Requisiti del Security Information and Event Management (SIEM). Nel presente paragrafo sono descritti i requisiti minimi e migliorativi relativi al SIEM. Il SIEM è l’elemento che consente di raccogliere, archiviare, monitorare log e correlare eventi con l’obiettivo di identificare attacchi o violazioni di dati. Esso fornisce un utile strumento a supporto delle attività di indagine (sia in real time sia storiche) in risposta a incidenti di sicurezza o a supporto dell’analisi forense o ancora a supporto della compliance a standard. Il SIEM consente di aggregare gli eventi che sono originati da una vasta gamma di elementi, tra cui apparati di sicurezza, apparati di rete, endpoint e applicazioni, tipicamente attraverso l’analisi dei log prodotti ma anche attraverso altre fonti, quali ad esempio il traffico di rete. I dati raccolti possono essere arricchiti con ulteriori dati di contesto, quali ad esempio utenti, asset, minacce conosciute e vulnerabilità riscontrate. Il SIEM effettua attività di normalizzazione delle informazioni raccolte dalle varie fonti, fornendo viste e report specifici che consentono di semplificare le attività di analisi della vasta mole di dati raccolta. Per il SIEM (per il quale è richiesta la quotazione di una soluzione composta da Appliance fisica Hardware e relativo Software) sono richieste sei fasce dimensionali in funzione del numero di device ed eventi gestiti: • SIEM_1 (fascia 1): fino a 50 device e massimo 300 eps; • SIEM_2 (fascia 2): fino a 100 device e massimo 600 eps; • SIEM_3 (fascia 3): fino a 200 device e massimo 1200 eps; • SIEM_4 (fascia 4): fino a 500 device e massimo 3000 eps; • SIEM_5 (fascia 5): fino a 1000 device e massimo 6000 eps; • SIEM_6 (fascia 6): fino a 2500 device e massimo 15000 eps. Nelle tabelle seguenti si riportano i requisiti minimi e migliorativi comuni a tutte le fasce richieste.
