Contattaci
Fibre
Contattaci
Nessun risultato trovato.
Sicurezza informaticaThreat Detection and Response (TDR)SIEM

I 13 migliori strumenti SIEM open source

Cem Dilmegani
Cem Dilmegani
aggiornato il Mar 2, 2026
Guarda il nostro norme etiche

Non esiste un singolo strumento open-source che offra un SIEM completo e pronto per la produzione, "chiavi in mano". Ogni opzione comporta un compromesso: o si ottiene un SIEM progettato specificamente per quello scopo, ma con lacune nell'analisi dei dati, oppure una potente suite di logging e analisi che richiede però di implementare manualmente il rilevamento delle minacce.

Ecco alcuni strumenti open source gratuiti, affini alla categoria SIEM, per creare la tua soluzione da zero:

Strumenti SIEM open source

Attrezzo
Stelle di GitHub
Caso d'uso principale
Prezzi
Wazuh
Oltre 11.000
SIEM
✅ Gratuito (versione on-premise)
Graylog
Oltre 7.600
SIEM
➕ Freemium
OSSEC
Oltre 4.600
SIEM
➕ Freemium
SecurityOnion
Oltre 3.600
SIEM
✅ Gratuito
AlienVault OSSIM
120+
SIEM
✅ Gratuito
La pila ELK
Oltre 17.000
Archivio dei log e analisi
➕ Freemium
Fluente
Oltre 13.000
Archivio dei log e analisi
➕ Freemium

Ricerca aperta
Oltre 10.000
Archivio dei log e analisi
➕ Freemium
Suricata
Oltre 5.000
Rilevamento delle intrusioni
➕ Freemium
Snorker3
Oltre 2.800
Rilevamento delle intrusioni
➕ Freemium

Questi strumenti in genere memorizzano i log negli indici Elasticsearch per un periodo di conservazione configurabile, in base alle politiche di archiviazione e dei dati. Per l'archiviazione a lungo termine, potrebbero essere necessarie procedure di archiviazione aggiuntive o integrazioni.

Funzionalità SIEM

*❌: Richiede l'integrazione con agenti di terze parti (ad esempio, Elastic Agent).

Le piattaforme SIEM si basano su dati accurati degli endpoint. Scopri come il software di gestione degli endpoint migliora il rilevamento e la risposta, garantendo che i dispositivi siano gestiti e protetti in modo efficace.

Due tipi di strumenti open-source

Gli strumenti focalizzati sul SIEM offrono nativamente la maggior parte delle funzionalità principali: correlazione dei log, avvisi, visualizzazione e alcuni report di conformità. Sono più rigidi e più facili da configurare. Wazuh e SecurityOnion rientrano in questa categoria.

Le piattaforme di logging e analisi sono potenti strumenti di infrastruttura dati, eccellenti per la raccolta, l'archiviazione e la visualizzazione dei log , ma non includono di serie una logica di rilevamento delle minacce. Pensatele come le fondamenta su cui costruire un SIEM. ELK Stack, OpenSearch e Graylog Open rientrano in questa categoria.

Alternative commerciali

Gli strumenti SIEM open-source spesso non dispongono delle interfacce intuitive per la creazione di regole presenti negli strumenti commerciali. Inoltre, le loro funzionalità di correlazione sono più basilari e nella maggior parte dei casi non offrono funzionalità predefinite come:

  • dashboard predefinite per la gestione dei log
  • rapporti di conformità (ad es. PCI-DSS, HIPAA)
  • integrazioni con altri strumenti aziendali, come firewall, sistemi di protezione degli endpoint,

Gli strumenti SIEM commerciali offrono funzionalità SIEM di base, tra cui:

  • correlazione degli eventi, analisi dei log
  • capacità di effettuare la valutazione del rischio
  • fornire azioni raccomandate in base ai punteggi di rischio
  • Conservazione a lungo termine fino a 12 mesi
  • Analisi del comportamento di utenti ed entità con modelli di apprendimento automatico predefiniti

Gli strumenti SIEM commerciali offrono anche diverse funzioni di orchestrazione e risposta, nonché modalità per automatizzare le attività del SOC. Alcuni fornitori di SIEM hanno integrato funzionalità SOAR per essere più reattivi. Questo è tipico, poiché sempre più strumenti di sicurezza aggiungono funzionalità di automazione per renderli più facili da usare e più produttivi. In alcuni casi, ciò fa rientrare questi prodotti nella categoria SOAR .

