SIEM - Raccolta e analisi dei dati Giacomo Lanzi

SIEM software: what it is and how it works

Tempo di lettura: 5 min

Evolvendosi al di la’ delle sue radici nella gestione dei log file, gli odierni fornitori di software per la gestione delle informazioni di sicurezza e degli eventi (SIEM) stanno introduciendo l’IA, l’analisi statistica avanzata e altri metodi analitici nei loro prodotti. Ma cos’e’ un software SIEM e quali sono i suoi utilizzi?

Il software SIEM

Acronimo di Security Information and Event Management, e’ un prodotto che fornisce ai professionisti della cyber security nelle aziende una visione d’insieme e un track record delle attivita’ all’interno del loro ambiente IT.

La tecnologia usata esiste da piu’ di un decennio, e si e’ evoluta della pratica di gestione dei log file. Ha combinato la security event management (SEM), che analizza i dati dei log e degli eventi in tempo reale per fornire monitoring delle minacce, correlazione degli eventi e risposta agli incidenti, con la security information management (SIM) che raccoglie, analizza e riporta i dati dei log.

Come funziona?

Il SIEM raccoglie e aggrega i dati di log generati in tutta l’infrastruttura tecnologica dell’organizzazione, dai sistemi e applicazioni host ai dispositivi di rete e di sicurezza come i firewall e i filtri antivirus. Quindi, identifica e categorizza gli incidenti e gli eventi, oltre ad analizzarli.

Il software persegue due principali obiettivi, che sono: fornire rapporti su incidenti ed eventi legati alla sicurezza informatica, come login riusciti e non, attivita’ di malware e altre possibili attivita’ dannose, e inviare avvisi se l’analisi mostra che un’attivita’ va contro regole prestabilite, indicando un potenziale problema di sicurezza.

Secondo gli esperti, negli ultimi anni la domanda delle imprese di maggiori misure di sicurezza ha spinto il mercato all’espansione. Oggi le grandi organizzazioni guardano al SIEM come a una base per la creazione di un centro operativo di sicurezza (SOC). 

Analisi e intelligence

Uno dei principali fattori alla base dell’utilizzo del software SIEM per le operazioni di sicurezza e’ rappresentato dalle funzionalita’ offerte.

Molti prodotti offrono, oltre ai tradizionali dati dei log file, anche feed di informazioni sulle minacce. Alcuni software SIEM hanno anche capacita’ di analisi della sicurezza ed esaminano il comportamento della rete e quello degli utenti per fornire piu’ informazioni sulla possibilita’ che un’azione indichi o meno un’attivita’ dannosa.

In linea generale, gli strumenti SIEM forniscono:

1. Visibilita’ in tempo reale attraverso i sistemi di sicurezza informatica di un’organizzazione
2. Gestione del registro eventi che consolida i dati provenienti da numerose fonti
3. Una correlazione di eventi raccolti da diversi log o fonti di sicurezza, utilizzando regole che aggiungono informazioni importanti ai dati grezzi
4. Notifiche automatiche degli eventi di sicurezza. La maggior parte dei sistemi SIEM fornisce dashboard per i problemi di sicurezza e altri metodi di notifica diretta

Il processo di funzionamento SIEM

Nella pratica, il processo di funzionamento di un sistema SIEM si puo’ suddividere nei seguenti passaggi:

1. Raccolta dati: Tutte le fonti di informazioni sulla sicurezza della rete (es. server, sistemi operativi, firewall, software antivirus e sistemi di prevenzione delle intrusioni) sono configurate per mandare i log file degli eventi. La maggior parte dei moderni strumenti SIEM utilizza agenti per raccogliere i registri degli eventi dai sistemi aziendali, che vengono poi elaborati, filtrati e inviati al sistema. 

2. Policy: Un profilo di policy viene creato dall’amministratore. Questo definisce il comportamento dei sistemi aziendali, sia in condizioni normali che durante gli incidenti di sicurezza predefiniti. Si forniscono regole predefinite, avvisi, report e dashboard che possono essere regolati e personalizzati in base alle specifiche esigenze di sicurezza.

3. Consolidamento e correlazione dei dati: Questi software consolidano, analizzano e controllano i log file. Gli eventi vengono poi categorizzati in base ai dati grezzi e vengono applicate regole di correlazione che combinano i singoli eventi.

4. Notifiche: Se un evento o un insieme di eventi fa scattare un allarme SIEM, il sistema notifica il personale di sicurezza.

E’ evidente che un SIEM si ferma all’analisi delle minacce e conseguente notifica. In seguito a queste, occorre che qualcuno intervenga, sia controllando i report che prendendo misure per mitigare l’eventuale minaccia. Questo puo’ avvenire solo se dietro al software e’ presente 24/7 una squadra di tecnici preparati che faccia manutenzione e intervenga quando necessario.

