SIEM - Raccolta e analisi dei dati Giacomo Lanzi

SIEM software: what it is and how it works

Tempo di lettura: 5 min

Evolvendosi al di la’ delle sue radici nella gestione dei log file, gli odierni fornitori di software per la gestione delle informazioni di sicurezza e degli eventi (SIEM) stanno introduciendo l’IA, l’analisi statistica avanzata e altri metodi analitici nei loro prodotti. Ma cos’e’ un software SIEM e quali sono i suoi utilizzi?

Il software SIEM

Acronimo di Security Information and Event Management, e’ un prodotto che fornisce ai professionisti della cyber security nelle aziende una visione d’insieme e un track record delle attivita’ all’interno del loro ambiente IT.

La tecnologia usata esiste da piu’ di un decennio, e si e’ evoluta della pratica di gestione dei log file. Ha combinato la security event management (SEM), che analizza i dati dei log e degli eventi in tempo reale per fornire monitoring delle minacce, correlazione degli eventi e risposta agli incidenti, con la security information management (SIM) che raccoglie, analizza e riporta i dati dei log.

Come funziona?

Il SIEM raccoglie e aggrega i dati di log generati in tutta l’infrastruttura tecnologica dell’organizzazione, dai sistemi e applicazioni host ai dispositivi di rete e di sicurezza come i firewall e i filtri antivirus. Quindi, identifica e categorizza gli incidenti e gli eventi, oltre ad analizzarli.

Il software persegue due principali obiettivi, che sono: fornire rapporti su incidenti ed eventi legati alla sicurezza informatica, come login riusciti e non, attivita’ di malware e altre possibili attivita’ dannose, e inviare avvisi se l’analisi mostra che un’attivita’ va contro regole prestabilite, indicando un potenziale problema di sicurezza.

Secondo gli esperti, negli ultimi anni la domanda delle imprese di maggiori misure di sicurezza ha spinto il mercato all’espansione. Oggi le grandi organizzazioni guardano al SIEM come a una base per la creazione di un centro operativo di sicurezza (SOC). 

Analisi e intelligence

Uno dei principali fattori alla base dell’utilizzo del software SIEM per le operazioni di sicurezza e’ rappresentato dalle funzionalita’ offerte.

Molti prodotti offrono, oltre ai tradizionali dati dei log file, anche feed di informazioni sulle minacce. Alcuni software SIEM hanno anche capacita’ di analisi della sicurezza ed esaminano il comportamento della rete e quello degli utenti per fornire piu’ informazioni sulla possibilita’ che un’azione indichi o meno un’attivita’ dannosa.

In linea generale, gli strumenti SIEM forniscono:

1. Visibilita’ in tempo reale attraverso i sistemi di sicurezza informatica di un’organizzazione
2. Gestione del registro eventi che consolida i dati provenienti da numerose fonti
3. Una correlazione di eventi raccolti da diversi log o fonti di sicurezza, utilizzando regole che aggiungono informazioni importanti ai dati grezzi
4. Notifiche automatiche degli eventi di sicurezza. La maggior parte dei sistemi SIEM fornisce dashboard per i problemi di sicurezza e altri metodi di notifica diretta

Il processo di funzionamento SIEM

Nella pratica, il processo di funzionamento di un sistema SIEM si puo’ suddividere nei seguenti passaggi:

1. Raccolta dati: Tutte le fonti di informazioni sulla sicurezza della rete (es. server, sistemi operativi, firewall, software antivirus e sistemi di prevenzione delle intrusioni) sono configurate per mandare i log file degli eventi. La maggior parte dei moderni strumenti SIEM utilizza agenti per raccogliere i registri degli eventi dai sistemi aziendali, che vengono poi elaborati, filtrati e inviati al sistema. 

2. Policy: Un profilo di policy viene creato dall’amministratore. Questo definisce il comportamento dei sistemi aziendali, sia in condizioni normali che durante gli incidenti di sicurezza predefiniti. Si forniscono regole predefinite, avvisi, report e dashboard che possono essere regolati e personalizzati in base alle specifiche esigenze di sicurezza.

3. Consolidamento e correlazione dei dati: Questi software consolidano, analizzano e controllano i log file. Gli eventi vengono poi categorizzati in base ai dati grezzi e vengono applicate regole di correlazione che combinano i singoli eventi.

4. Notifiche: Se un evento o un insieme di eventi fa scattare un allarme SIEM, il sistema notifica il personale di sicurezza.

E’ evidente che un SIEM si ferma all’analisi delle minacce e conseguente notifica. In seguito a queste, occorre che qualcuno intervenga, sia controllando i report che prendendo misure per mitigare l’eventuale minaccia. Questo puo’ avvenire solo se dietro al software e’ presente 24/7 una squadra di tecnici preparati che faccia manutenzione e intervenga quando necessario.

Conclusioni

Sebbene queste soluzioni offrono diversi vantaggi alle imprese di tutte le dimensioni e forme, esse presentano anche limiti e vulnerabilita’ che non dovrebbero essere ignorati.

Security Information and Event ManagementUn SIEM richiede un monitoraggio costante 24 ore su 24, 7 giorni su 7, dei registri e degli allarmi, una regolare manutenzione e configurazione, nonche’ un team di sicurezza dedicato responsabile della gestione del software. La maggior parte del lavoro inizia dopo l’implementazione del SIEM. Pertanto, le organizzazioni non possono fare affidamento solo su queste soluzioni per proteggere le infrastrutture IT critiche.

