{"id":28426,"date":"2025-08-18T17:43:36","date_gmt":"2025-08-18T23:43:36","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28426"},"modified":"2025-08-18T17:43:36","modified_gmt":"2025-08-18T23:43:36","slug":"ueba-rules-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/28426\/","title":{"rendered":"Reglas UEBA en un sistema SIEM"},"content":{"rendered":"<p>Los ciberatacantes de hoy son maestros del disfraz: trabajan duro para que sus actividades maliciosas parezcan procesos normales. Utilizan herramientas leg\u00edtimas, se comunican con servidores de comando y control a trav\u00e9s de servicios p\u00fablicos, y enmascaran el lanzamiento de c\u00f3digo malicioso como acciones habituales del usuario. Este tipo de actividad es casi invisible para las soluciones de seguridad tradicionales; sin embargo, se pueden descubrir determinadas anomal\u00edas analizando el comportamiento de usuarios espec\u00edficos, cuentas de servicio u otras entidades. Este es el concepto central detr\u00e1s de un m\u00e9todo de detecci\u00f3n de amenazas llamado UEBA, abreviatura de \u201can\u00e1lisis del comportamiento de usuarios y entidades\u201d. Y esto es exactamente lo que hemos implementado en la \u00faltima versi\u00f3n de nuestro sistema SIEM: Kaspersky Unified Monitoring and Analysis Platform.<\/p>\n<h2>C\u00f3mo funciona UEBA dentro de un sistema SIEM<\/h2>\n<p>Por <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/ueba\/\" target=\"_blank\" rel=\"noopener\">definici\u00f3n<\/a>, UEBA es una tecnolog\u00eda de ciberseguridad que identifica amenazas analizando el comportamiento de usuarios, dispositivos, aplicaciones y otros objetos en un sistema de informaci\u00f3n. Si bien, en principio, esta tecnolog\u00eda se puede utilizar con cualquier soluci\u00f3n de seguridad, creemos que es m\u00e1s eficaz cuando se integra en una plataforma SIEM. Al usar el aprendizaje autom\u00e1tico para establecer una l\u00ednea de base normal para el comportamiento de un usuario o un objeto (ya sea un ordenador, un servicio u otra entidad), un sistema SIEM equipado con reglas de detecci\u00f3n de UEBA puede analizar las desviaciones del comportamiento t\u00edpico. Esto permite la detecci\u00f3n oportuna de APT, ataques dirigidos y amenazas internas.<\/p>\n<p>Es por eso que hemos equipado nuestro sistema SIEM con un paquete de reglas UEBA, dise\u00f1ado espec\u00edficamente para detectar anomal\u00edas en los procesos de autenticaci\u00f3n, la actividad de la red y la ejecuci\u00f3n de procesos en estaciones de trabajo y servidores basados en Windows. Esto hace que nuestro sistema sea m\u00e1s inteligente para encontrar ataques nuevos que son dif\u00edciles de detectar con reglas de correlaci\u00f3n regulares, firmas o indicadores de riesgo. Cada regla del paquete UEBA se basa en la elaboraci\u00f3n de perfiles del comportamiento de usuarios y objetos. Las reglas se dividen en dos categor\u00edas principales:<\/p>\n<ul>\n<li>Reglas estad\u00edsticas, que utilizan el <a href=\"https:\/\/es.wikipedia.org\/wiki\/Rango_intercuart%C3%ADlico\" target=\"_blank\" rel=\"noopener nofollow\">rango intercuartil<\/a> para identificar anomal\u00edas seg\u00fan los datos de comportamiento actuales.<\/li>\n<li>Reglas que detectan desviaciones del comportamiento normal, que se determina analizando la actividad pasada de una cuenta u objeto.<\/li>\n<\/ul>\n<p>Cuando se encuentra una desviaci\u00f3n de una norma hist\u00f3rica o expectativa estad\u00edstica, el sistema genera una alerta y aumenta la puntuaci\u00f3n de riesgo del objeto relevante (usuario o host). (Lee <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-technology-in-kaspersky-siem\/53238\/\" target=\"_blank\" rel=\"noopener nofollow\">este art\u00edculo<\/a> para obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo nuestra soluci\u00f3n SIEM utiliza IA para la calificaci\u00f3n de riesgos).<\/p>\n<h2>Estructura del paquete de reglas UEBA<\/h2>\n<p>Para este paquete de reglas, nos centramos en las \u00e1reas donde la tecnolog\u00eda UEBA funciona mejor, como la protecci\u00f3n de cuentas, la supervisi\u00f3n de la actividad de la red y la autenticaci\u00f3n segura. Nuestro paquete de reglas UEBA actualmente incluye las siguientes secciones:<\/p>\n<h3>Control de permisos y autenticaci\u00f3n<\/h3>\n<p>Estas reglas detectan m\u00e9todos de inicio de sesi\u00f3n inusuales, picos repentinos en los errores de autenticaci\u00f3n, cuentas que se a\u00f1aden a grupos locales en diferentes equipos e intentos de autenticaci\u00f3n fuera del horario comercial normal. Cada una de estas desviaciones se marca y aumenta la puntuaci\u00f3n de riesgo del usuario.<\/p>\n<h3>Creaci\u00f3n de perfiles de DNS<\/h3>\n<p>Dedicado al an\u00e1lisis de las consultas DNS realizadas por los equipos de la red corporativa. Las reglas de esta secci\u00f3n recopilan datos hist\u00f3ricos para identificar anomal\u00edas como consultas de tipos de registro desconocidos, nombres de dominio excesivamente largos, zonas inusuales o frecuencias de consulta at\u00edpicas. Tambi\u00e9n supervisa el volumen de datos devueltos a trav\u00e9s de DNS. Cualquiera de estas desviaciones se considera una amenaza potencial y, por lo tanto, aumenta la puntuaci\u00f3n de riesgo del host.