Há nem tanto tempo assim, num reino ciberseguro nem tão distante, havia três castelos isolados e fortificados, cada um cuidando do seu próprio nariz: a Fortaleza dos Antivírus, onde os mais arrojados cavaleiros lutavam para proteger os endpoints; a Muralha dos Firewalls, que resguardava o acesso aos povoados principais; e, finalmente, a Torre de IDS, que denunciava qualquer visitante indesejado. Todos leais ao rei — que, como sempre, era o último a saber das coisas.

Lembro do dia em que conheci o conceito de SIEM, ainda em sua forma bastante rústica. A ideia era simples: coletar eventos de segurança, correlacioná-los e apoiar investigações e respostas a incidentes. Com o advento do SIEM, os “feudos” isolados do Antivírus, do Firewall e do IDS (entre outros) passaram a ser vistos de forma integrada pelo Castelo do Rei da Cibersegurança, que de lá prontamente enviava suas tropas para defender (quase) todas as ameaças.

O SIEM (Security Information and Event Management, ou em português: Gerenciamento de Informações e Eventos de Segurança) rapidamente tornou-se peça-chave das operações de segurança da informação em muitas empresas. Dito assim, até parece que foi fácil — mas não foi. As diferentes plataformas entregavam logs de maneiras distintas e era preciso normalizá-los eficientemente. Além disso, novas funções foram incorporadas para permitir que a automação acelerasse as operações de segurança.

Com o tempo, o SIEM foi evoluindo discretamente. Em paralelo, surgiram novas tecnologias que buscavam complementar sua atuação e a das operações de segurança: SOAR, UEBA, XDR, UTM e muitas outras. O reino, antes segmentado, transformou-se em uma costura de tecnologias — o que deixou ainda mais evidente sua complexidade, os desafios de automação, a dificuldade na criação de playbooks e, sobretudo, o aumento de custos.

Recentemente, têm surgido críticas contundentes ao SIEM: que morreu; que, ao evoluir, deixou de ser o que era; e que, hoje em dia, sem o uso intensivo de inteligência artificial, está ultrapassado. Há quem diga que o SIEM precisa (e já está) incorporar novas tecnologias para se manter competitivo. Mas esse “SIEM renascido” ainda deveria ser chamado de SIEM? Outros defendem que ele segue firme e forte — mesmo quando institutos de análise deixam de publicar quadrantes específicos para a categoria.

Segundo uma enquete publicada pela Dark Reading em agosto/25, com mais de 1.400 profissionais de segurança:

• 40% acreditam que os SIEMs devem ser incorporados ao XDR ou EDR.
• 35% ainda veem valor no SIEM, desde que modernizado com IA.
• 15% consideram iminente o fim do SIEM como o conhecemos.

O maior desafio para analistas e profissionais de segurança é avaliar o quanto de “puxadinho” ainda será feito para atualizar ferramentas legadas de SIEM, integrando IA e outras tecnologias que hoje se tornaram mandatórias — ou se já é hora de adotar soluções que nasceram sob essa nova perspectiva.

O objetivo, no entanto, permanece o mesmo: Resposta! Minimizar custos operacionais e reduzir o MTTD/MMTR (Mean Time to Detect / Mean Time to Respond).

💡 Sugestão de trilha sonora para acompanhar a leitura: Resposta, de Nando Reis e Samuel Rosa, interpretada pelo Skank (Spotify).

📎 Link do artigo mencionado: Dark Reading – SIEMs dying a slow death, or AI rebirth?

🔹 Importante: No momento em que escrevo este artigo, sou o Country Manager da Stellar Cyber, uma plataforma AI-driven que evolui o conceito de SIEM para além dele: NDR/OT, ITDR, UEBA, Open XDR e Multi-Layer AI — ajudando clientes e parceiros na jornada rumo ao Autonomous SOC.