Spiegazione degli strumenti SIEM open source

Wazuh

Wazuh è il SIEM open-source più completo attualmente disponibile. Viene fornito come una piattaforma completa con quattro componenti: un Indexer (basato su OpenSearch, che memorizza e indicizza gli avvisi), un Server (il motore principale che raccoglie i log dagli agenti, analizza gli eventi e identifica gli indicatori di compromissione), una Dashboard (interfaccia web per la visualizzazione di eventi e minacce) e un Agent (che viene eseguito sugli endpoint e inoltra gli eventi al server).

Offre analisi dei log di sicurezza, rilevamento delle vulnerabilità, valutazione della configurazione di sicurezza e reportistica sulla conformità normativa in modo nativo, insieme ad avvisi e reportistica basata sugli eventi, senza la necessità di integrazioni significative con terze parti.

Scopri il concept di Wazuh:

Graylog

Graylog centralizza i log e fornisce avvisi e dashboard tramite un'interfaccia intuitiva. È importante sapere che Graylog è rilasciato sotto licenza Server Side Public License (SSPL), che non è una licenza open source approvata dall'OSI, ma è più correttamente definibile come open-core o con codice sorgente disponibile.

1

Il livello gratuito copre le funzionalità di base di aggregazione e avviso dei log. Le funzionalità più rilevanti per l'utilizzo SIEM, come il filtraggio della ricerca dei log, l'archiviazione dei log, il rilevamento delle anomalie, le visualizzazioni predefinite e i report di conformità, sono incluse nel livello a pagamento Graylog Security. Graylog 7.0 ha introdotto un endpoint sperimentale del Model Context Protocol (MCP) che consente ai client LLM di connettersi direttamente a un'istanza Graylog per eseguire query in tempo reale utilizzando prompt in linguaggio naturale.

OSSEC

OSSEC è un sistema open-source di rilevamento delle intrusioni su host (HIDS). Raccoglie e analizza i dati di log e offre alcune funzionalità simili a quelle di un SIEM, ma è privo dei componenti di gestione e analisi dei log tipici di un SIEM completo. È stato in gran parte sostituito da Wazuh, derivato da OSSEC e tuttora oggetto di sviluppo attivo.

Componenti:

  • Gestore: raccoglie i log dalle fonti di dati.
  • Agenti: raccolgono ed elaborano i registri.

OpenSearch come soluzione SIEM: OSSEC offre le funzionalità SIEM di base: raccoglie e analizza i dati; tuttavia, mancano alcuni componenti fondamentali per la gestione e l'analisi dei log.

SecurityOnion

SecurityOnion funziona come SIEM e sistema di rilevamento delle intrusioni (IDS). Integra altri strumenti open-source come Snort, Suricata e Wazuh per offrire funzionalità complete di monitoraggio e rilevamento delle intrusioni a livello di rete e di host.

SecurityOnion include strumenti utili per analisi approfondite, come Wireshark per l'analisi del traffico di rete e Network Miner per l'acquisizione di pacchetti e l'analisi forense di rete.

SecurityOnion come soluzione SIEM:

  • IDS basato su host e su rete : monitora e rileva attività sospette su host e reti.
  • Acquisizione completa dei pacchetti (FPC) : cattura il traffico di rete con netsniff-ng per rilevare l'esfiltrazione di dati, malware, phishing e altri attacchi.
  • Rilevamento delle minacce : utilizza SGUIL in SecurityOnion per identificare attività dannose, inclusi tentativi di accesso non riusciti a firewall e controller di dominio, migliorando la visibilità e le informazioni.

