{"id":25021,"date":"2026-06-01T09:55:59","date_gmt":"2026-06-01T12:55:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=25021"},"modified":"2026-06-01T09:55:15","modified_gmt":"2026-06-01T12:55:15","slug":"kaspersky-siem-correlation-evolution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-correlation-evolution\/25021\/","title":{"rendered":"A evolu\u00e7\u00e3o das regras de correla\u00e7\u00e3o do SIEM"},"content":{"rendered":"<p>Em termos simples, a l\u00f3gica do sistema SIEM funciona assim: se o evento A ocorrer seguido do evento B, isso pode indicar um ataque, e um especialista em seguran\u00e7a da informa\u00e7\u00e3o dever\u00e1 ser notificado. Mas, no cen\u00e1rio atual, esse modelo simples est\u00e1 se mostrando cada vez menos eficaz. Recentemente, nossos especialistas <a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\">analisaram um incidente de grande repercuss\u00e3o<\/a>: invasores comprometeram a infraestrutura de atualiza\u00e7\u00e3o do popular software Notepad++ e distribu\u00edram malware por meio do mecanismo de atualiza\u00e7\u00e3o. \u00c9 simplesmente imposs\u00edvel ter regras previamente definidas e especificamente projetadas para neutralizar cen\u00e1rios desse tipo.<\/p>\n<p>Os pr\u00f3prios ataques tornaram-se mais sofisticados: os invasores usam ferramentas leg\u00edtimas, atacam a cadeia de suprimentos comprometendo softwares fora do per\u00edmetro corporativo, estendem seus cen\u00e1rios ao longo do tempo e disfar\u00e7am suas a\u00e7\u00f5es como atividades normais. <strong>Em outras palavras, eles n\u00e3o \u201cinvadem\u201d a infraestrutura; na maioria das vezes, eles fazem login e usam software leg\u00edtimo. <\/strong>Como resultado, as regras fixas cl\u00e1ssicas do passado n\u00e3o s\u00e3o acionadas ou geram muitos alertas falsos. Foi isso que levou \u00e0 mudan\u00e7a para cen\u00e1rios de correla\u00e7\u00e3o mais flex\u00edveis.<\/p>\n<h2>Conte\u00fado SIEM atualizado dinamicamente<\/h2>\n<p>Atualmente, o conte\u00fado de correla\u00e7\u00e3o n\u00e3o \u00e9 mais um conjunto est\u00e1tico de regras, mas sim um processo: ele evolui e se adapta constantemente \u00e0s amea\u00e7as atuais. Somente em 2025, lan\u00e7amos 55 atualiza\u00e7\u00f5es de pacotes de regras para diferentes vers\u00f5es e idiomas do nosso sistema Kaspersky SIEM. Em apenas um ano, adicionamos 10 novos pacotes de regras, al\u00e9m de 250 regras de detec\u00e7\u00e3o e diversas melhorias no conte\u00fado existente. Neste ano, j\u00e1 adicionamos 43 novas regras e refinamos outras 63. No total, isso equivale a mais de 850 regras que abrangem uma parte significativa da estrutura MITRE ATT&amp;CK.<\/p>\n<p>As regras do Kaspersky SIEM s\u00e3o desenvolvidas com base nos insights de nossos especialistas, que analisam ataques recentes no mundo real, principalmente a partir das descobertas do nosso servi\u00e7o de detec\u00e7\u00e3o e resposta gerenciada (MDR) e das nossas pesquisas sobre amea\u00e7as. Como resultado, nossas regras abrangem cen\u00e1rios (do reconhecimento \u00e0 escala\u00e7\u00e3o de privil\u00e9gios) que envolvem as abordagens mais recentes utilizadas pelos invasores. Por exemplo, detectamos o uso de novas t\u00e9cnicas de ataque, como a campanha <a href=\"https:\/\/securelist.com\/toolshell-explained\/117045\/\" target=\"_blank\" rel=\"noopener\">ToolShell<\/a>.<\/p>\n<p>Al\u00e9m das atualiza\u00e7\u00f5es programadas, a equipe tamb\u00e9m lan\u00e7a regularmente o chamado conte\u00fado emergencial: conjuntos de regras voltados \u00e0 resposta r\u00e1pida a t\u00e9cnicas de ataque novas e inesperadas. Em fevereiro, por exemplo, regras de detec\u00e7\u00e3o foram lan\u00e7adas <a href=\"https:\/\/www.kaspersky.com\/blog\/forticloud-authentication-siem-rules\/55241\/\" target=\"_blank\" rel=\"noopener nofollow\">para contornar a autentica\u00e7\u00e3o em produtos Fortinet<\/a> por meio do mecanismo de SSO: os invasores usaram solicita\u00e7\u00f5es SAML especialmente elaboradas para obter acesso a sistemas sem credenciais.