Detection engineering enterprise

Reglas unificadas XDR/EDR

Consola unica para reglas de deteccion, Custom IOA, politicas ML/behavioral, IOC rules, Fusion workflows y hunting queries convertibles en controles persistentes.

Catalogo unificado73 avanzadas + 4 correlacionadas
Con bloqueo3alerta + bloqueo o prevent
Sensibilidad media91.0%tuning operativo
Tipos5IOA + Policy + IOC + Fusion + Hunting
Custom IOAprocesos, comandos, rutas, registro, usuarios, hosts y tags
Policies ML/Behavioralagresividad por estaciones, servidores, VDI, prod y dev
Indicatorshash, dominio, IP, proceso, allowlist y blocklist
Fusion Workflowdisparador, condiciones, acciones, ITSM y notificaciones
Threat Huntingqueries reutilizables que maduran hacia reglas persistentes

Unificacion operacional

Un solo lugar para deteccion, prevencion, hunting y respuesta

La opcion de menu Reglas concentra las reglas historicas de correlacion XDR y las reglas avanzadas de comportamiento, politicas, indicadores y automatizacion. El SOC trabaja desde una sola cola gobernada por severidad, accion, grupos de hosts, sensibilidad y MITRE.

enterprise rule fabric

Inventario tecnico unificado

3 reglas enterprise configuradas

detection + prevention + response
ReglaTipoAccionSeveridadHost groupsSensibilidadAcciones
Custom IOA - Bloquear PowerShell codificado custom_ioa alert_and_block high workstations, users-standard
90%
Ver Editar
Policy - Servidores criticos ML agresivo prevention_policy block critical servers-critical, domain-controllers, database
96%
Ver Editar
IOC - Bloqueo rapido de campaña activa ioc_rule alert_and_block high all-endpoints
87%
Ver Editar

prevention_policy

Policy - Servidores criticos ML agresivo

block · enabled · critical

T1003T1021T1068
Blue Team Lead Host groups: servers-critical, domain-controllers, database Sensibilidad: 96% Scope: production, critical_asset

1. Custom IOA

Comportamiento a la medida

Eventos

ml_detection, behavioral_detection, exploit_attempt

Procesos

sqlcmd.exe, psexec.exe, wmic.exe, rundll32.exe

Argumentos

credential dump, remote service creation, suspicious memory operation

Rutas/Registro

Run, RunOnce, Services

2. Policies + ML Behavioral

Motores internos

Machine Learning

95%

Behavioral Analysis

94%

Exploit Prevention

92%

3. Indicators / IOC Rules

Hash, dominio e IP

Hashes

N/A

Dominios

N/A

IPs

N/A

FP controls

maintenance window, approved DBA jump host

4. Fusion Workflow

Orquestacion

Triggers

new_critical_detection

Condiciones

asset_criticality=critical

Acciones

isolate_host

assign_incident_commander

collect_forensics

5. Event Search / Threat Hunting

Regla no persistente convertible

event_platform=Win AND (Technique=T1003 OR Technique=T1021) AND critical_asset=true