Arquitectura avanzada XDR/EDR
Casos de uso enterprise
Orquesta Custom IOA, politicas, workflows Fusion, indicadores y hunting para convertir una hipotesis de amenaza en control operativo.
Portafolio de casos de uso
2 escenarios de defensa
| Caso de uso | Tactica | Estado | Grupos | Madurez | Acciones |
|---|---|---|---|---|---|
| Aislar automaticamente indicios de ransomware | impact | production | servers-critical, workstations | 96% |
Ver Editar |
| Bloquear PowerShell peligroso en usuarios estandar | execution | production | workstations, users-standard | 92% |
Ver Editar |
Caso de uso activo
Aislar automaticamente indicios de ransomware
Contener hosts con cifrado masivo, borrado de shadow copies y comportamiento de ransomware antes de propagacion lateral.
servers-criticalworkstations
1. Custom IOA Rules
Deteccion personalizada
blockEvento
file_modification_burst
Procesos
vssadmin.exe, wbadmin.exe, powershell.exe
Argumentos
delete shadows, resize shadowstorage, bcdedit /set
Usuarios
all users
2. Policies
Prevencion y configuracion
preventAgresividad
95%
critical_assets
3. Falcon Fusion Workflows
Playbook operativo
new_critical_detectionCondiciones
mass_rename_count > 100
shadow_copy_delete=true
Acciones
isolate_host
kill_process
collect_forensics
notify_teams
create_itsm_ticket
4. Indicators IOC / IOA
Listas gestionadas
Allowbackup windows
Block.locked.akira.crypt
5. Threat Hunting
Consulta y promocion a control
event_simpleName=FileRenameInfo AND rename_count>100 OR CommandLine=*delete shadows*
Promover cuando: single confirmed ransomware behavior on critical asset