Servizi
Contattaci

I 13 migliori strumenti SIEM open source

Cem Dilmegani
Cem Dilmegani
aggiornato il 25 giu. 2026

Non esiste un singolo strumento open source che offra un SIEM completo e pronto per la produzione. Ogni opzione comporta un compromesso: si ottiene un SIEM specifico con lacune nell'analisi, oppure un potente stack di registrazione e analisi che richiede di implementare da soli il rilevamento della sicurezza.

Ecco strumenti open source free affini alla categoria SIEM per costruire la propria soluzione da zero:

Strumenti SIEM open source

Strumento
Stelle GitHub
Caso d'uso principale
Prezzi
Wazuh
15,000+
SIEM
✅ Gratuita (versione on-prem)
Graylog
7,600+
SIEM
➕ Freemium
OSSEC
4,600+
SIEM
➕ Freemium
SecurityOnion
3,600+
SIEM
✅ Gratuito
AlienVault OSSIM
120+
SIEM
✅ Gratuito
The ELK Stack
17,000+
Repository di log e analisi
➕ Freemium
Fluentd
13,000+
Repository di log e analisi
➕ Freemium

OpenSearch
10,000+
Repository di log e analisi
➕ Freemium
Suricata
5,000+
Rilevamento intrusioni
➕ Freemium
Snort3
2,800+
Rilevamento intrusioni
➕ Freemium

Questi strumenti in genere archiviano i log in indici Elasticsearch per un periodo di conservazione configurabile, in base alle politiche di storage e dati. Per l'archiviazione a lungo termine, potrebbero essere necessarie procedure di archiviazione aggiuntive o integrazioni.

Funzionalità SIEM

*❌: Richiede integrazioni di agenti di terze parti (ad es. Elastic Agent).

Le piattaforme SIEM si basano su dati accurati degli endpoint. Scopri come il software di gestione degli endpoint migliora il rilevamento e la risposta assicurando che i dispositivi siano ben gestiti e sicuri.

Due tipi di strumenti open source

Strumenti incentrati sul SIEM forniscono la maggior parte delle funzionalità principali in modo nativo: correlazione dei log, avvisi, visualizzazione e alcuni report di conformità. Sono più specifici e più facili da mettere in funzione. Wazuh e SecurityOnion rientrano in questa categoria.

Le piattaforme di logging e analisi sono potenti strumenti di infrastruttura dati, eccellenti nella raccolta, archiviazione e visualizzazione dei log, ma non includono logica di rilevamento della sicurezza. Pensale come la base su cui costruire un SIEM. ELK Stack, OpenSearch e Graylog Open rientrano qui.

Alternative commerciali

Gli strumenti SIEM open source spesso mancano delle interfacce intuitive per la creazione di regole presenti negli strumenti commerciali. Inoltre, le loro funzionalità di correlazione sono più basilari e per lo più non offrono le capacità pronte all'uso come:

  • dashboard pronte per la gestione dei log
  • report di conformità (ad es. PCI-DSS, HIPAA) 
  • integrazioni con altri strumenti aziendali, come firewall, sistemi di protezione degli endpoint,

Gli strumenti SIEM commerciali forniscono le funzionalità principali del SIEM, tra cui:

  • correlazione degli eventi, analisi dei log
  • capacità di assegnare un punteggio di rischio 
  • fornire azioni consigliate in base ai punteggi di rischio 
  • conservazione a lungo termine fino a 12 mesi 
  • analisi del comportamento di utenti ed entità con modelli di machine learning predefiniti

Gli strumenti SIEM commerciali offrono anche varie funzioni di orchestrazione e risposta, e modi per automatizzare le attività del SOC. Alcuni fornitori di SIEM hanno incorporato funzionalità SOAR per essere più reattivi. Questo è tipico poiché sempre più strumenti di sicurezza aggiungono funzionalità di automazione per renderli più facili da usare e più produttivi. In alcuni casi, questo sposta questi prodotti nella categoria SOAR.

Strumenti SIEM open source spiegati

Wazuh

Wazuh è il SIEM open source più completo disponibile oggi. Viene fornito come piattaforma completa con quattro componenti: un Indexer (basato su OpenSearch, archivia e indicizza gli avvisi), un Server (il motore principale raccoglie i log dagli agenti, analizza gli eventi e identifica gli indicatori di compromissione), una Dashboard (interfaccia web per visualizzare eventi e minacce) e un Agent(viene eseguito sugli endpoint e inoltra gli eventi al server).

Fornisce analisi dei log di sicurezza, rilevamento delle vulnerabilità, valutazione della configurazione di sicurezza e reportistica di conformità normativa in modo nativo, insieme ad avvisi e reportistica basata sugli eventi senza un'integrazione significativa di terze parti.

Vedi il concetto di Wazuh:

Gli aggiornamenti recenti hanno notevolmente ampliato la visibilità degli endpoint. Wazuh 4.14.0 ha aggiunto dashboard di inventario unificate per estensioni del browser, servizi degli endpoint, utenti e gruppi, tutte accessibili dalla sezione IT Hygiene della dashboard. La stessa versione ha introdotto una dashboard Microsoft Graph API per il monitoraggio delle attività di Microsoft 365 e degli eventi di audit, e ha aggiunto il supporto per il ricaricamento a caldo della configurazione dell'agente senza riavviare l'agente.

In precedenza, 4.10.0 ha portato l'integrazione con Microsoft Intune, importando i log di audit da tutti i dispositivi gestiti da Intune direttamente negli avvisi Wazuh, e ha introdotto una vulnerabilità. Il campo under_evaluation che contrassegna i CVE ancora in attesa di analisi nel National Vulnerability Database, utile per filtrare il rumore di vulnerabilità contestate o senza punteggio. La versione corrente è 4.14.5.1

Graylog

Graylog centralizza i log e fornisce avvisi e dashboard tramite un'interfaccia curata. È importante sapere che Graylog è concesso in licenza sotto la Server Side Public License (SSPL), che non è una licenza open source approvata dall'OSI; è più precisamente descritto come open-core o a sorgente disponibile.

2

Il livello free copre l'aggregazione di base dei log e gli avvisi. Le funzionalità più rilevanti per l'uso SIEM, come il filtraggio della ricerca dei log, l'archiviazione dei log, il rilevamento delle anomalie, le visualizzazioni predefinite e i report di conformità, sono nel livello a pagamento Graylog Security. Graylog 7.0 ha introdotto un Model Context Protocol (MCP) endpoint sperimentale che consente ai client LLM di connettersi direttamente a un'istanza Graylog per query in tempo reale utilizzando prompt in linguaggio naturale.

Graylog offre quattro prodotti: Graylog Open (SSPL, free), Graylog Enterprise (gestione dei log su larga scala), Graylog Security (il livello SIEM) e Graylog API Security (rilevamento delle minacce API dedicato). Il livello Open è quello che la maggior parte delle distribuzioni self-hosted utilizza. Il confronto dell'articolo si applica a quel livello.

OSSEC

OSSEC è un sistema di rilevamento delle intrusioni host (HIDS) open source. Raccoglie e analizza i log e offre alcune funzionalità adiacenti al SIEM, ma manca dei componenti di gestione e analisi dei log previsti da un SIEM completo. È stato in gran parte sostituito da Wazuh, che deriva da OSSEC e continua a ricevere sviluppo attivo.

Componenti:

  • Manager: Raccoglie i log dalle sorgenti dati.
  • Agenti: Raccoglie ed elabora i log.

OpenSearch come soluzione SIEM: OSSEC fornisce le funzionalità SIEM di base: raccoglie e analizza i dati; tuttavia, manca di alcuni dei componenti di gestione e analisi dei log di base necessari.

SecurityOnion

SecurityOnion funziona come SIEM e sistema di rilevamento delle intrusioni (IDS). Integra altri strumenti open source come Snort, Suricata e Wazuh per offrire funzionalità complete di monitoraggio e rilevamento per intrusioni di rete e basate su host.

SecurityOnion include strumenti utili per l'analisi approfondita, come Wireshark per l'analisi del traffico di rete e Network Miner per l'acquisizione di pacchetti e la network forensics.

SecurityOnion come soluzione SIEM:

  • IDS basato su host e rete: Monitora e rileva attività sospette su host e reti.
  • Acquisizione completa dei pacchetti (FPC): Acquisisce il traffico di rete con netsniff-ng per rilevare esfiltrazione di dati, malware, phishing e altri attacchi.
  • Rilevamento delle minacce: Utilizza SGUIL in SecurityOnion per identificare attività dannose, inclusi tentativi di accesso falliti a firewall e controller di dominio, migliorando visibilità e approfondimenti.

AlienVault OSSIM

OSSIM è la versione open source della piattaforma Unified Security Management di AlienVault. Il suo punto di forza notevole è l'inclusione di OpenVAS, uno scanner di vulnerabilità open source, che gli consente di correlare gli avvisi IDS di Snort e Suricata con i risultati delle scansioni di vulnerabilità, una capacità veramente utile.

AlienVault OSSIM come soluzione SIEM: Un punto di forza chiave di OSSIM è l'inclusione di OpenVAS (uno scanner di vulnerabilità open source). Ciò consente a OSSIM di correlare i log IDS (da strumenti come Snort e Suricata) con i risultati dello scanner di vulnerabilità.

OSSIM offre:

  • Raccolta ed elaborazione degli eventi.
  • Correlazione dei dati di sicurezza da più fonti.
  • Valutazione delle vulnerabilità con integrazione OpenVAS.
  • Avvisi basati su eventi di sicurezza.

Funzionalità chiave mancanti:

La versione open source di OSSIM manca di alcune funzionalità SIEM disponibili nella versione commerciale, come:

  • Reportistica
  • Console di risposta agli eventi in tempo reale o di avviso
  • Capacità di taggare e separare i log
Non perderti i nostri benchmark e approfondimenti basati sui dati. Il pulsante apre Google; selezionare AIMultiple conferma che desideri vedere AIMultiple più spesso nei risultati di ricerca di Google.
GoogleAggiungi come fonte preferita

ELK Stack

Lo stack ELK è un'infrastruttura per l'archiviazione, l'elaborazione e la visualizzazione dei log. Non è un SIEM; è la piattaforma su cui costruire funzionalità simili a un SIEM. Le regole di rilevamento, la logica di correlazione e gli avvisi sono da creare.

Elastic ha ri-licenziato Elasticsearch e Kibana tornando all'open source nel 2024, con una doppia licenza: AGPL-3.0 o Elastic License 2.0. Lo stack di base è ora disponibile gratuitamente sotto AGPL. Alcune funzionalità (quelle rilevanti per il SIEM come machine learning, avvisi ed Elastic Security) richiedono ancora un abbonamento per l'uso in produzione.

Componenti: Elasticsearch (archiviazione e indicizzazione), Logstash (aggregazione e normalizzazione dei log), Kibana (visualizzazione), e Beats (shipper di log leggeri). Cosa manca per l'uso SIEM: nessun motore di correlazione integrato nella versione free (lo strumento open source Elastalert colma parzialmente questa lacuna), nessuna regola di sicurezza integrata e nessun avviso o reportistica nativa.

ELK Stack come soluzione SIEM: ELK stack offre aggregazione, elaborazione e visualizzazione dei log; tuttavia, non è un sistema SIEM completo. 

  • Funzionalità chiave mancanti:
    • Motore di correlazione: La versione free di ELK Stack non include una funzionalità di correlazione integrata. Tuttavia, esistono alternative open source, come Yelp/Elastalert, che possono essere utilizzate per la correlazione.
    • Reportistica o avvisi integrati: Questo è un grave inconveniente per l'uso SIEM e le operazioni IT generali.
    • Regole di sicurezza integrate: Ciò aumenta i requisiti di risorse e operativi dello stack.

