L<\/strong>os t\u00e9rminos IoA, IoC e indicadores de fraude pueden resultar confusos, y no siempre est\u00e1 claro en qu\u00e9 se diferencian o cu\u00e1ndo utilizarlos. Por lo tanto, analicemos cada uno de ellos y veamos qu\u00e9 significa, c\u00f3mo funciona y cu\u00e1les son los m\u00e1s importantes para mantener la seguridad de una organizaci\u00f3n<\/h5><\/div>\n\n\n\n
IoA – Indicators of Attack<\/h2><\/div>\n\n\n\n
Los indicadores de ataque (IoA) son se\u00f1ales de alerta temprana, como picos de tr\u00e1fico de red inesperados, inicios de sesi\u00f3n sospechosos o comportamientos inusuales de los usuarios, los cuales pueden revelar amenazas activas antes de que se intensifiquen. A diferencia de los indicadores de compromiso (IoC), que se centran en las pruebas forenses posteriores a la infracci\u00f3n, los IoA revelan el \u00abporqu\u00e9\u00bb de los ataques al detectar intenciones maliciosas en tiempo real, como la escalada de privilegios o transferencias de datos inusuales. Este enfoque proactivo cambia la seguridad de reaccionar ante el da\u00f1o a interrumpir las amenazas en medio de la acci\u00f3n. Mediante el an\u00e1lisis continuo de los registros del sistema, las t\u00e1cticas de los atacantes (TTP) y las anomal\u00edas de comportamiento, los equipos pueden neutralizar los riesgos antes de que causen da\u00f1os. Por ejemplo, algunas detecciones de IoA basadas en consultas KQL pueden ser:<\/p>\n\n\n\n
1. PowerShell.exe renombrados<\/h4>\n\n\n\n
PowerShell es una herramienta fiable de Microsoft que los atacantes pueden utilizar indebidamente renombrando su archivo ejecutable para ocultar sus acciones y propagar amenazas. La siguiente consulta detecta comandos comunes de la CLI para identificar las ejecuciones mencionadas por un Powershell renombrado.<\/p>\n\n\n
DeviceProcessEvents\n| where ProcessCommandLine !contains \"powershell\"<\/span> \n| where ProcessCommandLine !contains \"pwsh\"<\/span>\n| where ProcessCommandLine contains \"-NoProfile\"<\/span> or ProcessCommandLine contains \"-ExecutionPolicy\"<\/span> or ProcessCommandLine contains \"Invoke-Expression\"<\/span> \n| project DeviceName, FileName,ActionType, ProcessVersionInfoOriginalFileName, ProcessCommandLine, ProcessRemoteSessionIP<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Trafico SMTP inusual<\/h4>\n\n\n\n
Un atacante podr\u00eda intentar propagar malware, robar informaci\u00f3n confidencial mediante un ataque de tipo \u00abman-in-the-middle\u00bb (MitM), lanzar un ataque DDoS o hacer un uso indebido del servidor de una empresa para enviar spam y llevar a cabo estafas de phishing. La siguiente consulta ejecuta un an\u00e1lisis general sobre el alto volumen de tr\u00e1fico SMTP e incluye la opci\u00f3n de incluir una la lista blanca los dominios de confianza.<\/p>\n\n\n
let<\/span> timeRange = 3<\/span>d; \/\/ Adjust time window<\/span>\nlet<\/span> volumeThreshold = 500<\/span>; \/\/ Alert threshold for email count<\/span>\nlet<\/span> recipientThreshold = 200<\/span>; \/\/ Alert threshold for unique recipients<\/span>\nEmailEvents\n\/\/| where Timestamp >= ago(timeRange)<\/span>\n| where EmailDirection == \"Outbound\"<\/span> and SenderFromDomain !in<\/span> (\"domain1\"<\/span>,\"domain2\"<\/span>)\n| summarize \n TotalEmails = count(),\n UniqueRecipients = dcount(RecipientEmailAddress),\n UniqueDomains = dcount(tostring(split(RecipientEmailAddress, \"@\"<\/span>)[1<\/span>])),\n TimeSpan = max(Timestamp) - min(Timestamp),\n FirstActivity = min(Timestamp),\n LastActivity = max(Timestamp),\n SampleSubjects = makeset(Subject, 5<\/span>),\n SampleRecipients = makeset(RecipientEmailAddress, 5<\/span>)\n by SenderFromAddress, SenderMailFromAddress, SenderIPv4\n | where TotalEmails > volumeThreshold\n or