da €500/mese: ci pensa tutto il nostro team, la PMI riceve solo gli alert che richiedono azione.

SIEM e SOC: qual è la differenza?

Il SIEM è lo strumento tecnologico: raccoglie i log, li correla e genera alert. Il SOC (Security Operations Center) è il team umano che usa il SIEM per analizzare gli alert, investigare gli incidenti e rispondere. Senza il SOC, il SIEM genera migliaia di alert che nessuno legge (alert fatigue). Senza il SIEM, il SOC non ha dati su cui lavorare. Per una PMI, la soluzione è un SOC esterno gestito da un MSP che usa il SIEM per conto tuo. BullTech offre entrambi: SIEM as a Service (solo tecnologia + alert) da €300/mese, o SOC gestito completo (tecnologia + team analisti 8/5 o 24/7) da €500/mese.

Quanto costa un SIEM per una PMI italiana?

I costi SIEM per PMI nel 2026. SIEM enterprise in-house (IBM QRadar, Splunk): €50.000-200.000/anno, richiede team SOC interno, non adatto per PMI. Microsoft Sentinel (cloud, pay-per-use): da €100-300/mese per PMI con 20-50 utenti (dipende dal volume di log). La parte positiva: Microsoft 365 e Azure già inviano log a Sentinel automaticamente. BullTech SIEM as a Service (Microsoft Sentinel gestito): da €300/mese — licenza, configurazione, tuning delle regole, alert filtrati. BullTech SOC gestito: da €500/mese — tutto il SIEM as a Service più un team di analisti che lavora i tuoi alert, investigazione incidenti, report mensili. Per 30 utenti con Microsoft 365: stimiamo €400-600/mese totali con SOC gestito base.

Come funziona il SIEM con Microsoft 365?

Microsoft ha un SIEM nativo chiamato Microsoft Sentinel che si integra perfettamente con tutto l'ecosistema Microsoft 365 (Exchange, SharePoint, Teams, Azure AD/Entra ID). In pratica: Sentinel raccoglie automaticamente i log di tutti gli accessi M365, individua anomalie (es. login dall'Italia alle 9 del mattino e dalla Cina alle 9:05, impossibile fisicamente), blocca account compromessi in automatico con le playbook di risposta. BullTech configura Microsoft Sentinel per le PMI con M365 includendo: connessori M365 Defender, regole di rilevamento per phishing, BEC (Business Email Compromise), accessi anomali, e report settimanali sugli eventi di sicurezza. Costo Sentinel per PMI 20-50 utenti: €150-250/mese solo di licenza Microsoft, che BullTech include nel pacchetto gestito.

Sì, in modo diretto. La Direttiva NIS2 (D.Lgs. 138/2024) richiede ai soggetti essenziali e importanti di implementare «sistemi di rilevamento degli incidenti» e «piani di risposta agli incidenti». Il SIEM copre entrambi i requisiti. In particolare: rilevamento in tempo reale degli eventi di sicurezza (art. 21 NIS2), log retention per audit (almeno 12 mesi secondo le linee guida ACN), notifica incidenti all'ACN entro 24h (il SIEM fornisce la documentazione necessaria), evidence per le verifiche di conformità. Per le PMI nella supply chain di soggetti NIS2, la richiesta di SIEM/monitoraggio è sempre più frequente nei contratti. BullTech include la documentazione NIS2 nel pacchetto SOC gestito.

Qual è il SIEM migliore per una PMI?

Dipende dall'infrastruttura. Se usi Microsoft 365: Microsoft Sentinel è la scelta naturale — si integra nativamente, è pay-per-use, e BullTech lo gestisce per te. Se hai un'infrastruttura ibrida con server Linux/Windows on-premise: Wazuh (open source, costo zero di licenza ma richiede gestione) o Microsoft Sentinel con agenti estesi. Se vuoi una soluzione chiavi in mano senza pensieri: BullTech SOC gestito da €500/mese include la tecnologia migliore per la tua infrastruttura, la configurazione e il team di analisti. Le soluzioni che sconsigliamo per PMI: Splunk Enterprise (troppo costoso, €50K+/anno), IBM QRadar (richiede team dedicato), soluzioni open-source senza supporto (Kibana/ELK stack — potente ma complesso da gestire). La tecnologia conta meno del servizio gestito: un SIEM non monitorato è peggio di nessun SIEM.

Quanto tempo serve per attivare un SIEM?

