{"id":24129,"date":"2025-08-28T09:00:24","date_gmt":"2025-08-28T12:00:24","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24129"},"modified":"2025-08-26T15:53:06","modified_gmt":"2025-08-26T18:53:06","slug":"ueba-rules-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ueba-rules-in-kaspersky-siem\/24129\/","title":{"rendered":"Regras UEBA em um sistema SIEM"},"content":{"rendered":"<p>Os cibercriminosos de hoje s\u00e3o mestres do disfarce: esfor\u00e7am-se para que suas a\u00e7\u00f5es maliciosas pare\u00e7am processos comuns. Eles utilizam ferramentas leg\u00edtimas, se comunicam com servidores de comando e controle via servi\u00e7os p\u00fablicos, e disfar\u00e7am a execu\u00e7\u00e3o de c\u00f3digos maliciosos como a\u00e7\u00f5es comuns dos usu\u00e1rios. Esse tipo de atividade quase passa despercebido pelas solu\u00e7\u00f5es tradicionais de seguran\u00e7a; por\u00e9m, algumas anomalias podem ser identificadas ao analisar o comportamento de usu\u00e1rios, contas de servi\u00e7o ou outras entidades. Esse \u00e9 o princ\u00edpio b\u00e1sico de um m\u00e9todo de detec\u00e7\u00e3o de amea\u00e7as chamado UEBA, abrevia\u00e7\u00e3o para \u201can\u00e1lise do comportamento de usu\u00e1rios e entidades\u201d. E \u00e9 exatamente isso que implementamos na vers\u00e3o mais recente do nosso sistema SIEM, a Kaspersky Unified Monitoring and Analysis Platform.<\/p>\n<h2>Como a UEBA funciona em um sistema SIEM<\/h2>\n<p>Por <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/ueba\/\" target=\"_blank\" rel=\"noopener\">defini\u00e7\u00e3o<\/a>, a UEBA \u00e9 uma tecnologia de seguran\u00e7a cibern\u00e9tica que monitora o comportamento de usu\u00e1rios, dispositivos, aplicativos e outros elementos de um sistema para identificar poss\u00edveis amea\u00e7as. Embora essa tecnologia possa ser usada com qualquer solu\u00e7\u00e3o de seguran\u00e7a, acreditamos que sua efic\u00e1cia \u00e9 maior quando integrada a uma plataforma SIEM. Ao usar aprendizado de m\u00e1quina para estabelecer um padr\u00e3o normal de comportamento de um usu\u00e1rio ou objeto (seja um computador, servi\u00e7o ou outra entidade), um sistema SIEM com regras UEBA pode identificar desvios desse padr\u00e3o. Isso possibilita a detec\u00e7\u00e3o oportuna de APTs, ataques direcionados e amea\u00e7as internas.<\/p>\n<p>Por isso, adicionamos ao nosso sistema SIEM um pacote de regras UEBA, criado especialmente para identificar anomalias em processos de autentica\u00e7\u00e3o, atividades de rede e execu\u00e7\u00e3o de processos em esta\u00e7\u00f5es de trabalho e servidores Windows. Isso torna nosso sistema mais eficiente na identifica\u00e7\u00e3o de ataques novos, dif\u00edceis de detectar por meio de regras de correla\u00e7\u00e3o comuns, assinaturas ou indicadores de comprometimento. Cada regra do pacote UEBA \u00e9 baseada no perfil comportamental de usu\u00e1rios e objetos. As regras se dividem em duas categorias principais:<\/p>\n<ul>\n<li>Regras estat\u00edsticas, que utilizam o <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Amplitude_interquartil\" target=\"_blank\" rel=\"noopener nofollow\">intervalo interquartil<\/a> para identificar anomalias com base nos dados atuais de comportamento.<\/li>\n<li>Regras que detectam desvios do comportamento esperado, identificados pela an\u00e1lise da atividade passada de uma conta ou objeto.<\/li>\n<\/ul>\n<p>Quando um desvio em rela\u00e7\u00e3o \u00e0 norma hist\u00f3rica ou \u00e0 expectativa estat\u00edstica \u00e9 identificado, o sistema gera um alerta e aumenta a pontua\u00e7\u00e3o de risco do respectivo objeto (usu\u00e1rio ou host). (Leia <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-technology-in-kaspersky-siem\/53238\/\" target=\"_blank\" rel=\"noopener nofollow\">este artigo<\/a> para entender como nossa solu\u00e7\u00e3o SIEM utiliza IA para pontua\u00e7\u00e3o de risco.)<\/p>\n<h2>Estrutura do pacote de regras UEBA<\/h2>\n<p>Para este pacote, focamos nas \u00e1reas onde a tecnologia UEBA tem melhor desempenho, como prote\u00e7\u00e3o de contas, monitoramento de rede e autentica\u00e7\u00e3o segura. Nosso pacote UEBA atualmente inclui as seguintes se\u00e7\u00f5es:<\/p>\n<h3>Autentica\u00e7\u00e3o e controle de permiss\u00f5es<\/h3>\n<p>Essas regras identificam m\u00e9todos de login incomuns, picos repentinos de erros de autentica\u00e7\u00e3o, inclus\u00e3o de contas em grupos locais em computadores diferentes e tentativas de autentica\u00e7\u00e3o fora do hor\u00e1rio comercial. Cada um desses desvios \u00e9 sinalizado e aumenta a pontua\u00e7\u00e3o de risco do usu\u00e1rio.<\/p>\n<h3>Perfil de DNS<\/h3>\n<p>Voltado para an\u00e1lise das consultas DNS realizadas por computadores na rede corporativa. As regras desta se\u00e7\u00e3o coletam dados hist\u00f3ricos para identificar anomalias, como consultas de tipos de registros desconhecidos, nomes de dom\u00ednio excessivamente longos, zonas incomuns ou frequ\u00eancias de consulta at\u00edpicas. Tamb\u00e9m monitora o volume de dados retornados via DNS. Qualquer desvio \u00e9 considerado uma amea\u00e7a potencial e aumenta a pontua\u00e7\u00e3o de risco do host.