UniqueRecipients > recipientThreshold\n| project\n Timestamp = LastActivity,\n SenderEmail = SenderFromAddress,\n SenderIPv4,\n TotalEmails,\n UniqueRecipients,\n UniqueDomains,\n TimeSpan,\n SampleSubjects,\n SampleRecipients,\n AlertReason = case<\/span>(\n TotalEmails > volumeThreshold and UniqueRecipients > recipientThreshold, \"High volume to many recipients\"<\/span>,\n TotalEmails > volumeThreshold, \"High email volume\"<\/span>,\n UniqueRecipients > recipientThreshold, \"High recipient count\"<\/span>,\n \"Threshold exceeded\"<\/span>\n )\n| sort by TotalEmails desc<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Ejecuci\u00f3n de procesos inusual<\/h4>\n\n\n\n
Esta t\u00e9cnica se conoce como LOLBAS (Living Off the Land Binaries and Scripts)<\/em>. Estas herramientas est\u00e1n integradas en el sistema operativo y cuentan con la confianza de los controles de seguridad, lo que las hace ideales para eludir las defensas. Comportamientos clave:
– Ejecuci\u00f3n de cargas \u00fatiles codificadas en base64 (com\u00fan en PowerShell)
– Comandos ofuscados o sospechosos en l\u00edneas de proceso (por ejemplo, mshta, rundll32, regsvr32) <\/em>
– Uso de herramientas de confianza para descargar o ejecutar scripts remotos.
Esta consulta detecta actividades sospechosas en la l\u00ednea de comandos mediante la decodificaci\u00f3n de argumentos codificados en base64, que se utilizan a menudo en los ataques. Identifica el uso de mshta.exe, una t\u00e9cnica com\u00fan en las infecciones de Lumma Stealer y otros programas maliciosos sin archivos, revelando intentos de ejecuci\u00f3n ocultos incluso cuando los comandos est\u00e1n ofuscados.<\/p>\n\n\nDeviceFileEvents\n| extend CommandWords = split(InitiatingProcessCommandLine, \" \"<\/span>) \/\/ Split the command into words<\/span>\n| extend Word1 = CommandWords[0<\/span>], \/\/ First word<\/span>\n Word2 = CommandWords[1<\/span>], \/\/ Second word<\/span>\n Word3 = CommandWords[2<\/span>], \/\/ Third word<\/span>\n Word4 = CommandWords[3<\/span>], \/\/ Fourth word<\/span>\n Word5 = CommandWords[4<\/span>] \n| extend LongestWord = case<\/span>(\n strlen(Word1) >= strlen(Word2) and strlen(Word1) >= strlen(Word3) and strlen(Word1) >= strlen(Word4) and strlen(Word1) >= strlen(Word5), Word1,\n strlen(Word2) >= strlen(Word1) and strlen(Word2) >= strlen(Word3) and strlen(Word2) >= strlen(Word4) and strlen(Word2) >= strlen(Word5), Word2,\n strlen(Word3) >= strlen(Word1) and strlen(Word3) >= strlen(Word2) and strlen(Word3) >= strlen(Word4) and strlen(Word3) >= strlen(Word5), Word3,\n strlen(Word4) >= strlen(Word1) and strlen(Word4) >= strlen(Word2) and strlen(Word4) >= strlen(Word3) and strlen(Word4) >= strlen(Word5), Word4,\n Word5 \/\/ Default case if Column5 is the longest<\/span>\n)\n| extend tostring(LongestWord)\n| extend DecodedBytes = base64_decode_tostring(LongestWord)\n| extend DecodedString = tostring(DecodedBytes)\n| where DecodedString contains \"mshta\"<\/span> or InitiatingProcessCommandLine contains \"mshta\"<\/span>\n| distinct DeviceName,InitiatingProcessCommandLine,LongestWord,DecodedString\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n4.Comunicaci\u00f3n Command and Control (C2)<\/h4>\n\n\n\n
Malware que se comunica con servidores externos controlados por atacantes. Puede utilizar puertos poco comunes, tr\u00e1fico cifrado o b\u00fasquedas DNS fallidas frecuentes.<\/p>\n\n\n\n