AlienVault OSSIM

OSSIM è la versione open-source della piattaforma di gestione unificata della sicurezza di AlienVault. Il suo punto di forza principale è l'inclusione di OpenVAS, uno scanner di vulnerabilità open-source, che gli consente di correlare gli avvisi IDS di Snort e Suricata con i risultati delle scansioni di vulnerabilità, una funzionalità davvero utile.

AlienVault OSSIM come soluzione SIEM: uno dei principali punti di forza di OSSIM è l'integrazione con OpenVAS (uno scanner di vulnerabilità open-source). Questo permette a OSSIM di correlare i log degli IDS (provenienti da strumenti come Snort e Suricata) con i risultati degli scanner di vulnerabilità.

OSSIM offre:

  • Raccolta ed elaborazione degli eventi.
  • Correlazione dei dati di sicurezza provenienti da più fonti.
  • Valutazione delle vulnerabilità con integrazione OpenVAS.
  • Notifiche basate su eventi di sicurezza.

Funzionalità chiave mancanti :

La versione open-source di OSSIM non dispone di alcune funzionalità SIEM presenti nella versione commerciale, come ad esempio:

  • Rapporto
  • Console di risposta o di allerta in tempo reale agli eventi
  • Possibilità di etichettare e separare i registri

Stack ELK

Lo stack ELK è un'infrastruttura per l'archiviazione, l'elaborazione e la visualizzazione dei log. Non è un SIEM, bensì la piattaforma su cui è possibile costruire funzionalità simili a quelle di un SIEM. Le regole di rilevamento, la logica di correlazione e gli avvisi sono personalizzabili. Lo stack non è più completamente open source; una versione gratuita rimane disponibile con licenza proprietaria di Elastic.

Componenti: Elasticsearch (archiviazione e indicizzazione), Logstash (aggregazione e normalizzazione dei log), Kibana (visualizzazione) e Beats (log shipper leggeri). Cosa manca per l'utilizzo SIEM: nessun motore di correlazione integrato nella versione gratuita (lo strumento open source Elastalert colma parzialmente questa lacuna), nessuna regola di sicurezza integrata e nessun sistema nativo di avviso o reporting.

ELK Stack come soluzione SIEM: ELK Stack offre aggregazione, elaborazione e visualizzazione dei log; tuttavia, non è un sistema SIEM completo.

  • Funzionalità chiave mancanti :
    • Motore di correlazione: la versione gratuita di ELK Stack non include una funzionalità di correlazione integrata. Tuttavia, esistono alternative open-source, come Yelp/Elastalert, che possono essere utilizzate a tale scopo.
    • Funzionalità integrate di reporting o avviso : questo rappresenta un notevole svantaggio per l'utilizzo di SIEM e per le operazioni IT in generale.
    • Regole di sicurezza integrate : ciò aumenta i requisiti di risorse e operativi dello stack.

Fluente

Fluentd è un raccoglitore e inoltratore di log, non un SIEM. Raccoglie i log da diverse fonti e li instrada verso altri sistemi per l'elaborazione. Si integra perfettamente con Elasticsearch, OpenSearch, Splunk e Snowflake, ma non esegue il rilevamento delle minacce, la correlazione o gli avvisi e non dispone di un livello di archiviazione.

Fluentd come soluzione SIEM

  • Raccolta e inoltro dei log : Fluentd è estremamente efficiente nella raccolta dei log da diverse fonti e nel loro inoltro alle piattaforme SIEM per ulteriori analisi.
  • Integrazione : Fluentd si integra perfettamente con strumenti popolari come Elasticsearch, Splunk e Snowflake come componente essenziale per l'acquisizione dei log.
  • Elaborazione dei dati in tempo reale : Fluentd elabora i log in tempo reale, consentendo l'inoltro immediato dei dati di log.

