A evolução das regras de correlação do SIEM

Em termos simples, a lógica do sistema SIEM funciona assim: se o evento A ocorrer seguido do evento B, isso pode indicar um ataque, e um especialista em segurança da informação deverá ser notificado. Mas, no cenário atual, esse modelo simples está se mostrando cada vez menos eficaz. Recentemente, nossos especialistas analisaram um incidente de grande repercussão: invasores comprometeram a infraestrutura de atualização do popular software Notepad++ e distribuíram malware por meio do mecanismo de atualização. É simplesmente impossível ter regras previamente definidas e especificamente projetadas para neutralizar cenários desse tipo.

Os próprios ataques tornaram-se mais sofisticados: os invasores usam ferramentas legítimas, atacam a cadeia de suprimentos comprometendo softwares fora do perímetro corporativo, estendem seus cenários ao longo do tempo e disfarçam suas ações como atividades normais. Em outras palavras, eles não “invadem” a infraestrutura; na maioria das vezes, eles fazem login e usam software legítimo. Como resultado, as regras fixas clássicas do passado não são acionadas ou geram muitos alertas falsos. Foi isso que levou à mudança para cenários de correlação mais flexíveis.

Conteúdo SIEM atualizado dinamicamente

Atualmente, o conteúdo de correlação não é mais um conjunto estático de regras, mas sim um processo: ele evolui e se adapta constantemente às ameaças atuais. Somente em 2025, lançamos 55 atualizações de pacotes de regras para diferentes versões e idiomas do nosso sistema Kaspersky SIEM. Em apenas um ano, adicionamos 10 novos pacotes de regras, além de 250 regras de detecção e diversas melhorias no conteúdo existente. Neste ano, já adicionamos 43 novas regras e refinamos outras 63. No total, isso equivale a mais de 850 regras que abrangem uma parte significativa da estrutura MITRE ATT&CK.

As regras do Kaspersky SIEM são desenvolvidas com base nos insights de nossos especialistas, que analisam ataques recentes no mundo real, principalmente a partir das descobertas do nosso serviço de detecção e resposta gerenciada (MDR) e das nossas pesquisas sobre ameaças. Como resultado, nossas regras abrangem cenários (do reconhecimento à escalação de privilégios) que envolvem as abordagens mais recentes utilizadas pelos invasores. Por exemplo, detectamos o uso de novas técnicas de ataque, como a campanha ToolShell.

Além das atualizações programadas, a equipe também lança regularmente o chamado conteúdo emergencial: conjuntos de regras voltados à resposta rápida a técnicas de ataque novas e inesperadas. Em fevereiro, por exemplo, regras de detecção foram lançadas para contornar a autenticação em produtos Fortinet por meio do mecanismo de SSO: os invasores usaram solicitações SAML especialmente elaboradas para obter acesso a sistemas sem credenciais.

De eventos a cadeias de ataque

Além disso, as regras SIEM modernas não descrevem mais eventos individuais, mas sequências de ações. Os cenários são estruturados em torno das etapas de um ataque: desde o acesso inicial até a escalação de privilégios e a persistência. A eficácia do Kaspersky SIEM é ampliada por meio da integração com o Kaspersky EDR e de conjuntos de regras dedicados ao Active Directory, que implementam dezenas de cenários de detecção de ataques em diferentes estágios. Essa abordagem nos permite ver não apenas sinais individuais, mas o quadro completo.

Integração e visibilidade interna

Outra maneira de melhorar a eficácia de um sistema SIEM é expandir as fontes de dados. Um SIEM clássico agrega eventos de diferentes níveis da infraestrutura: desde logs até telemetria de endpoints e sistemas internos. Além disso, nosso sistema SIEM inclui conjuntos especializados de regras para nossas outras soluções (Kaspersky Security Center, Kaspersky Security for Mail Groups, plataforma Kaspersky Anti Targeted Attack), que permitem o monitoramento de ações de administradores, autenticação e status do serviço. Como resultado, o sistema se torna uma ferramenta não somente para detectar ataques, mas também para monitorar a atividade interna.

No geral, o SIEM deixou de ser apenas um conjunto de regras e evoluiu para um sistema de detecção continuamente atualizado. A eficácia é determinada não pela quantidade de detecções, mas sim pela relevância delas, pela coerência e pela precisão com que refletem as ações reais dos invasores. Acompanhe as novidades sobre nossa solução Kaspersky Unified Monitoring and Analysis Platform (SIEM) na página oficial do produto.