<\/p>\n<h3>Creaci\u00f3n de perfiles de actividad de la red<\/h3>\n<p>Seguimiento de las conexiones entre ordenadores tanto dentro de la red como con recursos externos. Estas reglas marcan las primeras conexiones a nuevos puertos, los contactos con hosts previamente desconocidos, los vol\u00famenes inusuales de tr\u00e1fico saliente y el acceso a los servicios de administraci\u00f3n. Todas las acciones que se desv\u00edan del comportamiento normal generan alertas y elevan la puntuaci\u00f3n de riesgo.<\/p>\n<h3>Creaci\u00f3n de perfiles de procesos<\/h3>\n<p>Esta secci\u00f3n supervisa los programas iniciados desde las carpetas del sistema de Windows. Si un nuevo archivo ejecutable se ejecuta por primera vez desde los directorios System32 o SysWOW64 en un ordenador espec\u00edfico, se marca como anomal\u00eda. Esto aumenta la puntuaci\u00f3n de riesgo para el usuario que inici\u00f3 el proceso.<\/p>\n<h3>Creaci\u00f3n de perfiles de PowerShell<\/h3>\n<p>En esta secci\u00f3n, se realiza un seguimiento del origen de las ejecuciones de scripts de PowerShell. Si un script se ejecuta por primera vez desde un directorio no est\u00e1ndar, que no sea Archivos de programa, Windows u otra ubicaci\u00f3n com\u00fan, la acci\u00f3n se marca como sospechosa, y aumenta la puntuaci\u00f3n de riesgo del usuario.<\/p>\n<h3>Supervisi\u00f3n de VPN<\/h3>\n<p>Esto marca una serie de eventos como riesgosos, entre ellos: inicios de sesi\u00f3n desde pa\u00edses que no est\u00e1n asociados previamente con el perfil del usuario, viajes geogr\u00e1ficamente imposibles, vol\u00famenes de tr\u00e1fico inusuales a trav\u00e9s de una VPN, cambios en el cliente VPN y m\u00faltiples intentos fallidos de inicio de sesi\u00f3n. Cada uno de estos eventos da lugar a una puntuaci\u00f3n de riesgo m\u00e1s alta para la cuenta del usuario.<\/p>\n<p>El uso de estas reglas de UEBA nos ayuda a detectar ataques sofisticados y reducir los falsos positivos mediante el an\u00e1lisis del contexto de comportamiento. Esto mejora significativamente la exactitud de nuestro an\u00e1lisis y reduce la carga de trabajo de los analistas de seguridad. El uso de UEBA e IA para asignar una puntuaci\u00f3n de riesgo a un objeto acelera y mejora el tiempo de respuesta de cada analista, ya que les permite priorizar los incidentes con mayor precisi\u00f3n. En combinaci\u00f3n con la creaci\u00f3n autom\u00e1tica de bases de referencia de comportamiento t\u00edpico, esto aumenta significativamente la eficiencia general de los equipos de seguridad. Los libera de las tareas rutinarias y proporciona un contexto de comportamiento m\u00e1s rico y preciso para la detecci\u00f3n y respuesta ante amenazas.<\/p>\n<p>Mejoramos constantemente la usabilidad de nuestro sistema SIEM. Estate atento a las actualizaciones de Kaspersky Unified Monitoring and Analysis Platform en su <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">p\u00e1gina oficial del producto<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"28241\">\n","protected":false},"excerpt":{"rendered":"<p>Utilizaci\u00f3n de anomal\u00edas en el comportamiento de usuarios, dispositivos, aplicaciones y otras entidades para detectar ciberamenazas.<\/p>\n","protected":false},"author":2757,"featured_media":28427,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2018,5902,6047],"class_list":{"0":"post-28426","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ia","11":"tag-siem","12":"tag-ueba"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/28426\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ueba-rules-in-kaspersky-siem\/29363\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/24478\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/12724\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ueba-rules-in-kaspersky-siem\/29314\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ueba-rules-in-kaspersky-siem\/40250\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ueba-rules-in-kaspersky-siem\/13685\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ueba-rules-in-kaspersky-siem\/54060\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ueba-rules-in-kaspersky-siem\/23087\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ueba-rules-in-kaspersky-siem\/32571\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ueba-rules-in-kaspersky-siem\/29542\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ueba-rules-in-kaspersky-siem\/35230\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ueba-rules-in-kaspersky-siem\/34877\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/siem\/","name":"SIEM"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28426","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28426"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28426\/revisions"}],"predecessor-version":[{"id":28430,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28426\/revisions\/28430"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28427"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28426"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28426"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28426"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}