Fluentd

Fluentd è un raccoglitore e inoltro di log, non un SIEM. Raccoglie i log da molte fonti e li indirizza ad altri sistemi per l'elaborazione. Si integra perfettamente con Elasticsearch, OpenSearch, Splunk e Snowflake, ma non esegue rilevamento delle minacce, correlazione o avvisi e non ha un livello di archiviazione.

Fluentd come soluzione SIEM

  • Raccolta e inoltro dei log: Fluentd è molto efficiente nel raccogliere log da diverse fonti e inoltrarli alle piattaforme SIEM per ulteriori analisi.
  • Integrazione: Fluentd si integra perfettamente con strumenti popolari come Elasticsearch, Splunk e Snowflake come componente essenziale di ingestione dei log.
  • Elaborazione dei dati in tempo reale: Fluentd elabora i log in tempo reale, consentendo l'inoltro immediato dei dati di log. 

Funzionalità chiave mancanti:

  • Rilevamento delle minacce: Fluentd non esegue il rilevamento o l'analisi delle minacce, una capacità fondamentale dei sistemi SIEM.
  • Correlazione dei log: Non può correlare gli eventi tra più fonti di dati per identificare incidenti di sicurezza complessi.
  • Avvisi e reportistica: Fluentd non include funzionalità integrate di avviso o reportistica tipicamente presenti nelle soluzioni SIEM.
  • Archiviazione dei dati a lungo termine: Fluentd non offre soluzioni di archiviazione per i log; si limita a inoltrare i dati a sistemi esterni.

OpenSearch

OpenSearch, lanciato nel 2021 come fork di Elasticsearch e Kibana, è un progetto software open source guidato da AWS. Include OpenSearch (il database) e OpenSearch Dashboards (per la visualizzazione e l'analisi).

Suricata

Suricata è un sistema di rilevamento e prevenzione delle intrusioni di rete (IDS/IPS) che fornisce ispezione approfondita dei pacchetti e monitoraggio di rete. Suricata non è una soluzione SIEM completa.

Suricata si integra con Elastic Stack per il SIEM utilizzando Elasticsearch per l'archiviazione e l'interrogazione dei log, Filebeat per l'inoltro dei dati e Kibana per la visualizzazione e l'analisi degli eventi di sicurezza di rete. Questa configurazione aiuta le organizzazioni a monitorare e rispondere proattivamente alle minacce alla sicurezza in tempo reale.

Suricata come soluzione SIEM:

  • Funzione primaria: Suricata analizza il traffico di rete per rilevare attacchi (simile a Snort), inclusa l'analisi specifica del protocollo (ad es. HTTP, DNS, SSH) e il rilevamento a livello di applicazione.
  • Avvisi: Suricata genera avvisi in tempo reale basati su anomalie o minacce rilevate, che possono essere inoltrati alle piattaforme SIEM per ulteriori elaborazioni.
  • Punti di forza: Fornisce approfondimenti più dettagliati a livello di applicazione, come il rilevamento del traffico HTTP e SSH.

Snort

Snort è un sistema di rilevamento delle intrusioni di rete ampiamente diffuso focalizzato sugli attacchi basati sulla rete: DDoS, scansioni di porte furtive e OS fingerprinting. Come Suricata, non è un SIEM completo. Genera avvisi per l'elaborazione a valle e si integra con Elasticsearch, Logstash e Splunk per la correlazione. Come strumento autonomo, manca di normalizzazione dei log, archiviazione centralizzata e risposta agli incidenti.