Conclusioni

Sebbene queste soluzioni offrono diversi vantaggi alle imprese di tutte le dimensioni e forme, esse presentano anche limiti e vulnerabilita’ che non dovrebbero essere ignorati.

Security Information and Event ManagementUn SIEM richiede un monitoraggio costante 24 ore su 24, 7 giorni su 7, dei registri e degli allarmi, una regolare manutenzione e configurazione, nonche’ un team di sicurezza dedicato responsabile della gestione del software. La maggior parte del lavoro inizia dopo l’implementazione del SIEM. Pertanto, le organizzazioni non possono fare affidamento solo su queste soluzioni per proteggere le infrastrutture IT critiche.

Anche con un sistema del genere in funzione, i professionisti della sicurezza devono assicurarsi di avere risorse, strumenti, budget e tempo adeguati per poter sfruttare le funzionalita’ e garantire una protezione completa contro le potenziali minacce alla sicurezza.

Sotto questo punto di vista, la soluzione piu’ interessante per le aziende e’ quella di un SOCaaS, che comprende SIEM e gli altri strumenti adeguati per una gestione completa della cyber security di un’azienda.

 Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

Contattaci

Share


RSS

RSS feed

More Articles…

Categories …

Tags

Acronis Cloud Backup BaaS Backup cloud cloud computing Cloud Conference cloud provider reggio emilia cloud server cloud services CTI cyber security cyber security cyber threat Cyber Threat Hunter Data Exfiltration GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem online hosting owncloud owncloud pentest Phishing Plesk Ransomware Ransomware security server virtuale sicurezza siem Smart Working SOAR SOCaaS Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment web hosting webinar Zabbix Zabbix as a Service

RSS Unknown Feed

RSS Full Disclosure

  • [REVIVE-SA-2026-001] Revive Adserver Vulnerabilities January 15, 2026
    Posted by Matteo Beccati on Jan 14======================================================================== Revive Adserver Security Advisory REVIVE-SA-2026-001 ------------------------------------------------------------------------ https://www.revive-adserver.com/security/revive-sa-2026-001 ------------------------------------------------------------------------ Date: 2026-01-14 Risk Level: High Applications affected: Revive...
  • Defense in depth -- the Microsoft way (part 95): the (shared) "Start Menu" is dispensable January 11, 2026
    Posted by Stefan Kanthak via Fulldisclosure on Jan 10Hi @ll, the following is a condensed form of and . Windows Vista moved the shared start menu from "%ALLUSERSPROFILE%\Start Menu\" to "%ProgramData%\Microsoft\Windows\Start Menu\", with some shortcuts (*.lnk) "reflected" from the (immutable) component store below %SystemRoot%\WinSxS\ JFTR:...
  • Re: Multiple Security Misconfigurations and Customer Enumeration Exposure in Convercent Whistleblowing Platform (EQS Group) January 11, 2026
    Posted by Art Manion via Fulldisclosure on Jan 10Hi, CVE IDs *can* be assigned for SaaS or similarly "cloud only" software. For a period of time, there was a restriction that only the provider could make or request such an assignment. But the current CVE rules remove this restriction: 4.2.3 CNAs MUST NOT consider the […]
  • RIOT OS 2026.01-devel-317 Stack-Based Buffer Overflow in RIOT ethos Serial Frame Parser January 11, 2026
    Posted by Ron E on Jan 10A stack-based buffer overflow vulnerability exists in the RIOT OS ethos utility due to missing bounds checking when processing incoming serial frame data. The vulnerability occurs in the _handle_char() function, where incoming frame bytes are appended to a fixed-size stack buffer (serial->frame) without verifying that the current write index […]
  • RIOT OS 2026.01-devel-317 Stack-Based Buffer Overflow in tapslip6 Utility via Unbounded Device Path Construction January 11, 2026
    Posted by Ron E on Jan 10A stack-based buffer overflow vulnerability exists in the tapslip6 utility distributed with RIOT OS (and derived from the legacy uIP/Contiki networking tools). The vulnerability is caused by unsafe string concatenation in the devopen() function, which constructs a device path using unbounded user-controlled input. Specifically, tapslip6 uses strcpy() and strcat() […]
  • TinyOS 2.1.2 Stack-Based Buffer Overflow in mcp2200gpio January 11, 2026
    Posted by Ron E on Jan 10A stack-based buffer overflow vulnerability exists in the mcp2200gpio utility due to unsafe use of strcpy() and strcat() when constructing device paths during automatic device discovery. A local attacker can trigger the vulnerability by creating a specially crafted filename under /dev/usb/, resulting in stack memory corruption and a process […]
  • TinyOS 2.1.2 printfUART Global Buffer Overflow via Unbounded Format Expansion January 11, 2026
    Posted by Ron E on Jan 10A global buffer overflow vulnerability exists in the TinyOS printfUART implementation used within the ZigBee / IEEE 802.15.4 networking stack. The issue arises from an unsafe custom sprintf() routine that performs unbounded string concatenation using strcat() into a fixed-size global buffer. The global buffer debugbuf, defined with a size […]
  • KL-001-2026-01: yintibao Fun Print Mobile Unauthorized Access via Context Hijacking January 8, 2026
    Posted by KoreLogic Disclosures via Fulldisclosure on Jan 08KL-001-2026-01: yintibao Fun Print Mobile Unauthorized Access via Context Hijacking Title: yintibao Fun Print Mobile Unauthorized Access via Context Hijacking Advisory ID: KL-001-2026-001 Publication Date: 2026-01-08 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2026-001.txt 1. Vulnerability Details      Affected Vendor: yintibao      Affected Product: Fun Print Mobile      Affected […]
  • Multiple Security Misconfigurations and Customer Enumeration Exposure in Convercent Whistleblowing Platform (EQS Group) January 6, 2026
    Posted by Yuffie Kisaragi via Fulldisclosure on Jan 05UPDATE: Following the publication of these vulnerabilities and the subsequent CVE assignments, the CVE identifiers have now been revoked. The vendor (EQS Group) contacted the CVE Program (via a CNA) and disputed the records, stating that the affected product is an exclusively hosted SaaS platform with no customer-managed […]
  • Panda3d v1.10.16 Uncontrolled Format String in Panda3D egg-mkfont Allows Stack Memory Disclosure January 6, 2026
    Posted by Ron E on Jan 05Panda3D’s egg-mkfont utility contains an uncontrolled format string vulnerability that allows disclosure of stack-resident memory. The -gp (glyph pattern) command-line option allows users to specify a formatting pattern intended for generating glyph texture filenames. This pattern is passed directly as the format string to sprintf() without validation or sanitization. […]

Customers

Newsletter

{subscription_form_1}
Products and Solutions
Partners
Cloud Models
News
Google Reviews
Secure Online Desktop s.r.l. place picture
Secure Online Desktop s.r.l.
4.9
Based on 37 reviews
powered by Google
review us on
Riccardo Crocilli profile picture
Riccardo Crocilli
14:02 22 Mar 19
Ho collaborato con Secure Online Desktop per importanti progetti IT. Si sono dimostrati negli anni partner seri, competenti e professionali , l' Azienda dimostra una grande esperienza maturata in tanti anni di consulenza e lavoro su contesti IT innovativi.
Davvero consigliata !!!!!
In particolare vorrei sottolineare la figura che piu’ racchiude e sintetizza le qualità della Secure Online Desktop , il suo AD Ing. Piergiorgio Venuti, professionista impagabile , sia dal punto di vista tecnico/organizzativo che soprattutto (e non dimeno) come persona , capace di gestire , risolvere e approcciare qualsivoglia attività/problematica, davvero un grande !!!!
Filippo Scavone profile picture
Filippo Scavone
13:39 22 Mar 19
Dopo anni di collaborazione confermo la professionalità, competenza ed affidabilità
clickday at2016 profile picture
clickday at2016
13:36 22 Mar 19
Con lo studio di consulenza di cui sono socio, ATS – CONSULENTI ASSOCIATI S.r.l., collaboriamo già da alcuni anni, in materia di Sicurezza informatica in ambito GDPR, con la Secure Online Desktop. Si sono dimostrati partner seri, competenti e professionali sia su clienti PMI sia su Grandi imprese.
Paolo Ferrari profile picture
Paolo Ferrari
13:34 22 Mar 19
Professionali e competenti
Paolo Raimondi profile picture
Paolo Raimondi
11:08 21 Apr 18
La Polimatica Progetti Srl, azienda di cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR)
Claudia Cavatorta profile picture
Claudia Cavatorta
21:45 20 Apr 18
Ormai da anni lavoriamo con Secure Online Desktop e ci siamo trovati sempre molto bene. L'Azienda ha dimostrato disponibilità costante nel risolvere problemi ed esigenze che nel nostro tipo di lavoro si presentano molto frequentemente. Sempre puntuali nell'implementare le modifiche richieste e propositivi riguardo a soluzioni che possano apportare migliorie ad un sistema già ottimale. Per quanto riguarda il prodotto: la piattaforma che abbiamo a disposizione funziona molto bene, la connessione è veloce e siamo sicuri di conservare i nostri dati in assoluta sicurezza.
Omid Fazeli profile picture
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Miki A. profile picture
Miki A.
13:47 16 Apr 18
Prodotti eccellenti, a partire dai classici hosting, sino a VPS e cloud strutturati.
Tempi veloci e staff preparato!
More reviews
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Based on 12 reviews
powered by Facebook
review us on
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).read more
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìread more
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!read more
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoread more
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.read more
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tiporead more
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!read more
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.read more
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.read more
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
More Reviews
js_loader
payments gateway
About