{"id":30732,"date":"2026-06-05T15:21:35","date_gmt":"2026-06-05T13:21:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30732"},"modified":"2026-06-05T15:21:35","modified_gmt":"2026-06-05T13:21:35","slug":"kaspersky-siem-correlation-evolution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kaspersky-siem-correlation-evolution\/30732\/","title":{"rendered":"L&#8217;evoluzione delle regole di correlazione SIEM"},"content":{"rendered":"<p>In parole povere, la logica classica di un sistema SIEM funziona nel modo seguente: se si verifica l\u2019evento A seguito dall\u2019evento B, questo pu\u00f2 essere segno di un attacco e uno specialista di sicurezza delle informazioni dovrebbe essere avvisato. Ma nell\u2019ambiente odierno, questo semplice scenario fallisce sempre pi\u00f9. Proprio di recente i nostri esperti hanno <a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\">analizzato un incidente di alto profilo<\/a>: gli autori degli attacchi hanno compromesso l\u2019infrastruttura di aggiornamento del famoso software Notepad++ e distribuito malware tramite il meccanismo di aggiornamento. \u00c8 semplicemente impossibile disporre in anticipo di regole progettate specificamente per contrastare tali scenari.<\/p>\n<p>Gli attacchi stessi sono diventati pi\u00f9 sofisticati: gli autori degli attacchi utilizzano strumenti legittimi, attaccano attraverso la supply chain compromettendo il software all\u2019esterno del perimetro aziendale, ampliano i propri scenari nel tempo e mascherano le proprie azioni come attivit\u00e0 normale. <strong>In altre parole, non \u201cirrompono\u201d nell\u2019infrastruttura; il pi\u00f9 delle volte accedono e utilizzano software legittimo. <\/strong>Di conseguenza, le classiche regole fisse del passato non si attivano o generano troppi falsi allarmi. Questo \u00e8 ci\u00f2 che ha spinto il passaggio verso scenari di correlazione pi\u00f9 flessibili.<\/p>\n<h2>Contenuto SIEM aggiornato dinamicamente<\/h2>\n<p>Il contenuto di correlazione oggi non \u00e8 un set statico di regole, ma un processo: \u00e8 in costante evoluzione e adattamento alle minacce attuali. Solo nel 2025 sono stati rilasciati 55 aggiornamenti dei pacchetti di regole per diverse versioni e lingue del sistema Kaspersky SIEM. In un solo anno sono stati aggiunti 10 nuovi pacchetti di regole, oltre a 250 regole di rilevamento e numerosi miglioramenti al contenuto esistente. Quest\u2019anno abbiamo gi\u00e0 aggiunto 43 nuove regole e perfezionato altre 63. In totale, si tratta di oltre 850 regole che coprono una parte significativa del framework MITRE ATT&amp;CK.<\/p>\n<p>Le regole Kaspersky SIEM sono scritte sulla base delle informazioni dettagliate dei nostri esperti che analizzano gli attacchi recenti nel mondo reale: ci basiamo principalmente sui risultati del nostro servizio MDR (Managed Detection and Response) e della nostra ricerca sulle minacce. Di conseguenza, le nostre regole coprono scenari, dalla ricognizione all\u2019escalation dei privilegi, che coinvolgono gli approcci pi\u00f9 recenti utilizzati dagli autori degli attacchi. Ad esempio, rileviamo l\u2019utilizzo di nuove tecniche di attacco come <a href=\"https:\/\/securelist.com\/toolshell-explained\/117045\/\" target=\"_blank\" rel=\"noopener\">ToolShell<\/a>.<\/p>\n<p>Oltre agli aggiornamenti pianificati, il team rilascia regolarmente i cosiddetti contenuti di emergenza, set di regole per una risposta rapida a tecniche di attacco nuove e impreviste. A febbraio, ad esempio, sono state rilasciate regole di rilevamento <a href=\"https:\/\/www.kaspersky.com\/blog\/forticloud-authentication-siem-rules\/55241\/\" target=\"_blank\" rel=\"noopener nofollow\">per il bypass dell\u2019autenticazione nei prodotti Fortinet<\/a> tramite il meccanismo SSO: gli autori degli attacchi hanno utilizzato richieste SAML appositamente predisposte per ottenere l\u2019accesso ai sistemi senza credenziali.<\/p>\n<h2>Dagli eventi alle catene di attacco<\/h2>\n<p>Inoltre, le moderne regole SIEM non descrivono pi\u00f9 singoli eventi, ma piuttosto sequenze di azioni. Gli scenari sono costruiti attorno alle fasi di un attacco: dall\u2019accesso iniziale all\u2019escalation dei privilegi e alla persistenza. L\u2019efficacia di Kaspersky SIEM \u00e8 potenziata dall\u2019integrazione con Kaspersky EDR e set di regole dedicati per Active Directory, che implementano decine di scenari di rilevamento degli attacchi in varie fasi. Questo approccio ci consente di visualizzare non solo i singoli segnali, ma il quadro completo.<\/p>\n<h2>Integrazione e visibilit\u00e0 interna<\/h2>\n<p>Un altro modo per migliorare l\u2019efficacia di un sistema SIEM consiste nell\u2019espansione delle sorgenti dati. Un SIEM classico aggrega gli eventi provenienti da diversi livelli dell\u2019infrastruttura: dai log alla telemetria dagli endpoint e dai sistemi interni. In aggiunta a questo, il nostro sistema SIEM include set di regole specializzati per le altre nostre soluzioni (Kaspersky Security Center, Kaspersky Security for Mail Groups, piattaforma K Anti-Targeted Attack), che consentono il monitoraggio delle azioni dell\u2019amministratore, dell\u2019autenticazione e dello stato del servizio. In questo modo il sistema diventa uno strumento non solo per il rilevamento degli attacchi, ma anche per il monitoraggio delle attivit\u00e0 interne.<\/p>\n<p>Nel complesso, SIEM non \u00e8 pi\u00f9 solo un insieme di regole, ma si \u00e8 evoluto in un sistema di rilevamento continuamente aggiornato. La sua efficacia \u00e8 determinata non dal numero di rilevamenti, ma dalla loro pertinenza, coerenza e precisione con cui riflettono le azioni effettive degli autori degli attacchi. Resta aggiornato sulla nostra Kaspersky Unified Monitoring and Analysis Platform (SIEM) <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">nella pagina ufficiale del prodotto<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"29770\">\n","protected":false},"excerpt":{"rendered":"<p>Creiamo periodicamente nuove regole SIEM, ma dietro le quinte si nasconde un processo fondamentale: l&#8217;evoluzione delle regole di correlazione stesse.<\/p>\n","protected":false},"author":2757,"featured_media":30733,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[750,3939,3128],"class_list":{"0":"post-30732","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-account","10":"tag-regole-di-correlazione","11":"tag-siem"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kaspersky-siem-correlation-evolution\/30732\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-siem-correlation-evolution\/30712\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/25764\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-siem-correlation-evolution\/30562\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-siem-correlation-evolution\/41787\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kaspersky-siem-correlation-evolution\/14574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/55761\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-siem-correlation-evolution\/23963\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-correlation-evolution\/25021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kaspersky-siem-correlation-evolution\/33525\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-siem-correlation-evolution\/30619\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-siem-correlation-evolution\/36221\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-siem-correlation-evolution\/36114\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/siem\/","name":"SIEM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30732"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30732\/revisions"}],"predecessor-version":[{"id":30734,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30732\/revisions\/30734"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30733"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}