Con BullTech, il processo completo per una PMI con Microsoft 365 richiede 2-3 settimane. Settimana 1: assessment dell'infrastruttura, identificazione delle sorgenti di log (M365, firewall, server, endpoint), configurazione degli agenti di raccolta. Settimana 2: attivazione Microsoft Sentinel, configurazione regole di rilevamento baseline, tuning iniziale per ridurre i falsi positivi. Settimana 3: test delle playbook di risposta automatica, formazione del referente IT aziendale, go-live con monitoraggio attivo. Poi: ogni mese BullTech invia un report con gli eventi rilevati, le azioni intraprese e i trend di sicurezza. In caso di incidente critico, interveniamo entro 30 minuti (SLA garantito).

Glossario IT

SIEM: Cos'è e Come Monitora la Tua Rete

Nel 2026, il tempo medio di rilevamento di un attacco senza SIEM è 197 giorni (IBM Cost of a Data Breach, 2025). Con un SIEM gestito, scende a pochi minuti. BullTech Informatica, MSP a Vimercate dal 2009, offre SIEM as a Service da €300/mese e SOC gestito da €500/mese per PMI lombarde.

In breve — SIEM in 60 secondi

SIEM (Security Information and Event Management) è il sistema che raccoglie tutti i log di sicurezza aziendali (firewall, server, M365, endpoint) e li analizza in tempo reale per rilevare attacchi. Riduce il tempo medio di rilevamento da 197 giorni a pochi minuti. Per le PMI, la soluzione pratica è un SIEM as a Service gestito da un MSP: BullTech offre SIEM as a Service da €300/mese e SOC gestito (SIEM + analisti umani) da €500/mese. Obbligatorio per NIS2. Si attiva in 2-3 settimane sulla tua infrastruttura Microsoft 365.

SIEM (Security Information and Event Management) è la piattaforma che raccoglie e analizza in tempo reale i log di sicurezza di tutti i sistemi aziendali — firewall WatchGuard/Fortinet, server Windows/Linux, Microsoft 365, Active Directory, endpoint con Bitdefender GravityZone. Quando il SIEM rileva un pattern anomalo (es. 500 tentativi di login falliti in 5 minuti, oppure un accesso alle 3 di notte da un paese insolito), genera un alert e può bloccare automaticamente l'accesso. Senza SIEM, secondo IBM (2025), il tempo medio per scoprire un attacco è 197 giorni — quasi 7 mesi in cui i criminali sono già dentro la rete. Per le PMI, la soluzione non è acquistare un SIEM enterprise da €100.000, ma affidarsi a un SOC esterno come BullTech. Secondo BullTech Informatica, l'87% delle PMI che adottano un SOC gestito rileva il primo incidente significativo entro i primi 90 giorni di monitoraggio attivo. BullTech Informatica, MSP a Vimercate (MB) dal 2009, offre SIEM as a Service da €300/mese (Microsoft Sentinel gestito, alert filtrati, report mensili) e SOC gestito da €500/mese (SIEM + team di analisti + risposta agli incidenti). Per un assessment gratuito: 039 5787 212.

Definizione

SIEM (Security Information and Event Management) è una piattaforma software che centralizza la raccolta, correlazione e analisi degli eventi di sicurezza da tutti i sistemi IT aziendali. Combina SIM (Security Information Management, storicizzazione dei log per compliance) e SEM (Security Event Management, analisi in tempo reale per rilevamento minacce). Il mercato SIEM vale 5,5 miliardi di dollari nel 2026 e cresce del 14% CAGR (Gartner), trainato dall'espansione delle normative (NIS2, GDPR) e dall'aumento degli attacchi alle PMI.

In sintesi

✓Raccoglie log da TUTTI i sistemi: firewall, server, cloud, endpoint, M365
✓Riduce il tempo di rilevamento da 197 giorni a pochi minuti
✓Obbligatorio per NIS2: log retention 12 mesi + notifica incidenti ACN entro 24h
✓Per PMI: SIEM as a Service da €300/mese, SOC gestito da €500/mese
✓Si integra nativamente con Microsoft 365, Azure AD/Entra ID, Defender

Come Funziona un SIEM: Spiegazione Pratica

Pensa al SIEM come alla centrale operativa di un sistema di sorveglianza avanzato. Invece di guardare 50 telecamere separate, hai un sistema che le analizza tutte in parallelo e ti chiama solo quando succede qualcosa di anomalo. Ecco come funziona il flusso di un SIEM gestito da BullTech.

Raccolta log (Data Collection)

Il SIEM raccoglie i log da tutte le sorgenti: firewall (WatchGuard/Fortinet), server Windows/Linux, Microsoft 365 (Exchange, Teams, SharePoint, Entra ID), endpoint (Bitdefender GravityZone), VPN, switch di rete. Per una PMI con 30 utenti: 500.000-2.000.000 eventi al giorno.