Funzionalità chiave mancanti :

  • Rilevamento delle minacce : Fluentd non esegue il rilevamento o l'analisi delle minacce, una funzionalità fondamentale dei sistemi SIEM.
  • Correlazione dei log : non è in grado di correlare gli eventi provenienti da più fonti di dati per identificare incidenti di sicurezza complessi.
  • Notifiche e reportistica : Fluentd non include funzionalità integrate di notifica o reportistica tipicamente presenti nelle soluzioni SIEM.
  • Archiviazione dati a lungo termine : Fluentd non offre soluzioni di archiviazione per i log; si limita a inoltrare i dati a sistemi esterni.

Ricerca aperta

OpenSearch, lanciato nel 2021 come fork di Elasticsearch e Kibana, è un progetto software open source guidato da AWS. Include OpenSearch (il database) e OpenSearch Dashboards (per la visualizzazione e l'analisi).

OpenSearch come soluzione SIEM: pur non essendo una soluzione SIEM completa, OpenSearch può essere utilizzato dalle organizzazioni per archiviare e analizzare i dati di sicurezza. Tuttavia, come per la suite ELK, richiede l'implementazione manuale di funzionalità SIEM di base come il rilevamento delle minacce e l'analisi dei dati.

Suricata

Suricata è un sistema di rilevamento e prevenzione delle intrusioni di rete (IDS/IPS) che offre ispezione approfondita dei pacchetti e monitoraggio della rete. Suricata non è una soluzione SIEM completa.

Suricata si integra con l'Elastic Stack per SIEM utilizzando Elasticsearch per l'archiviazione e l'interrogazione dei log, Filebeat per l'inoltro dei dati e Kibana per la visualizzazione e l'analisi degli eventi di sicurezza di rete. Questa configurazione aiuta le organizzazioni a monitorare e rispondere in modo proattivo alle minacce alla sicurezza in tempo reale.

Suricata come soluzione SIEM:

  • Funzione principale : Suricata analizza il traffico di rete alla ricerca di attacchi (in modo simile a Snort), inclusa l'analisi specifica del protocollo (ad esempio, HTTP, DNS, SSH) e il rilevamento a livello applicativo.
  • Allerta : Suricata genera avvisi in tempo reale in base alle anomalie o alle minacce rilevate, che possono essere inoltrati alle piattaforme SIEM per un'ulteriore elaborazione.
  • Punti di forza : Fornisce informazioni più dettagliate a livello applicativo, come il rilevamento del traffico HTTP e SSH.

Sbuffare

Snort è un sistema di rilevamento delle intrusioni di rete ampiamente diffuso, focalizzato sugli attacchi di rete: DDoS, scansioni furtive delle porte e fingerprinting del sistema operativo. Come Suricata, non è un SIEM completo. Genera avvisi per l'elaborazione successiva e si integra con Elasticsearch, Logstash e Splunk per la correlazione. Come strumento autonomo, non dispone di normalizzazione dei log, archiviazione centralizzata e risposta agli incidenti.

Snort come soluzione SIEM:

  • Funzione principale : rilevare attacchi di rete come DDoS, scansioni furtive delle porte e fingerprinting del sistema operativo.
  • Allerta : Snort genera avvisi in base alle minacce rilevate e li invia a syslog o ad altri sistemi di logging, che possono quindi essere elaborati e analizzati da una piattaforma SIEM.
  • Integrazione : Snort può integrarsi con altri strumenti SIEM come Logstash o Splunk per una migliore correlazione e analisi degli eventi di sicurezza di rete.
  • Limitazioni : Essendo una soluzione autonoma, Snort non dispone di funzionalità SIEM essenziali come la normalizzazione dei log, l'archiviazione centralizzata e una gestione completa della risposta agli incidenti. Si concentra esclusivamente sul rilevamento delle intrusioni di rete.

