Detection engineering enterprise

Reglas unificadas XDR/EDR

Consola unica para reglas de deteccion, Custom IOA, politicas ML/behavioral, IOC rules, Fusion workflows y hunting queries convertibles en controles persistentes.

Catalogo unificado73 avanzadas + 4 correlacionadas
Con bloqueo3alerta + bloqueo o prevent
Sensibilidad media91.0%tuning operativo
Tipos5IOA + Policy + IOC + Fusion + Hunting
Custom IOAprocesos, comandos, rutas, registro, usuarios, hosts y tags
Policies ML/Behavioralagresividad por estaciones, servidores, VDI, prod y dev
Indicatorshash, dominio, IP, proceso, allowlist y blocklist
Fusion Workflowdisparador, condiciones, acciones, ITSM y notificaciones
Threat Huntingqueries reutilizables que maduran hacia reglas persistentes

Unificacion operacional

Un solo lugar para deteccion, prevencion, hunting y respuesta

La opcion de menu Reglas concentra las reglas historicas de correlacion XDR y las reglas avanzadas de comportamiento, politicas, indicadores y automatizacion. El SOC trabaja desde una sola cola gobernada por severidad, accion, grupos de hosts, sensibilidad y MITRE.

enterprise rule fabric

Inventario tecnico unificado

3 reglas enterprise configuradas

detection + prevention + response
ReglaTipoAccionSeveridadHost groupsSensibilidadAcciones
Custom IOA - Bloquear PowerShell codificado custom_ioa alert_and_block high workstations, users-standard
90%
Ver Editar
Policy - Servidores criticos ML agresivo prevention_policy block critical servers-critical, domain-controllers, database
96%
Ver Editar
IOC - Bloqueo rapido de campaña activa ioc_rule alert_and_block high all-endpoints
87%
Ver Editar

ioc_rule

IOC - Bloqueo rapido de campaña activa

alert_and_block · enabled · high

T1071T1105
Threat Intel Host groups: all-endpoints Sensibilidad: 87% Scope: global

1. Custom IOA

Comportamiento a la medida

Eventos

network_connection, file_write, process_creation

Procesos

Argumentos

Rutas/Registro

2. Policies + ML Behavioral

Motores internos

Machine Learning

70%

Behavioral Analysis

75%

Exploit Prevention

70%

3. Indicators / IOC Rules

Hash, dominio e IP

Hashes

sha256:malicious-campaign-placeholder

Dominios

c2-campaign.example

IPs

203.0.113.10

FP controls

threat intel expiry review

4. Fusion Workflow

Orquestacion

Triggers

indicator_match

Condiciones

indicator_confidence >= high

Acciones

block_destination

quarantine_file

notify_teams

5. Event Search / Threat Hunting

Regla no persistente convertible

DomainName=c2-campaign.example OR RemoteIP=203.0.113.10