Arquitectura avanzada XDR/EDR

Casos de uso enterprise

Orquesta Custom IOA, politicas, workflows Fusion, indicadores y hunting para convertir una hipotesis de amenaza en control operativo.

Casos de uso2paquetes operativos configurados
Produccion2con respuesta activa
Madurez promedio94.0%cobertura tecnica y operativa
Componentes5IOA + Policy + Fusion + IOC + Hunting

Portafolio de casos de uso

2 escenarios de defensa

Falcon-like architecture
Caso de usoTacticaEstadoGruposMadurezAcciones
Aislar automaticamente indicios de ransomware impact production servers-critical, workstations
96%
Ver Editar
Bloquear PowerShell peligroso en usuarios estandar execution production workstations, users-standard
92%
Ver Editar

Modificar caso de uso

Aislar automaticamente indicios de ransomware

use case builder
Cancelar

Caso de uso activo

Aislar automaticamente indicios de ransomware

Contener hosts con cifrado masivo, borrado de shadow copies y comportamiento de ransomware antes de propagacion lateral.

servers-criticalworkstations
production Tactica: impact Owner: Incident Commander Madurez: 96% Integraciones: ServiceNow, Teams, Slack

1. Custom IOA Rules

Deteccion personalizada

block
Evento

file_modification_burst

Procesos

vssadmin.exe, wbadmin.exe, powershell.exe

Argumentos

delete shadows, resize shadowstorage, bcdedit /set

Usuarios

all users

2. Policies

Prevencion y configuracion

prevent
Agresividad
95%

critical_assets

3. Falcon Fusion Workflows

Playbook operativo

new_critical_detection
Condiciones

mass_rename_count > 100

shadow_copy_delete=true

Acciones

isolate_host

kill_process

collect_forensics

notify_teams

create_itsm_ticket

4. Indicators IOC / IOA

Listas gestionadas

Allowbackup windows
Block.locked.akira.crypt

5. Threat Hunting

Consulta y promocion a control

event_simpleName=FileRenameInfo AND rename_count>100 OR CommandLine=*delete shadows* Promover cuando: single confirmed ransomware behavior on critical asset