Snort come soluzione SIEM:

  • La funzione principale: Rilevare attacchi basati sulla rete come DDoS, scansioni di porte furtive e OS fingerprinting.
  • Avvisi: Snort genera avvisi in base alle minacce rilevate e li invia a syslog o ad altri sistemi di registrazione, che possono poi essere elaborati e analizzati da una piattaforma SIEM.
  • Integrazione: Snort può integrarsi con altri strumenti SIEM come Elasticsearch, Logstash o Splunk per una correlazione e un'analisi avanzate degli eventi di sicurezza di rete.
  • Limitazioni: Come soluzione autonoma, Snort manca di funzionalità SIEM essenziali come la normalizzazione dei log, l'archiviazione centralizzata e la gestione completa della risposta agli incidenti. Si concentra esclusivamente sul rilevamento delle intrusioni di rete.

Zabbix

Zabbix è uno strumento di monitoraggio di rete e infrastruttura, non un SIEM. Può analizzare i log dei sistemi Windows e Linux ed è utile per raccogliere dati storici sulle prestazioni. Alcune organizzazioni lo eseguono insieme a un SIEM: Zabbix gestisce il monitoraggio dello stato di salute dell'infrastruttura e invia avvisi tramite webhook, mentre il SIEM gestisce la correlazione dei log e l'analisi della sicurezza.

Nagios

Nagios monitora lo stato di host, servizi e reti, tenendo traccia dei servizi di rete (SMTP, HTTP, PING) e delle risorse host (CPU, disco) con supporto per plugin di monitoraggio creati dall'utente. Il suo motore di log server raccoglie i dati in tempo reale, alimenta un'interfaccia di ricerca e gestisce la rotazione e l'archiviazione automatizzate dei log. Non è progettato per la correlazione degli eventi di sicurezza o il rilevamento delle minacce.

Caratteristiche principali:

  • Monitoraggio:
    • Monitora i servizi di rete (ad es. SMTP, HTTP, PING) e le risorse host (ad es. CPU, utilizzo del disco).
    • Monitoraggio dei servizi creato dall'utente tramite plugin.
  • Gestione dei log:
    • Rotazione e archiviazione automatizzate dei log.
    • Filtra i dati di log per origine geografica.
    • Interfaccia online per lo stato della rete e la visualizzazione dei log.

FAQ

Probabilmente non hai bisogno di un SIEM se hai meno di circa 50 endpoint e nessun requisito normativo, se la tua organizzazione utilizza principalmente applicazioni SaaS con un'infrastruttura on-premise minima, o se non hai nessuno che lo monitori e lo configuri attivamente. Un SIEM non monitorato crea falsa sicurezza, non sicurezza.
Dovresti prenderlo seriamente in considerazione se operi sotto quadri normativi come PCI-DSS, HIPAA o GDPR, se hai un team di sicurezza dedicato o un SOC, o se hai bisogno di visibilità centralizzata in un ambiente complesso e multi-sito.
Per le organizzazioni più piccole senza questi fattori trainanti, l'esternalizzazione a un MSSP è spesso più conveniente rispetto all'esecuzione di un SIEM interno.

Ci sono strumenti incentrati sul SIEM e piattaforme di logging/analisi.
Forniscono la maggior parte delle funzionalità principali in modo nativo: correlazione dei log, avvisi, visualizzazione e alcuni report di conformità. Sono più specifici e più facili da mettere in funzione. Wazuh e SecurityOnion sono gli esempi principali.
Sono potenti strumenti di infrastruttura dati, eccellenti nella raccolta, archiviazione e visualizzazione dei log, ma non includono logica di rilevamento della sicurezza. Pensale come la base su cui costruire un SIEM, non un SIEM stesso.

Per maggiori dettagli: 

Cita questa ricerca

Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.

Cem Dilmegani (2026) - "I 13 migliori strumenti SIEM open source". Pubblicato online su AIMultiple.com. Consultato il 25 Giugno 2026, da: https://aimultiple.com/open-source-siem [Risorsa online]

Dilmegani, C. (2026, 25 Giugno). I 13 migliori strumenti SIEM open source. AIMultiple. https://aimultiple.com/open-source-siem

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{I 13 migliori strumenti SIEM open source}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/open-source-siem}},
  note   = {AIMultiple. Consultato il 25 Giugno 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principale
Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.

0/450