Un SIEM (Security Information and Event Management) è una piattaforma software che raccoglie, normalizza, correla e analizza in tempo reale gli eventi di sicurezza prodotti da tutti i sistemi di un’infrastruttura IT — server, endpoint, firewall, IDS/IPS, applicazioni, sistemi di autenticazione — con l’obiettivo di rilevare incidenti, supportare le indagini forensi e soddisfare i requisiti di conformità normativa.
Il termine combina due funzioni distinte che storicamente erano prodotti separati: SIM (Security Information Management, archiviazione e analisi storica dei log) e SEM (Security Event Management, correlazione e allarme in tempo reale).
Funzioni principali
Raccolta e normalizzazione: il SIEM riceve log ed eventi da sorgenti eterogenee tramite agent, syslog, API o connettori dedicati. Ogni sorgente produce dati in formati diversi; il SIEM li normalizza in uno schema comune per permettere la correlazione.
Correlazione: la funzione più critica. Il SIEM applica regole di correlazione (use case) che mettono in relazione eventi apparentemente indipendenti per rilevare pattern di attacco. Esempio: un singolo fallimento di autenticazione è rumore; 500 fallimenti in 30 secondi da un IP esterno su 50 account diversi è un attacco di password spraying — rilevabile solo correlando eventi dal sistema di autenticazione.
Alerting: quando una regola di correlazione si attiva, il SIEM genera un allarme (alert) che viene preso in carico dagli analisti del SOC (Security Operations Center).
Archiviazione a lungo termine: i log vengono conservati per mesi o anni per supportare le indagini forensi post-incidente e dimostrare conformità a standard come PCI DSS, ISO 27001 o GDPR.
Dashboard e reporting: visibilità in tempo reale sulla postura di sicurezza e report periodici per i compliance officer.
Use case tipici
- Rilevamento di attacchi brute-force e password spraying
- Individuazione di accessi anomali (orari insoliti, geolocalizzazione impossibile)
- Rilevamento di movimento laterale (un account che accede a risorse inusuali)
- Correlazione di alert IDS con eventi di autenticazione e traffico di rete
- Rilevamento di esfiltrazione di dati (volumi anomali di traffico uscente)
- Monitoraggio delle modifiche a file critici (HIDS integration)
SIEM e SOAR
I SIEM moderni si integrano con piattaforme SOAR (Security Orchestration, Automation and Response), che automatizzano parte della risposta agli incidenti. Quando il SIEM rileva un pattern noto a basso rischio (es. scansione di porte da un IP noto come scanner di ricerca), il SOAR può automaticamente bloccare l’IP, creare un ticket e chiuderlo senza intervento umano — liberando gli analisti per gli incidenti che richiedono giudizio.
Alert fatigue
Il problema principale nella gestione di un SIEM è l’alert fatigue: se le regole di correlazione sono troppo permissive, il SIEM genera centinaia di allarmi al giorno, la maggior parte dei quali sono falsi positivi. Gli analisti si desensibilizzano e iniziano a ignorare gli allarmi, vanificando l’investimento. La qualità del SIEM si misura non nel numero di alert generati, ma nel rapporto segnale/rumore — che richiede tuning continuo e contestualizzazione degli alert con i dati specifici dell’organizzazione.