Zabbix

Zabbix è uno strumento di monitoraggio di reti e infrastrutture, non un SIEM. È in grado di analizzare i log di sistemi Windows e Linux ed è utile per raccogliere dati storici sulle prestazioni. Alcune organizzazioni lo utilizzano insieme a un SIEM: Zabbix si occupa del monitoraggio dello stato di salute dell'infrastruttura e genera avvisi tramite webhook, mentre il SIEM gestisce la correlazione dei log e l'analisi della sicurezza.

Nagios

Nagios monitora lo stato di host, servizi e reti, tracciando i servizi di rete (SMTP, HTTP, PING) e le risorse host (CPU, disco) con supporto per plugin di monitoraggio creati dall'utente. Il suo motore di log server raccoglie i dati in tempo reale, li fornisce a un'interfaccia di ricerca e gestisce la rotazione e l'archiviazione automatica dei log. Non è progettato per la correlazione di eventi di sicurezza o il rilevamento di minacce.

Caratteristiche principali:

  • Monitoraggio:
    • Monitora i servizi di rete (ad esempio, SMTP, HTTP, PING) e le risorse dell'host (ad esempio, utilizzo della CPU e del disco).
    • Monitoraggio dei servizi creati dagli utenti tramite plugin.
  • Gestione dei log:
    • Rotazione e archiviazione automatizzate dei log.
    • Filtra i dati di registro in base all'origine geografica.
    • Interfaccia online per la visualizzazione dello stato della rete e dei registri.

FAQ

Probabilmente non hai bisogno di un SIEM se hai meno di circa 50 endpoint e nessun obbligo normativo, se la tua organizzazione si basa principalmente su applicazioni SaaS con un'infrastruttura on-premise minima, o se non hai nessuno che si occupi attivamente del monitoraggio e della configurazione. Un SIEM non monitorato crea una falsa sicurezza, non protezione.
Dovresti seriamente prenderne in considerazione uno se operi in conformità con normative come PCI-DSS, HIPAA o GDPR, se disponi di un team di sicurezza dedicato o di un SOC, oppure se hai bisogno di una visibilità centralizzata su un ambiente complesso e multi-sede.
Per le organizzazioni più piccole, prive di tali motivazioni, l'esternalizzazione a un MSSP (Managed Security Service Provider) è spesso più conveniente rispetto alla gestione di un sistema SIEM interno.

Esistono strumenti specifici per i sistemi SIEM e piattaforme di logging e analisi.
Offrono nativamente la maggior parte delle funzionalità principali, come la correlazione dei log, gli avvisi, la visualizzazione e alcuni report di conformità. Sono più rigidi e più facili da configurare. Wazuh e SecurityOnion ne sono i principali esempi.
Sono potenti strumenti di infrastruttura dati, eccellenti per la raccolta, l'archiviazione e la visualizzazione dei log, ma non includono una logica di rilevamento delle minacce. Pensateli come le fondamenta su cui costruire un SIEM, non come un SIEM in sé.

Per maggiori dettagli:

Collegamenti di riferimento

1.
Graylog Pricing
Graylog
Cem Dilmegani
Cem Dilmegani
Analista principale
Segui
Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

0/450

Prossimo da leggere

STRACCIOApr 26

Benchmark dei modelli di embedding open source per RAG

Ekrem Sarı
Ekrem Sarı
MFAFeb 23

Confronta 10 strumenti MFA open source

Cem Dilmegani
Sena Sezer
Cem Dilmegani
con
Sena Sezer
UEBAMar 26

I migliori strumenti UEBA open source e alternative commerciali

Cem Dilmegani
Sena Sezer
Cem Dilmegani
con
Sena Sezer
MDMApr 12

I 5 migliori software MDM open source

Adil Hafa
Adil Hafa
Agenti di intelligenza artificialeApr 27

Elenco dei migliori 50+ agenti di intelligenza artificiale open source

Cem Dilmegani
Cem Dilmegani
SOARFeb 23

I 5 migliori strumenti SOAR open source

Sena Sezer
Adil Hafa
Sena Sezer
con
Adil Hafa