<\/p>\n<h2>De eventos a cadeias de ataque<\/h2>\n<p>Al\u00e9m disso, as regras SIEM modernas n\u00e3o descrevem mais eventos individuais, mas sequ\u00eancias de a\u00e7\u00f5es. Os cen\u00e1rios s\u00e3o estruturados em torno das etapas de um ataque: desde o acesso inicial at\u00e9 a escala\u00e7\u00e3o de privil\u00e9gios e a persist\u00eancia. A efic\u00e1cia do Kaspersky SIEM \u00e9 ampliada por meio da integra\u00e7\u00e3o com o Kaspersky EDR e de conjuntos de regras dedicados ao Active Directory, que implementam dezenas de cen\u00e1rios de detec\u00e7\u00e3o de ataques em diferentes est\u00e1gios. Essa abordagem nos permite ver n\u00e3o apenas sinais individuais, mas o quadro completo.<\/p>\n<h2>Integra\u00e7\u00e3o e visibilidade interna<\/h2>\n<p>Outra maneira de melhorar a efic\u00e1cia de um sistema SIEM \u00e9 expandir as fontes de dados. Um SIEM cl\u00e1ssico agrega eventos de diferentes n\u00edveis da infraestrutura: desde logs at\u00e9 telemetria de endpoints e sistemas internos. Al\u00e9m disso, nosso sistema SIEM inclui conjuntos especializados de regras para nossas outras solu\u00e7\u00f5es (Kaspersky Security Center, Kaspersky Security for Mail Groups, plataforma Kaspersky Anti Targeted Attack), que permitem o monitoramento de a\u00e7\u00f5es de administradores, autentica\u00e7\u00e3o e status do servi\u00e7o. Como resultado, o sistema se torna uma ferramenta n\u00e3o somente para detectar ataques, mas tamb\u00e9m para monitorar a atividade interna.<\/p>\n<p>No geral, o SIEM deixou de ser apenas um conjunto de regras e evoluiu para um sistema de detec\u00e7\u00e3o continuamente atualizado. A efic\u00e1cia \u00e9 determinada n\u00e3o pela quantidade de detec\u00e7\u00f5es, mas sim pela relev\u00e2ncia delas, pela coer\u00eancia e pela precis\u00e3o com que refletem as a\u00e7\u00f5es reais dos invasores. Acompanhe as novidades sobre nossa solu\u00e7\u00e3o Kaspersky Unified Monitoring and Analysis Platform (SIEM) <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">na p\u00e1gina oficial do produto<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"23922\">\n","protected":false},"excerpt":{"rendered":"<p>Criamos novas regras SIEM regularmente, mas nos bastidores existe um processo mais fundamental: a evolu\u00e7\u00e3o das pr\u00f3prias regras de correla\u00e7\u00e3o.<\/p>\n","protected":false},"author":2757,"featured_media":25022,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1978,3430,1838],"class_list":{"0":"post-25021","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-contas","10":"tag-regras-de-correlacao","11":"tag-siem"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-correlation-evolution\/25021\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-siem-correlation-evolution\/30712\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/25764\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-siem-correlation-evolution\/30562\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-siem-correlation-evolution\/41787\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/55761\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-siem-correlation-evolution\/30619\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-siem-correlation-evolution\/36221\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-siem-correlation-evolution\/36114\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/siem\/","name":"SIEM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25021","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=25021"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25021\/revisions"}],"predecessor-version":[{"id":25024,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25021\/revisions\/25024"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/25022"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=25021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=25021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=25021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}