Arquitectura avanzada XDR/EDR
Casos de uso enterprise
Orquesta Custom IOA, politicas, workflows Fusion, indicadores y hunting para convertir una hipotesis de amenaza en control operativo.
Portafolio de casos de uso
2 escenarios de defensa
| Caso de uso | Tactica | Estado | Grupos | Madurez | Acciones |
|---|---|---|---|---|---|
| Aislar automaticamente indicios de ransomware | impact | production | servers-critical, workstations | 96% |
Ver Editar |
| Bloquear PowerShell peligroso en usuarios estandar | execution | production | workstations, users-standard | 92% |
Ver Editar |
Caso de uso activo
Bloquear PowerShell peligroso en usuarios estandar
Detectar y bloquear abuso de PowerShell con parametros codificados, descarga remota o ejecucion desde Office en usuarios no administradores.
workstationsusers-standard
1. Custom IOA Rules
Deteccion personalizada
blockEvento
process_creation
Procesos
powershell.exe, pwsh.exe
Argumentos
-enc, downloadstring, Invoke-WebRequest, FromBase64String
Usuarios
standard users
2. Policies
Prevencion y configuracion
detect_preventAgresividad
88%
workstations_production
3. Falcon Fusion Workflows
Playbook operativo
new_detectionCondiciones
severity >= high
host_group=users-standard
Acciones
block_process
assign_owner
notify_teams
create_itsm_ticket
4. Indicators IOC / IOA
Listas gestionadas
Allowsigned admin scripts
Blockknown encoded payload patterns
5. Threat Hunting
Consulta y promocion a control
event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND CommandLine IN (*-enc*,*downloadstring*)
Promover cuando: confirmed suspicious execution appears in 3 hosts in 7 days