SIEM

Reglas UEBA en un sistema SIEM

Utilización de anomalías en el comportamiento de usuarios, dispositivos, aplicaciones y otras entidades para detectar ciberamenazas.

Alexander Marmalidi
18 Ago 2025

Los ciberatacantes de hoy son maestros del disfraz: trabajan duro para que sus actividades maliciosas parezcan procesos normales. Utilizan herramientas legítimas, se comunican con servidores de comando y control a través de servicios públicos, y enmascaran el lanzamiento de código malicioso como acciones habituales del usuario. Este tipo de actividad es casi invisible para las soluciones de seguridad tradicionales; sin embargo, se pueden descubrir determinadas anomalías analizando el comportamiento de usuarios específicos, cuentas de servicio u otras entidades. Este es el concepto central detrás de un método de detección de amenazas llamado UEBA, abreviatura de “análisis del comportamiento de usuarios y entidades”. Y esto es exactamente lo que hemos implementado en la última versión de nuestro sistema SIEM: Kaspersky Unified Monitoring and Analysis Platform.

Cómo funciona UEBA dentro de un sistema SIEM

Por definición, UEBA es una tecnología de ciberseguridad que identifica amenazas analizando el comportamiento de usuarios, dispositivos, aplicaciones y otros objetos en un sistema de información. Si bien, en principio, esta tecnología se puede utilizar con cualquier solución de seguridad, creemos que es más eficaz cuando se integra en una plataforma SIEM. Al usar el aprendizaje automático para establecer una línea de base normal para el comportamiento de un usuario o un objeto (ya sea un ordenador, un servicio u otra entidad), un sistema SIEM equipado con reglas de detección de UEBA puede analizar las desviaciones del comportamiento típico. Esto permite la detección oportuna de APT, ataques dirigidos y amenazas internas.

Es por eso que hemos equipado nuestro sistema SIEM con un paquete de reglas UEBA, diseñado específicamente para detectar anomalías en los procesos de autenticación, la actividad de la red y la ejecución de procesos en estaciones de trabajo y servidores basados en Windows. Esto hace que nuestro sistema sea más inteligente para encontrar ataques nuevos que son difíciles de detectar con reglas de correlación regulares, firmas o indicadores de riesgo. Cada regla del paquete UEBA se basa en la elaboración de perfiles del comportamiento de usuarios y objetos. Las reglas se dividen en dos categorías principales:

Reglas estadísticas, que utilizan el rango intercuartil para identificar anomalías según los datos de comportamiento actuales.
Reglas que detectan desviaciones del comportamiento normal, que se determina analizando la actividad pasada de una cuenta u objeto.

Cuando se encuentra una desviación de una norma histórica o expectativa estadística, el sistema genera una alerta y aumenta la puntuación de riesgo del objeto relevante (usuario o host). (Lee este artículo para obtener más información sobre cómo nuestra solución SIEM utiliza IA para la calificación de riesgos).

Estructura del paquete de reglas UEBA

Para este paquete de reglas, nos centramos en las áreas donde la tecnología UEBA funciona mejor, como la protección de cuentas, la supervisión de la actividad de la red y la autenticación segura. Nuestro paquete de reglas UEBA actualmente incluye las siguientes secciones:

Control de permisos y autenticación

Estas reglas detectan métodos de inicio de sesión inusuales, picos repentinos en los errores de autenticación, cuentas que se añaden a grupos locales en diferentes equipos e intentos de autenticación fuera del horario comercial normal. Cada una de estas desviaciones se marca y aumenta la puntuación de riesgo del usuario.

Creación de perfiles de DNS

Dedicado al análisis de las consultas DNS realizadas por los equipos de la red corporativa. Las reglas de esta sección recopilan datos históricos para identificar anomalías como consultas de tipos de registro desconocidos, nombres de dominio excesivamente largos, zonas inusuales o frecuencias de consulta atípicas. También supervisa el volumen de datos devueltos a través de DNS. Cualquiera de estas desviaciones se considera una amenaza potencial y, por lo tanto, aumenta la puntuación de riesgo del host.

Creación de perfiles de actividad de la red

Seguimiento de las conexiones entre ordenadores tanto dentro de la red como con recursos externos. Estas reglas marcan las primeras conexiones a nuevos puertos, los contactos con hosts previamente desconocidos, los volúmenes inusuales de tráfico saliente y el acceso a los servicios de administración. Todas las acciones que se desvían del comportamiento normal generan alertas y elevan la puntuación de riesgo.

Creación de perfiles de procesos

Esta sección supervisa los programas iniciados desde las carpetas del sistema de Windows. Si un nuevo archivo ejecutable se ejecuta por primera vez desde los directorios System32 o SysWOW64 en un ordenador específico, se marca como anomalía. Esto aumenta la puntuación de riesgo para el usuario que inició el proceso.

Creación de perfiles de PowerShell

En esta sección, se realiza un seguimiento del origen de las ejecuciones de scripts de PowerShell. Si un script se ejecuta por primera vez desde un directorio no estándar, que no sea Archivos de programa, Windows u otra ubicación común, la acción se marca como sospechosa, y aumenta la puntuación de riesgo del usuario.

Supervisión de VPN

Esto marca una serie de eventos como riesgosos, entre ellos: inicios de sesión desde países que no están asociados previamente con el perfil del usuario, viajes geográficamente imposibles, volúmenes de tráfico inusuales a través de una VPN, cambios en el cliente VPN y múltiples intentos fallidos de inicio de sesión. Cada uno de estos eventos da lugar a una puntuación de riesgo más alta para la cuenta del usuario.

El uso de estas reglas de UEBA nos ayuda a detectar ataques sofisticados y reducir los falsos positivos mediante el análisis del contexto de comportamiento. Esto mejora significativamente la exactitud de nuestro análisis y reduce la carga de trabajo de los analistas de seguridad. El uso de UEBA e IA para asignar una puntuación de riesgo a un objeto acelera y mejora el tiempo de respuesta de cada analista, ya que les permite priorizar los incidentes con mayor precisión. En combinación con la creación automática de bases de referencia de comportamiento típico, esto aumenta significativamente la eficiencia general de los equipos de seguridad. Los libera de las tareas rutinarias y proporciona un contexto de comportamiento más rico y preciso para la detección y respuesta ante amenazas.

Mejoramos constantemente la usabilidad de nuestro sistema SIEM. Estate atento a las actualizaciones de Kaspersky Unified Monitoring and Analysis Platform en su página oficial del producto.

Sin culpables: como la seguridad psicológica ayuda a mejorar la ciberseguridad

Las empresas deben crear una cultura de seguridad, pero esto es imposible cuando el personal tiene miedo de discutir incidentes o sugerir mejoras.

Privacidad y niños

Reglas UEBA en un sistema SIEM

Cómo funciona UEBA dentro de un sistema SIEM

Estructura del paquete de reglas UEBA

Control de permisos y autenticación

Creación de perfiles de DNS

Creación de perfiles de actividad de la red

Creación de perfiles de procesos

Creación de perfiles de PowerShell

Supervisión de VPN

Nueva estafa de phishing atrae a los usuarios con actualizaciones falsas de la política de RR. HH.

El antivirus de Schrödinger: ¿la protección está viva o muerta?

Sin culpables: como la seguridad psicológica ayuda a mejorar la ciberseguridad

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog