Cos'è un SIEM (Security Information and Event Management)
Un SIEM (Security Information and Event Management) è la piattaforma che raccoglie, normalizza e correla i log e gli eventi di sicurezza da tutta l'infrastruttura (endpoint, rete, cloud, identità) per rilevare attività sospette tramite regole e analytics. È il cuore tecnologico di un SOC: dà visibilità centralizzata, ma genera molti alert. Servono un team che li interpreti e una buona threat intelligence per ridurre il rumore.
Il cuore tecnologico del SOC
Un SIEM è il punto in cui confluiscono i log di tutta l’azienda: firewall, endpoint, server, cloud, identità, applicazioni. Li normalizza (porta formati diversi a uno schema comune) e li correla, cercando i pattern che rivelano un attacco. Senza un SIEM, i segnali restano in silos scollegati e ogni sistema racconta solo un pezzo della storia; con un SIEM mal governato, quei segnali annegano nel rumore.
L’idea di fondo è semplice: un singolo evento dice poco, la sequenza dice tutto. Un login fallito è banale; cento login falliti, poi uno riuscito, poi un accesso a un archivio sensibile e un trasferimento dati in uscita sono una catena di attacco. Il SIEM esiste per vedere quel filo.
Cosa fa un SIEM, passo per passo
Visibilità non è detection
Raccogliere log è facile; trasformarli in detection utili no. Un SIEM «acceso» ingerisce dati e li mette in dashboard; un SIEM che protegge li usa per rispondere a domande precise su scenari di attacco reali. La differenza sta in tre fattori:
- Regole mappate su MITRE ATT&CK. Use case costruite sulle tecniche realmente usate dagli attori, non avvisi generici.
- Tuning continuo. Le regole vanno calibrate sull'ambiente del cliente, altrimenti il rumore seppellisce i veri positivi.
- Threat intelligence che dà contesto. Gli IOC e i profili degli attori distinguono un alert da archiviare da uno da escalare subito.
Il principio operativo. Un SIEM non si misura sui terabyte che ingerisce, ma sulle use case di attacco che copre davvero. La visibilità è la materia prima; la detection è il prodotto, e richiede lavoro umano costante.
SIEM, SOAR, XDR: come si incastrano
Tre tecnologie spesso confuse, ma complementari:
- SIEM · raccoglie e correla qualsiasi log. Il livello della visibilità centralizzata.
- SOAR · a valle del SIEM, orchestra e automatizza la risposta con playbook, riducendo il lavoro manuale ripetitivo.
- XDR · correla telemetria agent-based su endpoint, identità e cloud, con detection più profonda su domini integrati. Spesso convive con il SIEM.
Il SIEM non «fa» sicurezza da solo. È un amplificatore: rende visibile ciò che esiste, ma non decide nulla. Senza analisti che leggono le correlazioni e senza tuning costante, un SIEM costoso produce più rumore che protezione.
Il SIEM da solo non basta
Un SIEM genera alert che qualcuno deve interpretare 24·7. La correlazione è una macchina potente, ma la decisione resta umana: distinguere un falso positivo da un’intrusione, ricostruire la catena, scegliere se contenere. È il motivo per cui un SIEM vive dentro un SOC: persone e processi che trasformano la correlazione in decisione. Fortgale lo opera in modo technology-agnostic su Splunk, Microsoft Sentinel, Elastic e Sumo Logic. Il servizio: SOC gestito Fortgale.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: il SIEM mostra il filo che lega gli eventi, ma è l'analista a tirarlo.
SIEM vs SOAR vs XDR
| SIEM | SOAR | XDR | |
|---|---|---|---|
| Cosa fa | Raccoglie e correla log | Orchestra e automatizza la risposta | Correla detection su piu domini |
| Focus | Visibilità e detection | Automazione playbook | Detection & response integrata |
| Dato | Qualsiasi log | Azioni e workflow | Telemetria agent-based |
Nell'Operation Storming Tide la correlazione dei segnali ha permesso di ricostruire una catena multi-stadio e contenerla: un SIEM serve a vedere il filo che lega eventi apparentemente scollegati.
Leggi l'analisi →Domande frequenti.
SIEM e SOC sono la stessa cosa?
No. Il SIEM è la piattaforma tecnologica; il SOC è il presidio (persone + processi) che la usa per rilevare e gestire gli incidenti. Vedi Cos'è un SOC.
Qual è la differenza tra SIEM e XDR?
Il SIEM ingerisce e correla qualsiasi log (massima visibilità); l'XDR correla telemetria agent-based su endpoint, identità, cloud (detection più profonda su domini integrati). Spesso convivono.
Cos'è un SOAR?
Il SOAR (Security Orchestration, Automation and Response) automatizza i flussi di risposta tramite playbook, riducendo il lavoro manuale. Lavora a valle del SIEM per accelerare il contenimento.
Quali SIEM opera Fortgale?
Fortgale eroga MDR e SOC gestito su SIEM leader come Splunk Enterprise Security, Microsoft Sentinel, Elastic Security e Sumo Logic Cloud SIEM, in modo technology-agnostic sullo stack del cliente.
Cos'è una regola di correlazione e una use case?
Una regola di correlazione lega più eventi in un solo segnale: per esempio molti login falliti seguiti da uno riuscito e da un accesso a un file sensibile. Una use case è lo scenario di attacco che si vuole rilevare, mappato su MITRE ATT&CK. Un SIEM vale per le use case che copre e per quanto sono tenute aggiornate, non per quanti log ingerisce.
Quanto costa un SIEM e come si misura?
I SIEM si tariffano in genere a volume di dati ingeriti (GB al giorno) o a eventi al secondo (EPS). Questo crea un dilemma: ingerire tutto fa esplodere i costi, ingerire poco crea punti ciechi. La scelta di quali fonti raccogliere e con quale retention è una decisione di intelligence, non solo di budget: è parte del valore di chi opera la piattaforma.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: SOC gestito Fortgale.
Risorse correlate: Cos'è un SOC · MDR vs EDR vs XDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.