oHub Base TI / Cibersegurança e Proteção de Dados / Ameaças Cibernéticas / Artigos / SIEM: o que é, para que serve e como avaliar
Neste artigo: Como este tema funciona na sua empresa SIEM não é mágica: é ferramenta operacional Arquitetura de SIEM Casos de uso reais Correlação versus análise comportamental Custo total de propriedade (TCO) SIEM cloud vs. on-premise Sinais de que SIEM não está funcionando Próximos passos por porte de empresa Perguntas frequentes Referências
oHub Base TI Cibersegurança e Proteção de Dados Ameaças Cibernéticas

SIEM: o que é, para que serve e como avaliar

Conceito de SIEM, casos de uso e critérios para avaliação de soluções no mercado.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa SIEM não é mágica: é ferramenta operacional Arquitetura de SIEM Casos de uso reais Correlação versus análise comportamental Custo total de propriedade (TCO) SIEM cloud vs. on-premise Sinais de que SIEM não está funcionando Próximos passos por porte de empresa Perguntas frequentes Referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresaSIEM não é prioridade imediata. Alternativa: logs centralizados (ELK, Graylog) + alertas simples.
Média empresaSIEM cloud (Sentinel, Splunk Cloud) + dashboards básicos + análise comportamental. 60–90 dias, 0.5–1 FTE.
Grande empresaSIEM enterprise + correlação avançada + threat intelligence + automação. 2–4 FTE, investimento relevante.

SIEM (Security Information Event Management) é infraestrutura de coleta, armazenamento e análise de logs de segurança. Frequentemente vendido como "solução mágica" que "vê tudo". Na prática, é instrumento operacional cujo valor depende de pessoal treinado, alertas afinados e integração com processos de resposta1.

SIEM não é mágica: é ferramenta operacional

Sem pessoal dedicado, sem alertas configurados corretamente, SIEM vira repositório caro de logs. Mitos frequentes: "SIEM detecta automaticamente ataques"; "SIEM é solução de prevenção de ataques"; "SIEM reduz necessidade de pessoal". Realidade: SIEM sem tuning gera ruído (falsos positivos); SIEM é detecção e análise (não prevenção); SIEM aumenta necessidade de pessoal treinado (analyst de SIEM é cargo especializado)2.

Arquitetura de SIEM

Fluxo típico: Coleta (agentes em firewalls, SO, aplicações enviam eventos), Normalização (diferentes formatos de log convertidos para formato comum), Correlação (eventos relacionados agrupados: login falhado X vezes + transferência grande = anomalia), Enriquecimento (adicionar contexto: IP em blacklist? Usuário viajando?), Alertas (trigger regras: se correlação atende critério, alerta). Tudo integrado em dashboard central.

Coleta: Agentes em fontes de eventos (firewalls, SO, apps, endpoints)
Normalização: Converter múltiplos formatos para formato comum
Correlação: Agrupar eventos relacionados em padrões
Análise: Behavioral analytics, threat hunting, investigação
Alertas: Notificação escalada para SOC/Security Team

Casos de uso reais

Detecção de intrusão: Firewall bloqueia IP suspeito, SIEM correlaciona com tentativa de login de mesmo IP em múltiplos sistemas, alerta. Análise forense: Após incidente, SIEM fornece timeline completa de ações do atacante. Compliance: Gerar relatório de acesso a dados sensíveis (auditoria para LGPD, PCI-DSS). Threat hunting: Analyst procura padrões anômalos (geolocalização impossível, acesso noturno anômalo, transferência de dados grande).

Correlação versus análise comportamental

SIEM tradicional usa correlação por regra: "Se login falho 5x + IP novo + hora anormal, alerta". Requer especialista para escrever regras. SIEM moderno usa machine learning: sistema aprende comportamento normal e detecta desvios (sem regras explícitas). ML é mais poderoso contra ataques sofisticados, mas requer dados históricos para treino. Trade-off: regra é rápida (implementa em horas), ML é poderoso (mas exige meses de treinamento)3.

Custo total de propriedade (TCO)

Custo de SIEM não é apenas licença. Inclui: infraestrutura (armazenamento massivo, banda para ingestão de logs), pessoal (analyst 24/7 em grande empresa), retenção de logs (quanto mais longo, mais caro). Reter 30 dias de logs é barato; 1 ano é caro; indefinido é proibitivo. Decisão crítica: quanto tempo precisa guardar? Compliance exige mínimo 1 ano; análise forense exige mais tempo para detecção lenta (pode levar meses).

SIEM cloud vs. on-premise

Cloud (Sentinel, Splunk Cloud, Sumo Logic): reduz CapEx (sem servidor), aumenta OpEx (custo por GB ingerido). On-premise: alto CapEx inicial (hardware caro), controle total, mas overhead operacional. Tendência: cloud está vencendo porque reduz burden operacional, mas custo de ingestão de dados é alto (empresa pode não conseguir enviar tudo).

Sinais de que SIEM não está funcionando

  • Implementado há meses, ainda sem alertas afinados (produz ruído)
  • Sem pessoal dedicado para monitorar; dashboards ignorados
  • Sem integração com processo de resposta a incidente (alertas não geram ação)
  • Retenção de logs é curta (30 dias); forensics é impossível
  • Custo alto, valor baixo (parece custar mais que previsto)

Próximos passos por porte de empresa

Pequena: Considerar logs centralizados (ELK open-source) antes de SIEM enterprise. Alertas simples em logs da aplicação bastam.
Grande: SIEM enterprise cloud. Analyst dedicado. Integração com SOAR (orquestração automática de resposta). Threat hunting mensal.

Encontrar fornecedores de TI no oHub

Perguntas frequentes

Qual é a diferença entre SIEM e SOC?
SIEM é ferramenta (coleta, correlação, análise de logs). SOC é time (Security Operations Center) que monitora SIEM 24/7 e responde a incidentes.
SIEM é obrigatório para compliance regulatório?
Não. Compliance exige logs, auditoria, retenção. SIEM facilita, mas logs centralizados podem bastar para pequena empresa.
Quanto custa implementar SIEM em uma empresa?
Licença: R$ 10k–100k+/ano (conforme volume de logs). Infraestrutura: R$ 20k–200k inicial. Pessoal: R$ 80k–150k/ano por analyst. TCO é significativo.
Qual é o tempo de implementação de um SIEM?
Implantação técnica: 60–90 dias. Tuning de alertas: 3–6 meses. Valor real: 6–12 meses depois de tuning.
SIEM pode ser substituído por logs na nuvem?
Parcialmente. Logs centralizados (AWS CloudTrail, Azure Monitor) substituem SIEM para pequena empresa. SIEM é necessário para correlação sofisticada e threat hunting.
Como escolher entre Splunk, ELK, Microsoft Sentinel?
Splunk: enterprise, caro, poderoso. ELK: open-source, barato, DIY. Sentinel: cloud, integrado com Azure, bom custo-benefício. Escolher por tamanho, orçamento, skill da empresa.

Referências

  • 1 NIST SP 800-92 (Guide to Computer Security Log Management): https://csrc.nist.gov/pubs/sp/800/92/final
  • 2 PCI DSS Requirements 10, 11 (Logging and Monitoring): https://www.pcisecuritystandards.org/standards/pci-dss/
  • 3 Gartner Magic Quadrant for SIEM: https://www.gartner.com/reviews/market/security-information-event-management

Leia também