Esta consulta identifica los dispositivos de la tabla DeviceEvents que est\u00e1n iniciando conexiones RDP y proporciona la ubicaci\u00f3n de las direcciones IP remotas. La tabla DeviceEvents tiene una columna llamada \u00abLocalIP\u00bb que puede resultar confusa, pero tambi\u00e9n incluye RemoteIPs, lo que significa intentos de conexiones remotas desde el propio dispositivo. He excluido las entradas sin informaci\u00f3n sobre la ubicaci\u00f3n de la IP (lo que significa que son potencialmente IP locales). Como opci\u00f3n, puede a\u00f1adir una l\u00ednea para excluir ubicaciones \u00abincluidas en la lista blanca\u00bb, como: ‘ | where location !contain \u00abSpain\u00bb ‘<\/em><\/p>\n\n\nDeviceEvents\n| where ActionType contains \"RemoteDesktopConnection\"<\/span>\n| extend location = geo_info_from_ip_address(LocalIP)\n| where location contains \"Country\"<\/span>\n| project Timestamp, DeviceName, ActionType, LocalIP, LocalPort, location,ReportId, DeviceId<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nIoC – Indicadores de compromiso<\/h2>\n\n\n\n
Un indicador de compromiso (IOC)<\/strong> es un artefacto de datos u observaci\u00f3n que sugiere que se ha producido una violaci\u00f3n de la seguridad de un sistema o red, o que se ha producido una actividad maliciosa.<\/p>\n\n\n\nLos IOC pueden incluir hash de archivos, direcciones IP, nombres de dominio, cambios en el registro, anomal\u00edas en los procesos o firmas de comportamiento que se correlacionan con amenazas conocidas. Se suelen utilizar en an\u00e1lisis forenses, b\u00fasqueda de amenazas y flujos de trabajo de detecci\u00f3n automatizada para identificar, rastrear y responder a incidentes de seguridad tras un compromiso ya sea en el propio entorno o comunicado por un segundo.<\/p>\n\n\n\n
1. File Hashes<\/h4>\n\n\n\n
Los FileHashes son huellas digitales \u00fanicas de los archivos (por ejemplo, MD5, SHA256) que pueden utilizarse para identificar ficheros relacionados con malware o acciones sospechosas.<\/p>\n\n\n\n
Estos hashes sirven como indicadores de compromiso (IOC) que pueden cruzarse con fuentes de inteligencia sobre amenazas para identificar amenazas basadas en archivos en distintos entornos. La siguiente consulta KQL une eventos de archivos locales con indicadores MD5 externos del conocido repositorio TI MalwareBazaar con el objetivo de detectar ficheros maliciosos conocidos.<\/p>\n\n\n
let<\/span> MalwareBazaar = externaldata(MD5: string) [\"https:\/\/bazaar.abuse.ch\/export\/txt\/md5\/recent\"<\/span>] with<\/span> (format=\"txt\"<\/span>, ignoreFirstRecord=True);\nlet<\/span> MaliciousMD5 = MalwareBazaar | where MD5 !startswith \"#\"<\/span>;\nDeviceFileEvents\n| join kind=inner ( MaliciousMD5) on $left.MD5 == $right.MD5<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Direcciones IP maliciosas<\/h4>\n\n\n\n
Las direcciones IP maliciosas son indicadores de compromiso (IOC) que pueden estar vinculados al phishing, la distribuci\u00f3n de malware o la infraestructura de comando y control. La comunicaci\u00f3n con estas direcciones IP puede indicar que un usuario o un sistema puede haber sido comprometido.<\/p>\n\n\n\n
Esta consulta KQL importa la fuente de amenazas IPsum<\/strong> y la analiza para extraer direcciones IP con una puntuaci\u00f3n de lista negra. A continuaci\u00f3n, combina los registros relacionados con la identidad de AADSignInEventsBeta, CloudAppEvents e IdentityLogonEvents, y los une con la lista de IP analizadas. Cualquier coincidencia revela actividad relacionada con IP de alto riesgo, lo que ayuda a identificar cuentas que interact\u00faan con infraestructura maliciosa conocida.