UEBA (User and Entity Behavior Analytics) usa IA e machine learning para aprender o comportamento normal de cada usuário e entidade — servidores, aplicações, contas de serviço — e sinalizar desvios desse padrão. Em vez de procurar uma assinatura de ataque conhecida, ela pergunta: "isso é típico deste usuário?". É assim que se identifica uma conta comprometida ou uma ameaça interna que nenhuma regra estática pegaria.
A maioria das defesas tradicionais funciona com listas do que é proibido: este IP é malicioso, esta assinatura é malware, esta porta não pode abrir. Funciona bem contra o conhecido. Mas um invasor que já roubou uma senha válida não dispara nenhum desses alarmes — ele entra pela porta da frente, com credencial legítima. A UEBA existe justamente para esse caso: ela não pergunta "isso está na lista negra?", pergunta "isso é normal para este usuário?".
Como funciona
A UEBA começa observando. Durante um período de aprendizado, o modelo constrói um perfil de comportamento (uma baseline) para cada usuário e entidade a partir dos logs do ambiente:
- De onde e quando a pessoa costuma acessar — horários, localização, dispositivos habituais.
- A que ela normalmente acessa — quais sistemas, pastas e volumes de dados fazem parte da rotina.
- Como as entidades se comportam — quanto um servidor costuma transferir, quais serviços conversam entre si.
Com essa baseline formada, cada nova ação é comparada ao padrão. Quanto mais um evento se afasta do normal, maior a pontuação de risco. A força do método é que o "normal" é aprendido dos dados, não digitado à mão — e vai se ajustando conforme o comportamento real muda. É a mesma lógica que sustenta a detecção de anomalias, aplicada especificamente a pessoas e entidades.
O que detecta que regras não pegam
O valor da UEBA aparece nos casos em que não existe uma assinatura para procurar — o sinal está no desvio de rotina, não na natureza da ação em si:
- Conta comprometida: um login legítimo, mas de um país incomum, num horário fora do padrão e acessando sistemas que aquele usuário nunca tocou. Cada evento isolado é permitido; juntos, gritam.
- Ameaça interna: um funcionário real que, de repente, começa a baixar volumes de dados muito acima da sua média — o clássico sinal de exfiltração antes de um desligamento.
- Escalada silenciosa: uma conta de serviço que passa a executar ações administrativas que nunca fez, indicando que foi sequestrada por um atacante.
Nenhum desses casos aciona uma regra estática, porque nenhuma ação é "proibida" por si só. O que os denuncia é serem atípicos para aquele usuário.
UEBA no SOC
Sozinha, a UEBA gera pontuações de risco — mas alguém precisa investigar os desvios, separar o falso alarme (o vendedor que viajou, o novo projeto que mudou a rotina) da ameaça real e agir a tempo. É aí que ela vira parte de um SOC com IA: o comportamento anômalo entra como mais um sinal, correlacionado com o resto do ambiente, e a equipe decide o que fazer.
O Argos usa exatamente essa abordagem. Sua detecção de ameaças com IA aprende o comportamento normal do seu ambiente e sinaliza o que foge do padrão — conta comprometida, movimentação incomum, acesso fora da rotina — para que a equipe investigue rápido. Todo o monitoramento roda com os dados no Brasil, e há sempre alguém acompanhando os alertas de comportamento, inclusive fora do horário comercial.
- UEBA aprende o comportamento normal de usuários e entidades e sinaliza os desvios.
- Ela pega o que regras estáticas não veem: conta comprometida e ameaça interna com credencial legítima.
- O sinal está no desvio da rotina — não em uma assinatura de ataque conhecida.
- No Argos, a UEBA vira ação: comportamento anômalo investigado por um SOC com IA, com dados no Brasil.