En pocas palabras, la lógica clásica de un sistema SIEM funciona de la siguiente manera: si se produce el evento A seguido del evento B, esto puede ser un indicio de un ataque, por lo que se debe notificar a un especialista en seguridad de la información. Pero en el entorno actual, este escenario simple está fallando cada vez más. Hace muy poco, nuestros expertos analizaron un incidente de gran repercusión: unos atacantes pusieron en riesgo la infraestructura de actualizaciones del popular software Notepad++ y distribuyeron malware a través de ese mecanismo. Es simplemente imposible tener reglas establecidas de antemano que estén diseñadas específicamente para contrarrestar tales escenarios.
Los ataques en sí se volvieron más sofisticados: los atacantes utilizan herramientas legítimas, atacan a través de la cadena de suministro al poner en peligro software fuera del perímetro corporativo, prolongan sus operaciones a lo largo del tiempo y camuflan sus acciones como actividad normal. En otras palabras, no “irrumpen” en la infraestructura; la mayoría de las veces inician sesión y utilizan software legítimo. Como resultado, las reglas fijas clásicas del pasado o bien no se activan, o generan demasiadas falsas alertas. Esto es lo que impulsó el cambio hacia escenarios de correlación más flexibles.
Contenido SIEM actualizado dinámicamente
El contenido de correlación actual no es un conjunto de reglas estáticas, sino un proceso: está en constante evolución y se adapta a las amenazas actuales. Solo en 2025, lanzamos 55 actualizaciones de paquetes de reglas para diferentes versiones e idiomas de nuestro sistema Kaspersky SIEM. En solo un año, agregamos 10 nuevos paquetes de reglas, además de 250 reglas de detección y numerosas mejoras al contenido ya existente. Este año, ya agregamos 43 reglas nuevas y perfeccionamos otras 63. En total, esto supone más de 850 reglas que abarcan una parte significativa del marco MITRE ATT&CK.
Las reglas de Kaspersky SIEM se escriben en función de los conocimientos de nuestros expertos que analizan los ataques recientes del mundo real: nos basamos principalmente en los resultados de nuestro servicio de Managed Detection and Response (MDR) y en nuestra investigación de amenazas. Como resultado, nuestras reglas cubren escenarios, desde el reconocimiento hasta el escalamiento de privilegios, que involucran los últimos enfoques utilizados por los atacantes. Por ejemplo, detectamos el uso de nuevas técnicas de ataque como ToolShell.
Además de las actualizaciones programadas, el equipo publica periódicamente lo que se conoce como contenido de emergencia: conjuntos de reglas diseñados para responder rápidamente a técnicas de ataque nuevas e imprevistas. Por ejemplo, en febrero se publicaron reglas de detección para eludir la autenticación en los productos de Fortinet a través del mecanismo SSO: los atacantes utilizaban solicitudes SAML especialmente diseñadas para acceder a los sistemas sin necesidad de credenciales.
De los eventos a las cadenas de ataques
Además, las reglas SIEM modernas ya no describen eventos individuales, sino secuencias de acciones. Los escenarios se construyen en torno a las etapas de un ataque: desde el acceso inicial hasta el escalamiento de privilegios y la persistencia. La eficacia de Kaspersky SIEM se ve reforzada gracias a la integración con Kaspersky EDR y a conjuntos de reglas específicos para Active Directory, que implementan docenas de escenarios de detección de ataques en diversas etapas. Este enfoque nos permite ver no solo las señales individuales, sino la imagen completa.
Integración y visibilidad interna
Otra forma de mejorar la eficacia de un sistema SIEM es ampliar las fuentes de datos. Un SIEM clásico agrega eventos de diferentes niveles de la infraestructura: desde registros hasta datos de telemetría procedentes de endpoints y sistemas internos. Además, nuestro sistema SIEM incluye conjuntos de reglas especializadas para nuestras otras soluciones (Kaspersky Security Center, Kaspersky Security for Mail Groups y la plataforma K Anti-Targeted Attack), que permiten supervisar las acciones de los administradores, la autenticación y el estado de los servicios. Como resultado, el sistema se convierte en una herramienta no solo para detectar ataques, sino también para supervisar la actividad interna.
En general, el SIEM ya no es solo un conjunto de reglas, sino que evolucionó hasta convertirse en un sistema de detección que se actualiza continuamente. Su eficacia no está determinada por el número de detecciones, sino por su relevancia, coherencia y la precisión con la que reflejan las acciones reales de los atacantes. No se pierda ninguna actualización sobre Kaspersky Unified Monitoring and Analysis Platform (SIEM) en su página oficial del producto.