Como este tema funciona na sua empresa
SIEM não é prioridade imediata. Alternativa: logs centralizados (ELK, Graylog) + alertas simples.
SIEM cloud (Sentinel, Splunk Cloud) + dashboards básicos + análise comportamental. 60–90 dias, 0.5–1 FTE.
SIEM enterprise + correlação avançada + threat intelligence + automação. 2–4 FTE, investimento relevante.
SIEM (Security Information Event Management) é infraestrutura de coleta, armazenamento e análise de logs de segurança. Frequentemente vendido como "solução mágica" que "vê tudo". Na prática, é instrumento operacional cujo valor depende de pessoal treinado, alertas afinados e integração com processos de resposta1.
SIEM não é mágica: é ferramenta operacional
Sem pessoal dedicado, sem alertas configurados corretamente, SIEM vira repositório caro de logs. Mitos frequentes: "SIEM detecta automaticamente ataques"; "SIEM é solução de prevenção de ataques"; "SIEM reduz necessidade de pessoal". Realidade: SIEM sem tuning gera ruído (falsos positivos); SIEM é detecção e análise (não prevenção); SIEM aumenta necessidade de pessoal treinado (analyst de SIEM é cargo especializado)2.
Arquitetura de SIEM
Fluxo típico: Coleta (agentes em firewalls, SO, aplicações enviam eventos), Normalização (diferentes formatos de log convertidos para formato comum), Correlação (eventos relacionados agrupados: login falhado X vezes + transferência grande = anomalia), Enriquecimento (adicionar contexto: IP em blacklist? Usuário viajando?), Alertas (trigger regras: se correlação atende critério, alerta). Tudo integrado em dashboard central.
Casos de uso reais
Detecção de intrusão: Firewall bloqueia IP suspeito, SIEM correlaciona com tentativa de login de mesmo IP em múltiplos sistemas, alerta. Análise forense: Após incidente, SIEM fornece timeline completa de ações do atacante. Compliance: Gerar relatório de acesso a dados sensíveis (auditoria para LGPD, PCI-DSS). Threat hunting: Analyst procura padrões anômalos (geolocalização impossível, acesso noturno anômalo, transferência de dados grande).
Correlação versus análise comportamental
SIEM tradicional usa correlação por regra: "Se login falho 5x + IP novo + hora anormal, alerta". Requer especialista para escrever regras. SIEM moderno usa machine learning: sistema aprende comportamento normal e detecta desvios (sem regras explícitas). ML é mais poderoso contra ataques sofisticados, mas requer dados históricos para treino. Trade-off: regra é rápida (implementa em horas), ML é poderoso (mas exige meses de treinamento)3.
Custo total de propriedade (TCO)
Custo de SIEM não é apenas licença. Inclui: infraestrutura (armazenamento massivo, banda para ingestão de logs), pessoal (analyst 24/7 em grande empresa), retenção de logs (quanto mais longo, mais caro). Reter 30 dias de logs é barato; 1 ano é caro; indefinido é proibitivo. Decisão crítica: quanto tempo precisa guardar? Compliance exige mínimo 1 ano; análise forense exige mais tempo para detecção lenta (pode levar meses).
SIEM cloud vs. on-premise
Cloud (Sentinel, Splunk Cloud, Sumo Logic): reduz CapEx (sem servidor), aumenta OpEx (custo por GB ingerido). On-premise: alto CapEx inicial (hardware caro), controle total, mas overhead operacional. Tendência: cloud está vencendo porque reduz burden operacional, mas custo de ingestão de dados é alto (empresa pode não conseguir enviar tudo).
Sinais de que SIEM não está funcionando
- Implementado há meses, ainda sem alertas afinados (produz ruído)
- Sem pessoal dedicado para monitorar; dashboards ignorados
- Sem integração com processo de resposta a incidente (alertas não geram ação)
- Retenção de logs é curta (30 dias); forensics é impossível
- Custo alto, valor baixo (parece custar mais que previsto)
Próximos passos por porte de empresa
Considerar logs centralizados (ELK open-source) antes de SIEM enterprise. Alertas simples em logs da aplicação bastam.
SIEM enterprise cloud. Analyst dedicado. Integração com SOAR (orquestração automática de resposta). Threat hunting mensal.
Perguntas frequentes
- Qual é a diferença entre SIEM e SOC?
- SIEM é ferramenta (coleta, correlação, análise de logs). SOC é time (Security Operations Center) que monitora SIEM 24/7 e responde a incidentes.
- SIEM é obrigatório para compliance regulatório?
- Não. Compliance exige logs, auditoria, retenção. SIEM facilita, mas logs centralizados podem bastar para pequena empresa.
- Quanto custa implementar SIEM em uma empresa?
- Licença: R$ 10k–100k+/ano (conforme volume de logs). Infraestrutura: R$ 20k–200k inicial. Pessoal: R$ 80k–150k/ano por analyst. TCO é significativo.
- Qual é o tempo de implementação de um SIEM?
- Implantação técnica: 60–90 dias. Tuning de alertas: 3–6 meses. Valor real: 6–12 meses depois de tuning.
- SIEM pode ser substituído por logs na nuvem?
- Parcialmente. Logs centralizados (AWS CloudTrail, Azure Monitor) substituem SIEM para pequena empresa. SIEM é necessário para correlação sofisticada e threat hunting.
- Como escolher entre Splunk, ELK, Microsoft Sentinel?
- Splunk: enterprise, caro, poderoso. ELK: open-source, barato, DIY. Sentinel: cloud, integrado com Azure, bom custo-benefício. Escolher por tamanho, orçamento, skill da empresa.