Arquitectura avanzada XDR/EDR

Casos de uso enterprise

Orquesta Custom IOA, politicas, workflows Fusion, indicadores y hunting para convertir una hipotesis de amenaza en control operativo.

Casos de uso2paquetes operativos configurados
Produccion2con respuesta activa
Madurez promedio94.0%cobertura tecnica y operativa
Componentes5IOA + Policy + Fusion + IOC + Hunting

Portafolio de casos de uso

2 escenarios de defensa

Falcon-like architecture
Caso de usoTacticaEstadoGruposMadurezAcciones
Aislar automaticamente indicios de ransomware impact production servers-critical, workstations
96%
Ver Editar
Bloquear PowerShell peligroso en usuarios estandar execution production workstations, users-standard
92%
Ver Editar

Caso de uso activo

Aislar automaticamente indicios de ransomware

Contener hosts con cifrado masivo, borrado de shadow copies y comportamiento de ransomware antes de propagacion lateral.

servers-criticalworkstations
production Tactica: impact Owner: Incident Commander Madurez: 96% Integraciones: ServiceNow, Teams, Slack

1. Custom IOA Rules

Deteccion personalizada

block
Evento

file_modification_burst

Procesos

vssadmin.exe, wbadmin.exe, powershell.exe

Argumentos

delete shadows, resize shadowstorage, bcdedit /set

Usuarios

all users

2. Policies

Prevencion y configuracion

prevent
Agresividad
95%

critical_assets

3. Falcon Fusion Workflows

Playbook operativo

new_critical_detection
Condiciones

mass_rename_count > 100

shadow_copy_delete=true

Acciones

isolate_host

kill_process

collect_forensics

notify_teams

create_itsm_ticket

4. Indicators IOC / IOA

Listas gestionadas

Allowbackup windows
Block.locked.akira.crypt

5. Threat Hunting

Consulta y promocion a control

event_simpleName=FileRenameInfo AND rename_count>100 OR CommandLine=*delete shadows* Promover cuando: single confirmed ransomware behavior on critical asset