Le piccole imprese hanno bisogno di un SIEM?

Non necessariamente. Per le piccole imprese (con meno di 50 dipendenti) può essere sufficiente un servizio MDR o anche un buon EDR con reporting sul cloud. I SIEM diventano preziosi quando il volume dei log e la diversità delle fonti superano ciò che gli avvisi integrati dei singoli strumenti possono gestire.

Qual è la differenza tra SIEM ed EDR?

L'EDR si concentra sugli endpoint: laptop, server, a volte mobili. SIEM aggrega da tutte le fonti, inclusi endpoint, rete, cloud e applicazioni. Sono complementari; i moderni prodotti XDR li integrano.

Il lavoro SOC è un buon percorso professionale?

Sì: domanda elevata, buon percorso di crescita salariale, esposizione a molti ambiti della sicurezza. Il livello 1 è ripetitivo e soggetto al burnout; il percorso è solitamente quello di passare al Livello 2/3 entro 1-3 anni e da lì alla specializzazione (intelligence sulle minacce, ingegneria di rilevamento, risposta agli incidenti).

Un SIEM può rilevare attacchi zero-day?

A volte, attraverso modelli comportamentali piuttosto che firme specifiche. L'esfiltrazione di massa di dati, movimenti laterali insoliti o comportamenti anomali dell'account possono essere rilevati anche quando l'exploit specifico è sconosciuto. Il tasso di cattura dipende fortemente dalla qualità dell’ingegneria di rilevamento, non solo dalla capacità SIEM.

Per quanto tempo i SOC conservano i registri?

Comune: 90 giorni caldi (immediatamente interrogabili), 1 anno freddo (archiviato ma accessibile), spesso 7 anni freddi per contesti di conformità (servizi finanziari, assistenza sanitaria). I costi di conservazione si sommano; molte organizzazioni riducono la hot-retention per gestire i costi SIEM.

SIEM e SOC spiegano: come le organizzazioni guardano le loro reti di notte

Un SIEM è il sistema nervoso centrale delle operazioni di sicurezza aziendale: la piattaforma che raccoglie, correla e invia avvisi sugli eventi di sicurezza provenienti dall'intera infrastruttura di un'organizzazione. Un SOC è la squadra che osserva il SIEM. La combinazione definisce il modo in cui vengono rilevati e gestiti gli incidenti di sicurezza moderni.

Il corpo completo dell'articolo è fornito in inglese di seguito.

SIEM (Security Information and Event Management) è una categoria di piattaforme che aggregano i log provenienti dall'infrastruttura IT di un'organizzazione, li normalizzano, correlano gli eventi tra le fonti e producono avvisi quando emergono modelli di preoccupazione. SOC (Security Operations Center) è il team che risponde a questi avvisi.

Cosa fa il SIEM

Raccolta di log. Acquisisci log da firewall, endpoint, server, applicazioni, servizi cloud, provider di identità, dispositivi di rete: tutto ciò che può produrre logs.
Normalization. Converte diversi formati di log in uno schema comune in modo che sia possibile la correlazione tra origini.
Storage. Conservazione a lungo termine (in genere 90 giorni caldi, più di 1 anno freddi) per conformità e interview.
Correlation. Applica regole e analisi per individuare modelli su più origini (accesso non riuscito da parte dell'utente A nel paese X, seguito da un accesso riuscito dal paese Y, seguito da un picco di esfiltrazione di dati).
Alerting. Genera avvisi quando vengono stabilite regole di correlazione fire.
Interfaccia di indagine. Strumenti che consentono agli analisti di approfondire incidenti specifici, ruotando tra flussi di eventi.
Reporting. Dashboard per dirigenti, report di audit per regolatori.

Major SIEM prodotti

Splunk: il leader di mercato. Potente linguaggio di query (SPL), ampia copertura delle origini dati. Costoso su larga scala.
Microsoft Sentinel: nativo per il cloud (Azure), buona integrazione con la telemetria di Microsoft 365.
Elastic SIEM (in precedenza Elastic Security): basato su Elastic Stack, popolare per i team già operativi it.
Google Chronicle / SecOps: l'offerta di Google, forte nell'integrazione dell'intelligence sulle minacce.
IBM QRadar: di lunga tradizione, integrato con lo stack di sicurezza più ampio di IBM.
LogRhythm, Securonix, Exabeam: offerte di secondo livello con vari differenziatori.
Wazuh: SIEM open source, popolare per le organizzazioni con limiti di budget.

Struttura del team SOC

Un tipico SOC di una grande organizzazione è suddiviso in più livelli analisti:

Tier 1. Triage. Revisione iniziale dell'avviso, decidi se vale la pena intensificarlo. Volume elevato, molti falsi positivi.
Tier 2. Indagine. Approfondisci gli avvisi che il Livello 1 intensifica. Correla tra le fonti, determina se si è verificato un incidente reale.
Tier 3. Risposta agli incidenti e caccia alle minacce. Indagine attiva, coordinamento con altri team, ricerca proattiva di minacce nascoste.
Responsabile SOC. Supervisiona il team, si coordina con IT e management più ampi.
Engineers. Mantiene il SIEM, scrive regole di rilevamento, ottimizza le firme.