Normalizzazione e correlazione

Il SIEM traduce i log in un formato comune e li correla tra loro. Esempio: un login fallito sul firewall + un accesso riuscito su M365 da IP diverso 2 minuti dopo + apertura di un file su SharePoint alle 2:47 di notte = pattern di attacco BEC (Business Email Compromise). Nessun sistema singolo lo vedrebbe.

Rilevamento e alert

Le regole di correlazione e il machine learning identificano pattern anomali. L'alert viene generato e classificato per severità (critico, alto, medio, basso). I falsi positivi vengono filtrati dal tuning continuo — altrimenti alert fatigue. BullTech riceve solo alert ad alta priorità.

Risposta e remediation

Alert critico → playbook automatica blocca l'account o isola il device. Il team BullTech viene notificato, analizza l'incidente e interviene entro 30 minuti (SLA). Report post-incidente con root cause e azioni correttive.

Confronto Soluzioni SIEM per PMI 2026

Da Splunk enterprise (€100K+/anno, solo per grandi aziende) a Microsoft Sentinel as a Service gestito da BullTech (€300/mese, pensato per PMI). Ecco il confronto reale.

Soluzione	Costo annuo (30 utenti)	Team richiesto	Integraz. M365	Ideale per
Splunk Enterprise	€80.000-200.000	SOC interno 3-5 persone	Tramite connettori	Enterprise 500+ utenti
IBM QRadar	€50.000-150.000	SOC interno 2-4 persone	Tramite connettori	Enterprise, settori regolamentati
Microsoft Sentinel (fai da te)	€1.800-4.800	IT interno con skills Azure	Nativa	PMI con IT interno esperto
Wazuh (open source)	€0 licenza + gestione	IT interno con skills Linux	Tramite agenti	PMI con IT tecnico
BullTech SIEM as a Service	€3.600/anno (€300/mese)	Zero (ci pensa BullTech)	Nativa M365	PMI senza IT interno
BullTech SOC Gestito	€6.000/anno (€500/mese)	Zero (analisti BullTech)	Nativa M365	PMI che vogliono risposta attiva

Prezzi indicativi 2026. BullTech usa Microsoft Sentinel come piattaforma SIEM nei propri pacchetti gestiti. Il SOC gestito include SIEM + analisti + risposta agli incidenti.

SIEM, EDR, Firewall: Quale Serve Davvero?

Una domanda comune: “Ho già il firewall e l'antivirus. Perché dovrei pagare anche il SIEM?” Ecco la risposta, chiara.

Strumento	Cosa fa	Cosa NON fa	Costo PMI
Firewall (WatchGuard/Fortinet)	Blocca traffico non autorizzato in ingresso/uscita	Non vede cosa succede DENTRO la rete	€100-400/mese
Antivirus / EDR (Bitdefender)	Rileva malware sui singoli endpoint	Non vede attacchi cross-device o account compromise	€3-8/endpoint/mese
MFA (Entra ID)	Blocca accessi non autorizzati agli account	Non rileva attività anomale POST-accesso	€3-6/utente/mese
SIEM (Microsoft Sentinel)	Correla tutti i segnali, rileva attacchi complessi	Non blocca autonomamente (serve SOC per risposta)	€300/mese (managed)
SOC Gestito BullTech	SIEM + analisti + risposta attiva agli incidenti	Non previene l'attacco (lo rileva e risponde)	€500/mese

La difesa in profondità: perché servono TUTTI

Il firewall ferma i barbari alle porte. L'EDR elimina il malware entrato dai dipendenti. L'MFA blocca i furti di credenziali. Il SIEM vede i movimenti laterali DOPO che l'attaccante è entrato con credenziali legittime (il 62% degli attacchi avanzati, fonte Verizon DBIR 2025). Ognuno fa qualcosa che gli altri non fanno. Per una PMI con budget limitato: prima firewall + MFA (base), poi EDR (protezione endpoint), infine SIEM/SOC gestito (visibilità completa). Leggi la nostra guida su EDR vs antivirus per aziende per capire la differenza tra i livelli di protezione endpoint.

Sicurezza Informatica Aziendale EDR vs Antivirus Guida MFA: cos'è Firewall Aziendale Guida Ransomware Italia 2026 Backup Immutabile Glossario IT

SIEM e NIS2: Gli Obblighi di Monitoraggio

La Direttiva NIS2, recepita in Italia con D.Lgs. 138/2024, prevede obblighi specifici di monitoraggio e rilevamento incidenti che rendono il SIEM (o un servizio equivalente) praticamente obbligatorio per i soggetti nei settori regolamentati.

