Foi em 2005 que o Gartner cunhou o termo SIEM, como a combinação de SIM (security information management) e SEM (security events management).
O SIEM surgiu como uma ferramenta para fortalecer a postura em segurança, fornecendo visibilidade total, em tempo real, de ameaças que podem comprometer o ambiente digital da organização. Na base disso estava a ingestão, agregação e análise de um alto volume de dados sobre eventos, por meio de correlações de alertas – tarefa impossível de ser realizada manualmente.
Exatos 20 anos depois, o SIEM continua sendo o centro de um SOC eficiente, e seu conceito básico permanece o mesmo. Mas a ferramenta mudou drasticamente ao longo desse tempo.
Como é um SIEM em 2025? O que ele tem de diferente das soluções tradicionais?
O SIEM em seus primórdios
O SIEM serve, prioritariamente, como um ambiente para armazenar e analisar logs. Ele agrega dados sobre eventos produzidos nas soluções de monitoramento das aplicações, redes, endpoints e cloud para proporcionar uma visão única sobre os comportamentos dos dados.
Mas, olhando em perspectiva, tanto para atender a uma maior extensão e distribuição do ambiente digital das organizações quanto para lidar com a sofisticação e o volume maior de ameaças, ele precisou estender suas aplicações. Isso, porque, para atender a essas novas demandas, o modo tradicional de ingestão e análise de dados exigiria muito das organizações.
Para começar, a ingestão e normalização de dados precisou ser facilitada. Considerando que em média são mais de 100 fontes de dados conectadas a um SIEM – e isso continua a aumentar –, o trabalho nessa frente se tornou extenso, complexo e demorado. Ao mesmo tempo, gerenciar todos os dados tornou o SIEM uma ferramenta cara e pesada, com efeitos na velocidade na busca de dados.
Além disso, para aumentar a eficiência, precisaram surgir funcionalidades de automação nos fluxos de detecção e resposta, assim como em contextualização dos alertas. O SIEM tradicional trazia um volume de alertas altíssimo, mas exigia dos analistas do SOC um processo de investigação manual e em inúmeras ferramentas, levando a excesso de falsos positivos e à dificuldade de priorizar alertas. De acordo com levantamento da IDC, em média, as organizações resolvem apenas 65% dos alertas identificados – mesmo com SIEM.
Outro ponto sentido pelas equipes, que precisou avançar, foi no conteúdo de detecção disponível nas ferramentas. Os analistas do SOC estavam com toda a missão de identificar as detecções prioritárias que deveriam ser integradas ao SOC.
Com isso, uma operação de segurança centrada em um SIEM, para atender a todas as demandas de um ambiente digital moderno, exigia muitos profissionais, com alto grau de especialização e dedicação, e mesmo assim pouca garantia de uma cobertura adequada de segurança.
A evolução para o SIEM moderno
Desde seu surgimento, o SIEM se tornou rapidamente o core do SOC, o ponto de partida de uma investigação de segurança. Isso se revela no mercado do SIEM: estamos falando de uma indústria com crescimento anual composto em torno de constantes 15% e de valor de $11,3 bilhões.
Mas o SIEM de 2025 já não é mais parecido com o de 2005. Ele evoluiu para uma ferramenta end-to-end para gestão, controle e governança em segurança.
O SIEM moderno é uma plataforma de detecção, investigação e resposta a ameaças que, de maneira eficiente, processa e analisa dados onde eles estão, independentemente de onde estão, na cloud, on-premise ou híbrido.
Os provedores de SIEM modernos vêm com conectores para as mais variadas fontes de dados de uma organização (federated search e log ingestion), capazes de fazer a ingestão dos dados que a organização precisa para a cobertura e visibilidade máxima do seu ambiente, sem zonas cinzentas.
Um SIEM moderno não se limita à análise de dados e logs. Ele unifica detecção, investigação e resposta a incidentes com automação, seja por meio de correlações já construídas, priorização de alertas (risk based alerting) ou de resposta (SOAR) com base em frameworks do setor – todo dentro da ferramenta, reduzindo a necessidade de atuação em outras, alert fatigue e de intensa intervenção humana.
Conteúdos de regras de detecção e threat hunting, capacidade para pesquisas de correções, relatórios automatizados de compliance proporcionam à equipe material para continuar a evoluir suas regras de detecção e reportar seus alertas.
Dessa forma, o SOC tem instrumental para unificar workflows de segurança, ter visibilidade contextualizada em segurança e gerar inteligência de correlações e de ameaças para enriquecer alertas.
Conheça as melhores ferramentas SIEM
Una tecnologia avançada e equipe experiente em SIEM
O SIEM evoluiu de 2005 para 2025. Ainda assim, manteve a sua posição central dentro do SOC.
Porém, por mais recursos para gestão de dados e automação que tenha, um SIEM moderno nunca será uma ferramenta que roda por conta própria. Uma vez implantado, ele precisa ser continuamente revisado e ajustado às necessidades e mudanças do negócio.
Você deverá criar e estabelecer critérios para a criação de novos alertas e refinamento de alertas em curso, assim como para manter a ferramenta. Para tal, você deverá ter um time experiente e talentoso.
A DataRunk é especialista no Splunk ES, ferramenta líder do mercado, nomeada pela 10ª vez no Gartner Magic Quadrant. Fale com nossos especialistas se quiser evoluir seu SOC com o melhor SIEM.
