Arquitectura avanzada XDR/EDR

Casos de uso enterprise

Orquesta Custom IOA, politicas, workflows Fusion, indicadores y hunting para convertir una hipotesis de amenaza en control operativo.

Casos de uso2paquetes operativos configurados
Produccion2con respuesta activa
Madurez promedio94.0%cobertura tecnica y operativa
Componentes5IOA + Policy + Fusion + IOC + Hunting

Portafolio de casos de uso

2 escenarios de defensa

Falcon-like architecture
Caso de usoTacticaEstadoGruposMadurezAcciones
Aislar automaticamente indicios de ransomware impact production servers-critical, workstations
96%
Ver Editar
Bloquear PowerShell peligroso en usuarios estandar execution production workstations, users-standard
92%
Ver Editar

Modificar caso de uso

Bloquear PowerShell peligroso en usuarios estandar

use case builder
Cancelar

Caso de uso activo

Bloquear PowerShell peligroso en usuarios estandar

Detectar y bloquear abuso de PowerShell con parametros codificados, descarga remota o ejecucion desde Office en usuarios no administradores.

workstationsusers-standard
production Tactica: execution Owner: SOC Tier 2 Madurez: 92% Integraciones: ServiceNow, Teams, Webhook SOAR

1. Custom IOA Rules

Deteccion personalizada

block
Evento

process_creation

Procesos

powershell.exe, pwsh.exe

Argumentos

-enc, downloadstring, Invoke-WebRequest, FromBase64String

Usuarios

standard users

2. Policies

Prevencion y configuracion

detect_prevent
Agresividad
88%

workstations_production

3. Falcon Fusion Workflows

Playbook operativo

new_detection
Condiciones

severity >= high

host_group=users-standard

Acciones

block_process

assign_owner

notify_teams

create_itsm_ticket

4. Indicators IOC / IOA

Listas gestionadas

Allowsigned admin scripts
Blockknown encoded payload patterns

5. Threat Hunting

Consulta y promocion a control

event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND CommandLine IN (*-enc*,*downloadstring*) Promover cuando: confirmed suspicious execution appears in 3 hosts in 7 days