Risorse · Guida · SOC · 4 min di lettura

Cos'è un SIEM (Security Information and Event Management)

In breve

Un SIEM (Security Information and Event Management) è la piattaforma che raccoglie, normalizza e correla i log e gli eventi di sicurezza da tutta l'infrastruttura (endpoint, rete, cloud, identità) per rilevare attività sospette tramite regole e analytics. È il cuore tecnologico di un SOC: dà visibilità centralizzata, ma genera molti alert. Servono un team che li interpreti e una buona threat intelligence per ridurre il rumore.

Il cuore tecnologico del SOC

Un SIEM è il punto in cui confluiscono i log di tutta l’azienda: firewall, endpoint, server, cloud, identità, applicazioni. Li normalizza (porta formati diversi a uno schema comune) e li correla, cercando i pattern che rivelano un attacco. Senza un SIEM, i segnali restano in silos scollegati e ogni sistema racconta solo un pezzo della storia; con un SIEM mal governato, quei segnali annegano nel rumore.

L’idea di fondo è semplice: un singolo evento dice poco, la sequenza dice tutto. Un login fallito è banale; cento login falliti, poi uno riuscito, poi un accesso a un archivio sensibile e un trasferimento dati in uscita sono una catena di attacco. Il SIEM esiste per vedere quel filo.

Cosa fa un SIEM, passo per passo

FLUSSO SIEM · LOG → ALERT QUALIFICATO RACCOLTA log multi-fonte NORMALIZZA schema comune CORRELA MITRE ATT&CK ALERT + threat intel ANALISTA qualifica e decide la macchina correla l'umano qualifica
Il flusso di un SIEM: raccoglie i log, li normalizza, li correla con regole mappate su MITRE ATT&CK e arricchite dalla threat intelligence, e produce un alert che l'analista qualifica.

Visibilità non è detection

Raccogliere log è facile; trasformarli in detection utili no. Un SIEM «acceso» ingerisce dati e li mette in dashboard; un SIEM che protegge li usa per rispondere a domande precise su scenari di attacco reali. La differenza sta in tre fattori:

  • Regole mappate su MITRE ATT&CK. Use case costruite sulle tecniche realmente usate dagli attori, non avvisi generici.
  • Tuning continuo. Le regole vanno calibrate sull'ambiente del cliente, altrimenti il rumore seppellisce i veri positivi.
  • Threat intelligence che dà contesto. Gli IOC e i profili degli attori distinguono un alert da archiviare da uno da escalare subito.

Il principio operativo. Un SIEM non si misura sui terabyte che ingerisce, ma sulle use case di attacco che copre davvero. La visibilità è la materia prima; la detection è il prodotto, e richiede lavoro umano costante.

SIEM, SOAR, XDR: come si incastrano

Tre tecnologie spesso confuse, ma complementari:

  • SIEM · raccoglie e correla qualsiasi log. Il livello della visibilità centralizzata.
  • SOAR · a valle del SIEM, orchestra e automatizza la risposta con playbook, riducendo il lavoro manuale ripetitivo.
  • XDR · correla telemetria agent-based su endpoint, identità e cloud, con detection più profonda su domini integrati. Spesso convive con il SIEM.

Il SIEM non «fa» sicurezza da solo. È un amplificatore: rende visibile ciò che esiste, ma non decide nulla. Senza analisti che leggono le correlazioni e senza tuning costante, un SIEM costoso produce più rumore che protezione.

Il SIEM da solo non basta

Un SIEM genera alert che qualcuno deve interpretare 24·7. La correlazione è una macchina potente, ma la decisione resta umana: distinguere un falso positivo da un’intrusione, ricostruire la catena, scegliere se contenere. È il motivo per cui un SIEM vive dentro un SOC: persone e processi che trasformano la correlazione in decisione. Fortgale lo opera in modo technology-agnostic su Splunk, Microsoft Sentinel, Elastic e Sumo Logic. Il servizio: SOC gestito Fortgale.


Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: il SIEM mostra il filo che lega gli eventi, ma è l'analista a tirarlo.

Confronto

SIEM vs SOAR vs XDR

SIEMSOARXDR
Cosa faRaccoglie e correla logOrchestra e automatizza la rispostaCorrela detection su piu domini
FocusVisibilità e detectionAutomazione playbookDetection & response integrata
DatoQualsiasi logAzioni e workflowTelemetria agent-based
Prova field-observed · correlazione

Nell'Operation Storming Tide la correlazione dei segnali ha permesso di ricostruire una catena multi-stadio e contenerla: un SIEM serve a vedere il filo che lega eventi apparentemente scollegati.

Leggi l'analisi →
FAQ

Domande frequenti.

SIEM e SOC sono la stessa cosa?

No. Il SIEM è la piattaforma tecnologica; il SOC è il presidio (persone + processi) che la usa per rilevare e gestire gli incidenti. Vedi Cos'è un SOC.

Qual è la differenza tra SIEM e XDR?

Il SIEM ingerisce e correla qualsiasi log (massima visibilità); l'XDR correla telemetria agent-based su endpoint, identità, cloud (detection più profonda su domini integrati). Spesso convivono.

Cos'è un SOAR?

Il SOAR (Security Orchestration, Automation and Response) automatizza i flussi di risposta tramite playbook, riducendo il lavoro manuale. Lavora a valle del SIEM per accelerare il contenimento.

Quali SIEM opera Fortgale?

Fortgale eroga MDR e SOC gestito su SIEM leader come Splunk Enterprise Security, Microsoft Sentinel, Elastic Security e Sumo Logic Cloud SIEM, in modo technology-agnostic sullo stack del cliente.

Cos'è una regola di correlazione e una use case?

Una regola di correlazione lega più eventi in un solo segnale: per esempio molti login falliti seguiti da uno riuscito e da un accesso a un file sensibile. Una use case è lo scenario di attacco che si vuole rilevare, mappato su MITRE ATT&CK. Un SIEM vale per le use case che copre e per quanto sono tenute aggiornate, non per quanti log ingerisce.

Quanto costa un SIEM e come si misura?

I SIEM si tariffano in genere a volume di dati ingeriti (GB al giorno) o a eventi al secondo (EPS). Questo crea un dilemma: ingerire tutto fa esplodere i costi, ingerire poco crea punti ciechi. La scelta di quali fonti raccogliere e con quale retention è una decisione di intelligence, non solo di budget: è parte del valore di chi opera la piattaforma.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: SOC gestito Fortgale.

Risorse correlate: Cos'è un SOC · MDR vs EDR vs XDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.