{"id":24728,"date":"2026-02-12T09:30:56","date_gmt":"2026-02-12T12:30:56","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24728"},"modified":"2026-02-11T17:25:36","modified_gmt":"2026-02-11T20:25:36","slug":"kaspersky-siem-4-2-update","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-4-2-update\/24728\/","title":{"rendered":"Detectando contas comprometidas com SIEM"},"content":{"rendered":"

Um n\u00famero significativo dos incidentes modernos tem in\u00edcio com o comprometimento de contas. Como os agentes de acesso inicial se tornaram uma ind\u00fastria criminosa plenamente estabelecida, ficou muito mais f\u00e1cil para invasores organizarem ataques \u00e0 infraestrutura das empresas simplesmente comprando conjuntos de logins e senhas de funcion\u00e1rios. A ampla ado\u00e7\u00e3o de diferentes m\u00e9todos de acesso remoto tornou essa tarefa ainda mais simples. Ao mesmo tempo, as fases iniciais desses ataques se assemelham com frequ\u00eancia a a\u00e7\u00f5es perfeitamente leg\u00edtimas de colaboradores e permanecem indetect\u00e1veis pelos mecanismos tradicionais de seguran\u00e7a por longos per\u00edodos.<\/p>\n

Confiar apenas nas medidas de prote\u00e7\u00e3o da conta e nas pol\u00edticas de senha n\u00e3o \u00e9 uma op\u00e7\u00e3o. Sempre existe a possibilidade de que invasores obtenham credenciais de funcion\u00e1rios por meio de ataques de phishing, malware do tipo infostealer ou, simplesmente, pela falta de cuidado de usu\u00e1rios que reutilizam a mesma senha em contas profissionais e pessoais e n\u00e3o d\u00e3o muita aten\u00e7\u00e3o a vazamentos ocorridos em servi\u00e7os de terceiros.<\/p>\n

Assim, a detec\u00e7\u00e3o de ataques \u00e0 infraestrutura de uma empresa exige ferramentas que identifiquem n\u00e3o apenas assinaturas isoladas de amea\u00e7as, mas tamb\u00e9m mecanismos de an\u00e1lise comportamental que reconhe\u00e7am desvios do comportamento normal de usu\u00e1rios e processos do sistema.<\/p>\n

Uso de IA no SIEM para detectar comprometimento de contas<\/h2>\n

Como mencionamos na postagem anterior<\/a>, para detectar ataques envolvendo comprometimento de contas, o SIEM da Kaspersky Unified Monitoring and Analysis Platform<\/a> foi equipado com regras UEBA para identificar anomalias em autentica\u00e7\u00e3o, atividades de rede e execu\u00e7\u00e3o de processos em esta\u00e7\u00f5es de trabalho e servidores Windows. Na atualiza\u00e7\u00e3o mais recente, seguimos desenvolvendo o sistema nessa mesma dire\u00e7\u00e3o, incorporando abordagens baseadas em IA.<\/p>\n

O sistema cria um modelo do comportamento normal dos usu\u00e1rios durante a autentica\u00e7\u00e3o e passa a monitorar desvios em rela\u00e7\u00e3o aos cen\u00e1rios habituais, como hor\u00e1rios de login at\u00edpicos, cadeias de eventos incomuns e tentativas de acesso an\u00f4malas. Essa abordagem permite que SIEM identifique tanto tentativas de autentica\u00e7\u00e3o com credenciais roubadas quanto o uso de contas j\u00e1 comprometidas, inclusive em cen\u00e1rios complexos que antes poderiam passar despercebidos.<\/p>\n

Em vez de buscar indicadores isolados, o sistema analisa desvios em rela\u00e7\u00e3o a padr\u00f5es normais. Isso possibilita a detec\u00e7\u00e3o mais precoce de ataques complexos, reduz o n\u00famero de falsos positivos e diminui significativamente a carga operacional das equipes de SOC.<\/p>\n

Anteriormente, ao utilizar regras UEBA para detectar anomalias, era necess\u00e1rio criar diversas regras respons\u00e1veis por executar etapas preliminares e gerar listas adicionais nas quais os dados intermedi\u00e1rios eram armazenados. Agora, na nova vers\u00e3o do SIEM, com um correlacionador atualizado, \u00e9 poss\u00edvel detectar o sequestro de contas por meio de uma \u00fanica regra especializada.<\/p>\n

Outras atualiza\u00e7\u00f5es na Kaspersky Unified Monitoring and Analysis Platform<\/h2>\n

Quanto mais complexa \u00e9 a infraestrutura e maior o volume de eventos, mais cr\u00edticos se tornam os requisitos de desempenho da plataforma, a flexibilidade no gerenciamento de acessos e a facilidade de opera\u00e7\u00e3o no dia a dia. Um sistema SIEM moderno deve n\u00e3o apenas detectar amea\u00e7as com precis\u00e3o, mas tamb\u00e9m permanecer resiliente, sem precisar de atualiza\u00e7\u00f5es constantes de hardware ou de reestrutura\u00e7\u00e3o de processos. Por isso, na vers\u00e3o 4.2, demos mais um passo para tornar a plataforma mais pr\u00e1tica e adapt\u00e1vel. As atualiza\u00e7\u00f5es impactam a arquitetura, os mecanismos de detec\u00e7\u00e3o e a experi\u00eancia do usu\u00e1rio.<\/p>\n

Inclus\u00e3o de fun\u00e7\u00f5es flex\u00edveis e controle de acesso granular<\/h3>\n

Uma das principais inova\u00e7\u00f5es da nova vers\u00e3o do SIEM \u00e9 o modelo flex\u00edvel de fun\u00e7\u00f5es. Agora, os clientes podem criar fun\u00e7\u00f5es personalizadas para diferentes usu\u00e1rios do sistema, duplicar fun\u00e7\u00f5es existentes e configurar conjuntos espec\u00edficos de permiss\u00f5es de acordo com as atividades de cada especialista. Isso permite uma diferencia\u00e7\u00e3o mais precisa de responsabilidades entre analistas de SOC, administradores e gestores, reduz o risco de concess\u00e3o excessiva de privil\u00e9gios e reflete de forma mais fiel os processos internos da empresa nas configura\u00e7\u00f5es do SIEM.<\/p>\n

Novo correlacionador e, como resultado, maior estabilidade da plataforma<\/h3>\n

Na vers\u00e3o 4.2, introduzimos uma vers\u00e3o beta de um novo mecanismo de correla\u00e7\u00e3o (2.0). Ela processa eventos com maior velocidade e exige menos recursos de hardware. Para os clientes, isso se traduz em:<\/p>\n