Le organizzazioni più piccole lo comprimono in uno o due ruoli, spesso integrati da un fornitore di rilevamento e risposta gestiti (MDR).

LIl problema dell'affaticamento degli avvisi

SIEM genera grandi volumi di avvisi. I SIEM tipici delle grandi organizzazioni producono migliaia di avvisi al giorno; la maggior parte sono falsi positivi o di bassa gravità. Il lavoro dell'analista di livello 1 diventa filtrare il rumore anziché individuare le minacce reali.

I SIEM moderni e i prodotti adiacenti risolvono questo problema:

Migliore correlazione riduzione del rumore tramite contesto
Apprendimento automatico per assegnare priorità agli avvisi
SOAR (Security Orchestration, Automation, and Response) piattaforme che automatizzano il lavoro di livello 1
UEBA (utente ed entità Analisi comportamentale) che rileva anomalie rispetto a regole grezze
XDR (Extended Detection and Response) che integra SIEM, EDR, NDR per la correlazione tra domini

SOC vs MDR vs MSSP

SOC: team interno che esegue SIEM interno. Massimo controllo, massimo costo. Grandi imprese.
MSSP (fornitore di servizi di sicurezza gestiti): operazioni di sicurezza in outsourcing. Fornisce monitoraggio e risposta di base. Conveniente per le organizzazioni di medie dimensioni.
MDR (Managed Detection and Response): MSSP più sofisticato che esegue la ricerca attiva delle minacce e la risposta agli incidenti. Costo più elevato rispetto a MSSP, inferiore a SOC interno.

La scelta giusta dipende dalle dimensioni dell'organizzazione, dal profilo di rischio, dai requisiti normativi e dal budget. La maggior parte delle organizzazioni con meno di 500 persone utilizza MSSP o MDR anziché creare SOC interni.

Cosa viene monitorato

Origini dati SIEM standard:

Log eventi di Windows/Log di sistema Linux da ogni server e workstation
Log del firewall (Palo Alto, Fortinet, Cisco)
Log VPN
Ilog del provider di identità (Okta, Microsoft Entra)
Log di controllo cloud (AWS CloudTrail, log di attività di Azure, log di controllo GCP)
Log di sicurezza e-mail
Avvisi EDR
Web registri proxy
Registri delle applicazioni (a seconda delle app critiche)

Lil volume dei dati aumenta rapidamente. Un'impresa di medie dimensioni genera oltre 100 GB al giorno di dati di registro; le grandi imprese generano TB/giorno. I prezzi SIEM spesso si riferiscono al volume di acquisizione; ciò crea una reale tensione ingegneristica tra la raccolta di tutto e la gestione dei costi.

Per i privati

SIEM e SOC sono strumenti su scala aziendale. L'equivalente concettuale per i privati: presta attenzione alle notifiche di sicurezza del tuo provider di posta elettronica, della tua banca, dei tuoi account cloud. I principali fornitori consumer dispongono di versioni leggere integrate di ciò che fanno i SIEM per le aziende: ti avvisano in caso di attività sospette. Tratta questi avvisi come vorresti che un analista SOC trattasse gli avvisi reali: indaga anziché ignorare.

Domande frequenti

Le piccole imprese hanno bisogno di un SIEM?: Non necessariamente. Per le piccole imprese (con meno di 50 dipendenti) può essere sufficiente un servizio MDR o anche un buon EDR con reporting sul cloud. I SIEM diventano preziosi quando il volume dei log e la diversità delle fonti superano ciò che gli avvisi integrati dei singoli strumenti possono gestire.
Qual è la differenza tra SIEM ed EDR?: L'EDR si concentra sugli endpoint: laptop, server, a volte mobili. SIEM aggrega da tutte le fonti, inclusi endpoint, rete, cloud e applicazioni. Sono complementari; i moderni prodotti XDR li integrano.
Il lavoro SOC è un buon percorso professionale?: Sì: domanda elevata, buon percorso di crescita salariale, esposizione a molti ambiti della sicurezza. Il livello 1 è ripetitivo e soggetto al burnout; il percorso è solitamente quello di passare al Livello 2/3 entro 1-3 anni e da lì alla specializzazione (intelligence sulle minacce, ingegneria di rilevamento, risposta agli incidenti).
Un SIEM può rilevare attacchi zero-day?: A volte, attraverso modelli comportamentali piuttosto che firme specifiche. L'esfiltrazione di massa di dati, movimenti laterali insoliti o comportamenti anomali dell'account possono essere rilevati anche quando l'exploit specifico è sconosciuto. Il tasso di cattura dipende fortemente dalla qualità dell’ingegneria di rilevamento, non solo dalla capacità SIEM.
Per quanto tempo i SOC conservano i registri?: Comune: 90 giorni caldi (immediatamente interrogabili), 1 anno freddo (archiviato ma accessibile), spesso 7 anni freddi per contesti di conformità (servizi finanziari, assistenza sanitaria). I costi di conservazione si sommano; molte organizzazioni riducono la hot-retention per gestire i costi SIEM.