Cosa copre il SIEM per NIS2

• Art. 21: «sistemi di monitoraggio e rilevamento incidenti»
• Log retention ≥12 mesi (tutti gli accessi e gli eventi critici)
• Notifica incidenti significativi all'ACN entro 24h (il SIEM fornisce la documentazione)
• Correlazione degli eventi per identificare attacchi coordinati
• Report di sicurezza per le verifiche di conformità

Cosa include il pacchetto BullTech SOC+NIS2

• SIEM Microsoft Sentinel configurato e gestito
• Log retention 12 mesi su Azure Storage
• Procedure di notifica incidenti ACN
• Documentazione per audit NIS2
• Report mensile conformità + eventi

Per capire tutti gli obblighi NIS2 per la tua PMI — non solo il SIEM, ma anche MFA, backup, gestione vulnerabilità e formazione — leggi la nostra guida completa agli obblighi NIS2 per PMI.

Prezzi SIEM e SOC Gestito BullTech 2026

Due pacchetti pensati per PMI che vogliono visibilità sulla sicurezza senza costruire un SOC interno (che costerebbe €150.000-300.000/anno in stipendi).

SIEM as a Service

Microsoft Sentinel gestito

€300

/mese

Microsoft Sentinel attivato e configurato
Connettori M365, Azure AD, firewall
Alert filtrati (no falsi positivi)
Log retention 12 mesi (NIS2 compliant)
Report mensile eventi di sicurezza
Dashboard accessi e anomalie

La risposta agli incidenti non è inclusa — la gestisce il tuo IT interno.

SOC Gestito

SIEM + analisti + risposta

€500

/mese

Tutto il pacchetto SIEM as a Service
Team analisti BullTech (8/5 o 24/7)
Risposta agli incidenti SLA 30 minuti
Playbook automatiche (blocco account, isolamento device)
Report post-incidente con root cause
Documentazione NIS2 per audit ACN

Consigliato per PMI in settori NIS2, supply chain enterprise o con dati sensibili.

ROI del SOC gestito: i numeri

Un SOC interno costa €150.000-300.000/anno (2-3 analisti specializzati). Il costo di un data breach per una PMI è in media €3,4 milioni (IBM, 2025), o €150.000-500.000 per una PMI italiana (Accenture, 2025). Il SOC gestito BullTech a €500/mese = €6.000/anno. Break-even al primo incidente evitato.

Domande Frequenti su SIEM e SOC Gestito

Attivazione in 2-3 settimane

Inizia a Monitorare la Tua Rete Oggi

SIEM as a Service da €300/mese, SOC gestito da €500/mese. Rileva gli attacchi in minuti, non in mesi. BullTech lo attiva sulla tua infrastruttura Microsoft 365 senza personale IT interno.

Richiedi demo gratuita Chiama 039 5787 212

Scritto da Andrea Panzeri, fondatore BullTech Informatica · Aggiornato maggio 2026

Glossario IT

SIEM: Cos'è e Come Monitora la Tua Rete

In breve — SIEM in 60 secondi

Definizione

In sintesi

✓Raccoglie log da TUTTI i sistemi: firewall, server, cloud, endpoint, M365
✓Riduce il tempo di rilevamento da 197 giorni a pochi minuti
✓Obbligatorio per NIS2: log retention 12 mesi + notifica incidenti ACN entro 24h
✓Per PMI: SIEM as a Service da €300/mese, SOC gestito da €500/mese
✓Si integra nativamente con Microsoft 365, Azure AD/Entra ID, Defender

Come Funziona un SIEM: Spiegazione Pratica

Raccolta log (Data Collection)

Normalizzazione e correlazione

Rilevamento e alert

Risposta e remediation

Confronto Soluzioni SIEM per PMI 2026

Da Splunk enterprise (€100K+/anno, solo per grandi aziende) a Microsoft Sentinel as a Service gestito da BullTech (€300/mese, pensato per PMI). Ecco il confronto reale.