<\/p>\n\n\nlet<\/span> ipsumrawData = externaldata(ip_string: string)[h@\"https:\/\/raw.githubusercontent.com\/stamparm\/ipsum\/master\/ipsum.txt\"<\/span>] with<\/span> (format=\"txt\"<\/span>);\nlet<\/span> parsedData = ipsumrawData\n| where ip_string matches regex @\"^\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\s+\\d+$\"<\/span>\n| extend IP = extract(@\"^(\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\"<\/span>, 1<\/span>, ip_string), IPPubliclyBlacklist = toint(extract(@\"\\s+(\\d+)$\"<\/span>, 1<\/span>, ip_string));\nlet<\/span> badIPList = parsedData\n| project IP, IPPubliclyBlacklist\n| order by IPPubliclyBlacklist desc;\nlet<\/span> aadSignInEventsBeta = AADSignInEventsBeta\n| project Timestamp, AccountUpn, DeviceName, LogonType, IPAddress, Application, ApplicationId, ClientAppUsed, DeviceTrustType, LastPasswordChangeTimestamp, ResourceDisplayName, ResourceId, ResourceTenantId;\nlet<\/span> cloudAppEvents = CloudAppEvents\n| project Timestamp, AccountDisplayName, AccountObjectId, IPAddress, Application, ApplicationId, ActionType, ActivityType, IsAdminOperation, IsImpersonated, DeviceType, AuditSource, RawEventData, AdditionalFields, ReportId; \nlet<\/span> identityLoginEvents = IdentityLogonEvents\n| project Timestamp, AccountUpn, AccountObjectId, AccountSid, DeviceName, DeviceType, FailureReason, IPAddress, Protocol, DestinationIPAddress, DestinationPort, LogonType, AdditionalFields, ReportId;\nlet<\/span> combinedEvents = aadSignInEventsBeta\n| union cloudAppEvents\n| union identityLoginEvents\n| project Timestamp, AccountUpn, AccountObjectId, AccountSid, DeviceName, DeviceType, LogonType, IPAddress, Application, ActionType, ActivityType, IsAdminOperation, IsImpersonated, DeviceTrustType, LastPasswordChangeTimestamp, ResourceDisplayName, ResourceId, ResourceTenantId, FailureReason, Protocol, DestinationIPAddress, DestinationPort, AdditionalFields, ReportId;\ncombinedEvents\n| join kind=inner (badIPList) on $left.IPAddress == $right.IP\n| project Timestamp, AccountUpn, AccountObjectId, IPAddress, IPPubliclyBlacklist, LogonType, LastPasswordChangeTimestamp, Application, DeviceName, DeviceType, DeviceTrustType, ResourceDisplayName, ResourceTenantId, AdditionalFields, ResourceId, ReportId\n| order by Timestamp desc;<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Dominios y URLS <\/h4>\n\n\n\n
Los dominios y las URL se encuentran entre los IOC m\u00e1s comunes utilizados para detectar e investigar lugares maliciosos en internet. Representan nombres de host (como malicious-site.com) o direcciones web completas (como http:\/\/malicious-site.com\/payload.exe) que pueden est\u00e1n involucrados en:<\/p>\n\n\n\n
\n- Campa\u00f1as de phishing<\/li>\n\n\n\n
- Distribuci\u00f3n de malware <\/li>\n\n\n\n
- Comunicaciones de comando y control (C2)<\/li>\n\n\n\n
- Intermediarios de acceso inicial<\/li>\n<\/ul>\n\n\n\n
Esta KQL extrae las URL maliciosas activas del repositorio TI URLHaus y extrae sus nombres de dominio. A continuaci\u00f3n, inspecciona DeviceNetworkEvents para averiguar si alguna de las respuestas DNS observadas coincide con las URL maliciosas conocidas. Si hay alguna coincidencia, enriquece el resultado con informaci\u00f3n de geolocalizaci\u00f3n y contexto de TI.<\/p>\n\n\n
let<\/span> URLHausOnlineRAW = externaldata (UHFeed:string) [\"https:\/\/urlhaus.abuse.ch\/downloads\/csv_online\/\"<\/span>] with<\/span>(format=\"txt\"<\/span>)\n| where UHFeed !startswith \"#\"<\/span>\n| extend UHRAW=replace_string(UHFeed, '\"'<\/span>, ''<\/span>)\n| project splitted=split(UHRAW, ','<\/span>)\n| mv-expand id=splitted[0<\/span>], dateadded=splitted[1<\/span>], UHUrl=splitted[2<\/span>], UHurl_status=splitted[3<\/span>], UHlast_onlin=splitted[4<\/span>], UHthreat=splitted[5<\/span>], UHtags=splitted[6<\/span>], UHLink=splitted[7<\/span>], UHReporter=splitted[8<\/span>]\n| extend UHUrl = tostring(UHUrl)\n| extend UHUrlDomain = tostring(parse_url(UHUrl).Host)\n| project-away splitted;\nDeviceNetworkEvents\n| extend answers = todynamic(tostring(parse_json(AdditionalFields).answers))\n| extend answersext = todynamic(tostring(parse_json(AdditionalFields).answers))\n| mv-expand answers\n\/\/| extend geo_Remote_answers = todynamic(tostring(geo_info_from_ip_address(answers).country))<\/span>\n| extend Type =\n case<\/span>(\n answers matches regex @\"^(\\d{1,3}\\.){3}\\d{1,3}$\"<\/span>, \"IPv4\"<\/span>, \/\/ Matches IPv4 format<\/span>\n answers matches regex @\"^([a-fA-F0-9:]+)$\"<\/span>, \"IPv6\"<\/span>, \/\/ Matches IPv6 format<\/span>\n answers contains \".