Cos'è un SIEM (Security Information and Event Management)?

Un'infrastruttura IT moderna genera una quantità enorme di dati di log da centinaia di fonti diverse: log dei firewall, log dei server, log delle applicazioni, log degli antivirus. Analizzarli manualmente è impossibile. Un sistema SIEM (Security Information and Event Management) è una soluzione software che automatizza questo processo.

È lo strumento principale usato dagli analisti in un SOC (Security Operations Center).

Le Funzioni Chiave di un SIEM

1. Raccolta dei Log (Log Aggregation)

Il SIEM si collega a tutte le fonti di dati di sicurezza dell'azienda (server, firewall, switch, endpoint, etc.) e raccoglie i loro log in un repository centrale e normalizzato.

2. Correlazione degli Eventi (Event Correlation)

Questa è la sua funzione più importante. Il SIEM non si limita a immagazzinare i log, ma li analizza in tempo reale usando un potente motore di correlazione. Cerca pattern e relazioni tra eventi apparentemente scollegati provenienti da fonti diverse, che potrebbero indicare un attacco. Ad esempio, una regola di correlazione potrebbe essere:

"Genera un allarme se un utente si logga con successo da Roma e poi, 20 minuti dopo, tenta di loggarsi (fallendo) da un indirizzo IP di Mosca. Potrebbe essere un attacco di password spray."

3. Alerting e Dashboard

Quando una regola di correlazione viene attivata, il SIEM genera un allarme (alert) che viene presentato agli analisti di sicurezza su una dashboard. Gli alert sono prioritizzati in base alla loro gravità, permettendo agli analisti di concentrarsi sulle minacce più critiche.

4. Conservazione a Lungo Termine e Analisi Forense

Il SIEM archivia i log in modo sicuro per un lungo periodo di tempo. In caso di un incidente di sicurezza, questi log sono una risorsa inestimabile per l'analisi forense, per ricostruire la catena dell'attacco e capire come è avvenuta la violazione.