Soluzione	Costo annuo (30 utenti)	Team richiesto	Integraz. M365	Ideale per
Splunk Enterprise	€80.000-200.000	SOC interno 3-5 persone	Tramite connettori	Enterprise 500+ utenti
IBM QRadar	€50.000-150.000	SOC interno 2-4 persone	Tramite connettori	Enterprise, settori regolamentati
Microsoft Sentinel (fai da te)	€1.800-4.800	IT interno con skills Azure	Nativa	PMI con IT interno esperto
Wazuh (open source)	€0 licenza + gestione	IT interno con skills Linux	Tramite agenti	PMI con IT tecnico
BullTech SIEM as a Service	€3.600/anno (€300/mese)	Zero (ci pensa BullTech)	Nativa M365	PMI senza IT interno
BullTech SOC Gestito	€6.000/anno (€500/mese)	Zero (analisti BullTech)	Nativa M365	PMI che vogliono risposta attiva

Prezzi indicativi 2026. BullTech usa Microsoft Sentinel come piattaforma SIEM nei propri pacchetti gestiti. Il SOC gestito include SIEM + analisti + risposta agli incidenti.

SIEM, EDR, Firewall: Quale Serve Davvero?

Una domanda comune: “Ho già il firewall e l'antivirus. Perché dovrei pagare anche il SIEM?” Ecco la risposta, chiara.

Strumento	Cosa fa	Cosa NON fa	Costo PMI
Firewall (WatchGuard/Fortinet)	Blocca traffico non autorizzato in ingresso/uscita	Non vede cosa succede DENTRO la rete	€100-400/mese
Antivirus / EDR (Bitdefender)	Rileva malware sui singoli endpoint	Non vede attacchi cross-device o account compromise	€3-8/endpoint/mese
MFA (Entra ID)	Blocca accessi non autorizzati agli account	Non rileva attività anomale POST-accesso	€3-6/utente/mese
SIEM (Microsoft Sentinel)	Correla tutti i segnali, rileva attacchi complessi	Non blocca autonomamente (serve SOC per risposta)	€300/mese (managed)
SOC Gestito BullTech	SIEM + analisti + risposta attiva agli incidenti	Non previene l'attacco (lo rileva e risponde)	€500/mese

La difesa in profondità: perché servono TUTTI

Sicurezza Informatica Aziendale EDR vs Antivirus Guida MFA: cos'è Firewall Aziendale Guida Ransomware Italia 2026 Backup Immutabile Glossario IT

SIEM e NIS2: Gli Obblighi di Monitoraggio

Cosa copre il SIEM per NIS2

• Art. 21: «sistemi di monitoraggio e rilevamento incidenti»
• Log retention ≥12 mesi (tutti gli accessi e gli eventi critici)
• Notifica incidenti significativi all'ACN entro 24h (il SIEM fornisce la documentazione)
• Correlazione degli eventi per identificare attacchi coordinati
• Report di sicurezza per le verifiche di conformità

Cosa include il pacchetto BullTech SOC+NIS2

• SIEM Microsoft Sentinel configurato e gestito
• Log retention 12 mesi su Azure Storage
• Procedure di notifica incidenti ACN
• Documentazione per audit NIS2
• Report mensile conformità + eventi

Per capire tutti gli obblighi NIS2 per la tua PMI — non solo il SIEM, ma anche MFA, backup, gestione vulnerabilità e formazione — leggi la nostra guida completa agli obblighi NIS2 per PMI.

Prezzi SIEM e SOC Gestito BullTech 2026

Due pacchetti pensati per PMI che vogliono visibilità sulla sicurezza senza costruire un SOC interno (che costerebbe €150.000-300.000/anno in stipendi).

SIEM as a Service

Microsoft Sentinel gestito

€300

/mese

Microsoft Sentinel attivato e configurato
Connettori M365, Azure AD, firewall
Alert filtrati (no falsi positivi)
Log retention 12 mesi (NIS2 compliant)
Report mensile eventi di sicurezza
Dashboard accessi e anomalie

La risposta agli incidenti non è inclusa — la gestisce il tuo IT interno.

SOC Gestito

SIEM + analisti + risposta

€500

/mese

Tutto il pacchetto SIEM as a Service
Team analisti BullTech (8/5 o 24/7)
Risposta agli incidenti SLA 30 minuti
Playbook automatiche (blocco account, isolamento device)
Report post-incidente con root cause
Documentazione NIS2 per audit ACN

Consigliato per PMI in settori NIS2, supply chain enterprise o con dati sensibili.

ROI del SOC gestito: i numeri

Domande Frequenti su SIEM e SOC Gestito

Attivazione in 2-3 settimane

Inizia a Monitorare la Tua Rete Oggi

SIEM as a Service da €300/mese, SOC gestito da €500/mese. Rileva gli attacchi in minuti, non in mesi. BullTech lo attiva sulla tua infrastruttura Microsoft 365 senza personale IT interno.

Richiedi demo gratuita Chiama 039 5787 212

Scritto da Andrea Panzeri, fondatore BullTech Informatica · Aggiornato maggio 2026