Anche con un sistema del genere in funzione, i professionisti della sicurezza devono assicurarsi di avere risorse, strumenti, budget e tempo adeguati per poter sfruttare le funzionalita’ e garantire una protezione completa contro le potenziali minacce alla sicurezza.

Sotto questo punto di vista, la soluzione piu’ interessante per le aziende e’ quella di un SOCaaS, che comprende SIEM e gli altri strumenti adeguati per una gestione completa della cyber security di un’azienda.

 Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

Contattaci

Share


RSS

RSS feed

More Articles…

Categories …

Tags

Acronis Cloud Backup BaaS Backup cloud cloud computing Cloud Conference cloud provider reggio emilia cloud server cloud service provider cloud services cyber security cyber security cyber threat Cyber Threat Hunter Data Exfiltration GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem online hosting owncloud owncloud pentest Phishing Plesk Ransomware Ransomware security Security Information and Event Management server virtuale sicurezza siem Smart Working SOAR SOCaaS Threat intelligence UEBA VDS vps vulnerability assessment webinar Wordpress Zabbix Zabbix as a Service

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL January 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 January 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation January 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin January 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) January 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm January 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 January 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 January 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 January 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 January 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter

Products and Solutions
Partners
Cloud Models
News
Google Reviews
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
4.9
Based on 37 reviews
powered by Google
review us on
Riccardo Crocilli
Riccardo Crocilli
14:02 22 Mar 19
Ho collaborato con Secure Online... Desktop per importanti progetti IT. Si sono dimostrati negli anni partner seri, competenti e professionali , l' Azienda dimostra una grande esperienza maturata in tanti anni di consulenza e lavoro su contesti IT innovativi. Davvero consigliata !!!!! In particolare vorrei sottolineare la figura che piu’ racchiude e sintetizza le qualità della Secure Online Desktop , il suo AD Ing. Piergiorgio Venuti, professionista impagabile , sia dal punto di vista tecnico/organizzativo che soprattutto (e non dimeno) come persona , capace di gestire , risolvere e approcciare qualsivoglia attività/problematica, davvero un grande !!!!read more
Filippo Scavone
Filippo Scavone
13:39 22 Mar 19
Dopo anni di collaborazione confermo la... professionalità, competenza ed affidabilitàread more
clickday at2016
clickday at2016
13:36 22 Mar 19
Con lo studio di consulenza di cui sono... socio, ATS – CONSULENTI ASSOCIATI S.r.l., collaboriamo già da alcuni anni, in materia di Sicurezza informatica in ambito GDPR, con la Secure Online Desktop. Si sono dimostrati partner seri, competenti e professionali sia su clienti PMI sia su Grandi imprese.read more
Paolo Ferrari
Paolo Ferrari
13:34 22 Mar 19
Professionali e competenti
Paolo Raimondi
Paolo Raimondi
11:08 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR)read more
Claudia Cavatorta
Claudia Cavatorta
21:45 20 Apr 18
Ormai da anni lavoriamo con Secure... Online Desktop e ci siamo trovati sempre molto bene. L'Azienda ha dimostrato disponibilità costante nel risolvere problemi ed esigenze che nel nostro tipo di lavoro si presentano molto frequentemente. Sempre puntuali nell'implementare le modifiche richieste e propositivi riguardo a soluzioni che possano apportare migliorie ad un sistema già ottimale. Per quanto riguarda il prodotto: la piattaforma che abbiamo a disposizione funziona molto bene, la connessione è veloce e siamo sicuri di conservare i nostri dati in assoluta sicurezza.read more
Omid Fazeli
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any... kind of business. Lower prices than many others. The support service is always active and efficient.read more
Miki A.
Miki A.
13:47 16 Apr 18
Prodotti eccellenti, a partire dai... classici hosting, sino a VPS e cloud strutturati.Tempi veloci e staff preparato!read more
Next Reviews
js_loader

Facebook

Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Based on 17 reviews
powered by Facebook
Paolo Raimondi
Paolo Raimondi
2018-04-21T11:06:26+0000
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).read more
Ilaria Miglietta
Ilaria Miglietta
2018-04-21T04:16:37+0000
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìread more
Maurizio Sclafani
Maurizio Sclafani
2018-04-20T12:38:01+0000
Francesca Marastoni
Francesca Marastoni
2018-04-20T11:41:31+0000
Excellent service company with... wonderful stuff. Highly recommended. Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!read more
Alessio Liga
Alessio Liga
2018-04-20T08:25:22+0000
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business Ottimo supportoread more
Matteo Revelli
Matteo Revelli
2018-04-19T22:39:41+0000
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.read more
Lorenzo Munari
Lorenzo Munari
2018-04-19T16:25:10+0000
Azienda molto seria e affidabile. E'... un piacere poter collaborare con realtà di questo tiporead more
Francisco Amadi
Francisco Amadi
2018-04-19T10:41:17+0000
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!read more
Davide Michelotto
Davide Michelotto
2018-04-19T07:42:23+0000
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.read more
Gabriele Petralia
Gabriele Petralia
2018-04-18T12:28:00+0000
Luca Prati
Luca Prati
2018-04-18T10:12:13+0000
Azienda eccellente, consulenza... customizzata e puntuale. Un ottimo fornitore. Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.read more
Valerio Lezza
Valerio Lezza
2018-04-17T21:35:41+0000
Daniela Cospito Di Leo
Daniela Cospito Di Leo
2018-04-17T21:20:46+0000
Andrea Rizzo
Andrea Rizzo
2018-04-17T20:45:51+0000
Next Reviews
payments gateway
About