<\/p>\n<h3>Perfil de atividade de rede<\/h3>\n<p>Rastreamento das conex\u00f5es entre computadores, tanto dentro da rede quanto com recursos externos. Essas regras sinalizam conex\u00f5es feitas pela primeira vez a novas portas, contatos com hosts anteriormente desconhecidos, volumes incomuns de tr\u00e1fego de sa\u00edda e acesso a servi\u00e7os de gerenciamento. Todas as a\u00e7\u00f5es fora do comportamento esperado geram alertas e elevam a pontua\u00e7\u00e3o de risco.<\/p>\n<h3>Perfil de processo<\/h3>\n<p>Esta se\u00e7\u00e3o monitora programas iniciados em pastas do sistema Windows. Se um novo execut\u00e1vel for executado pela primeira vez nos diret\u00f3rios System32 ou SysWOW64 em um computador espec\u00edfico, ele ser\u00e1 sinalizado como uma anomalia. Isso aumenta a pontua\u00e7\u00e3o de risco do usu\u00e1rio que iniciou o processo.<\/p>\n<h3>Perfil do PowerShell<\/h3>\n<p>Esta se\u00e7\u00e3o rastreia a origem das execu\u00e7\u00f5es de scripts PowerShell. Se um script for executado pela primeira vez em um diret\u00f3rio fora dos padr\u00f5es, como diferente de Arquivos de Programas, Windows ou outras pastas comuns, a a\u00e7\u00e3o \u00e9 considerada suspeita e eleva a pontua\u00e7\u00e3o de risco do usu\u00e1rio.<\/p>\n<h3>Monitoramento de VPN<\/h3>\n<p>Isso identifica diversos eventos como arriscados, incluindo logins de pa\u00edses n\u00e3o relacionados ao perfil do usu\u00e1rio, viagens geograficamente imposs\u00edveis, volumes incomuns de tr\u00e1fego via VPN, altera\u00e7\u00f5es no cliente VPN e v\u00e1rias tentativas de login falhas. Cada um desses eventos eleva a pontua\u00e7\u00e3o de risco da conta do usu\u00e1rio.<\/p>\n<p>O uso das regras UEBA nos ajuda a detectar ataques sofisticados e a reduzir falsos positivos por meio da an\u00e1lise do contexto comportamental. Isso melhora consideravelmente a precis\u00e3o da an\u00e1lise e diminui a carga de trabalho dos analistas de seguran\u00e7a. O uso de UEBA e IA para atribuir uma pontua\u00e7\u00e3o de risco acelera e aprimora o tempo de resposta dos analistas, permitindo uma prioriza\u00e7\u00e3o mais precisa dos incidentes. Aliado \u00e0 cria\u00e7\u00e3o autom\u00e1tica de padr\u00f5es comportamentais t\u00edpicos, isso aumenta significativamente a efici\u00eancia das equipes de seguran\u00e7a. Isso elimina tarefas rotineiras e oferece um contexto comportamental mais rico e preciso para detec\u00e7\u00e3o e resposta a amea\u00e7as.<\/p>\n<p>Estamos constantemente aprimorando a usabilidade do nosso sistema SIEM. Fique de olho nas atualiza\u00e7\u00f5es da Kaspersky Unified Monitoring and Analysis Platform na <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">p\u00e1gina oficial do produto<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"23922\">\n","protected":false},"excerpt":{"rendered":"<p>Uso de anomalias no comportamento de usu\u00e1rios, dispositivos, aplicativos e outras entidades para detectar ciberamea\u00e7as.<\/p>\n","protected":false},"author":2757,"featured_media":24132,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1342,1838,3373],"class_list":{"0":"post-24129","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ia","11":"tag-siem","12":"tag-ueba"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ueba-rules-in-kaspersky-siem\/24129\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ueba-rules-in-kaspersky-siem\/29363\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/24478\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/12724\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ueba-rules-in-kaspersky-siem\/29314\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/28426\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ueba-rules-in-kaspersky-siem\/29992\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ueba-rules-in-kaspersky-siem\/40250\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ueba-rules-in-kaspersky-siem\/13685\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/54060\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ueba-rules-in-kaspersky-siem\/23087\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ueba-rules-in-kaspersky-siem\/32571\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ueba-rules-in-kaspersky-siem\/29542\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ueba-rules-in-kaspersky-siem\/35230\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ueba-rules-in-kaspersky-siem\/34877\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/siem\/","name":"SIEM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24129"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24129\/revisions"}],"predecessor-version":[{"id":24133,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24129\/revisions\/24133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24132"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}