Il tuo firewall genera log. Il server di posta genera log. L'Active Directory genera log. L'EDR genera alert. Ma chi li guarda? Chi correla un login sospetto alle 2 di notte con un trasferimento di file anomalo alle 2:15? Il SIEM (Security Information and Event Management) e il sistema che raccoglie, normalizza, correla e analizza tutti questi dati per identificare le minacce informatiche.
Per la NIS2, il SIEM rappresenta la spina dorsale tecnica della capacita di rilevamento degli incidenti. Non e l'unico strumento necessario, ma e il collante che tiene tutto insieme.
Come funziona un SIEM
Un SIEM raccoglie i log da tutte le fonti (firewall, server, endpoint, applicazioni, cloud) e li normalizza in un formato uniforme. Poi applica regole di correlazione: se un utente fa login da un IP insolito E accede a file sensibili E tenta un trasferimento FTP, il SIEM genera un alert ad alta priorita. I SIEM moderni integrano anche machine learning per rilevare anomalie comportamentali che le regole statiche non catturano.
Le soluzioni SIEM sul mercato
| SIEM | Tipo | Fascia di prezzo | Ideale per |
|---|---|---|---|
| Microsoft Sentinel | Cloud-native | Pay-per-GB | Ambienti Microsoft/Azure |
| Splunk | On-prem/Cloud | Enterprise | Grandi organizzazioni |
| Elastic Security | Open source + commercial | Variabile | Chi vuole flessibilita |
| IBM QRadar | On-prem/SaaS | Enterprise | Ambienti complessi |
| Wazuh | Open source | Gratuito | PMI con competenze interne |
| LogRhythm | On-prem/Cloud | Mid-market | Medie imprese |
SIEM per le PMI: e realistico?
Storicamente, il SIEM era un lusso per le grandi aziende: costi elevati, complessita di gestione, necessita di analisti dedicati. Ma le cose stanno cambiando. Soluzioni cloud come Microsoft Sentinel (pay-per-use) e open source come Wazuh rendono il SIEM accessibile anche alle PMI. Il costo di Wazuh e zero per il software — serve solo l'infrastruttura per ospitarlo e le competenze per gestirlo.
L'alternativa per le PMI e affidarsi a un SOC esterno che includa il SIEM nel servizio. In questo caso, il SIEM e gestito dal MSSP, l'azienda paga un canone mensile e riceve alert e report senza doversi preoccupare della tecnologia.
Implementazione: le sfide
- Volume dei log — la quantita di dati puo essere enorme. Serve pianificare lo storage e il costo del SIEM in base ai GB/giorno
- Regole di correlazione — le regole out-of-the-box non bastano. Servono regole personalizzate per il tuo ambiente
- Falsi positivi — un SIEM mal configurato genera migliaia di alert inutili che annegano quelli importanti
- Competenze — servono analisti che sappiano leggere gli alert e distinguere le minacce reali dal rumore
- Integrazione fonti — collegare tutte le fonti di log richiede tempo e configurazione
SIEM e NIS2: i requisiti
La NIS2 richiede capacita di rilevamento degli incidenti e conservazione dei log. Un SIEM soddisfa entrambi i requisiti. I log devono essere conservati per un periodo sufficiente a permettere l'analisi forense post-incidente — le best practice suggeriscono almeno 12 mesi. Il SIEM deve anche supportare la generazione dei report necessari per le notifiche al CSIRT e per le ispezioni ACN.