\"<\/span>, \"URL\"<\/span>, \/\/ Checks if it contains a dot (common in URLs)<\/span>\n \"Unknown\"<\/span> \/\/ Default case<\/span>\n )\n| where Type has \"URL\"<\/span>\n| extend tostring(answers)\n| join kind=inner (URLHausOnlineRAW) on $left.answers == $right.UHUrl\n| extend geo_Remote_ip = tostring(geo_info_from_ip_address(RemoteIP).country)\n| project Timestamp,DeviceName,LocalIP,RemoteIP,geo_Remote_ip,MaliciousAnswers = UHUrl,answersext,UHUrlDomain, ActionType<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n4. Registry Keys<\/h4>\n\n\n\n
Las claves del Registro de Windows son configuraciones cr\u00edticas del sistema almacenadas en una base de datos jer\u00e1rquica utilizada por el sistema operativo Windows y las aplicaciones. Los actores maliciosos suelen atacar o manipular claves espec\u00edficas del Registro para:<\/p>\n\n\n\n
\n- Lograr persistencia<\/strong> (por ejemplo, ejecutar malware al iniciar el sistema).<\/li>\n\n\n\n
- Desactivar las funciones de seguridad<\/strong> (por ejemplo, la protecci\u00f3n en tiempo real o MAPS).<\/li>\n\n\n\n
- Modificar el comportamiento del sistema<\/strong> para el sigilo o la escalada de privilegios.<\/li>\n<\/ul>\n\n\n\n
Esta consulta inspecciona DeviceRegistryEvents en busca de rutas de registro espec\u00edficas vinculadas a la configuraci\u00f3n de pol\u00edticas de Windows Defender. Se\u00f1ala los casos en los que se han desactivado determinadas funciones de seguridad (por ejemplo, MAPS, Protecci\u00f3n en tiempo real) (RegistryValueData == 1), lo que puede indicar una manipulaci\u00f3n por parte de un atacante o malware que intenta reducir las defensas del sistema.<\/p>\n\n\n
DeviceRegistryEvents\n\/\/If you enable these policy settings (RegistryValueData == 1), Windows Defender will not take actions or report possible threats.<\/span>\n\/\/Windows Defender - Defender service itself.<\/span>\n\/\/Spynet = Microsoft Active Protection Service is an online community that helps you choose how to respond to potential threats. This feature ensures the device checks in real time with the Microsoft Active Protection Service (MAPS) before allowing certain content to be run or accessed. If this feature is disabled, the check will not occur, which will lower the protection state of the device.<\/span>\n\/\/Real-Time Protection = protection to scan for malware and other unwanted software. Once this has been disabled, it won\u2019t scan anything of it.<\/span>\n| where RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\"<\/span> or RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\spynet\"<\/span> or RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Microsoft Antimalware\\\\Real-Time Protection\"<\/span>\n| where RegistryValueData == 1<\/span>\n| distinct Timestamp, DeviceName, RegistryKey, RegistryValueName, PreviousRegistryValueData, RegistryValueData, IsInitiatingProcessRemoteSession\n\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nIndicadores de Fraude<\/h2>\n\n\n\n
Los indicadores de fraude son se\u00f1ales de alerta que indican que alguien podr\u00eda estar enga\u00f1ando a un sistema para obtener beneficios econ\u00f3micos. Aunque pueden solaparse con problemas de ciberseguridad como el malware, los indicadores de fraude suelen centrarse en acciones que parecen deshonestas o inusuales, especialmente las relacionadas con estafas econ\u00f3micas.<\/p>\n\n\n\n
Por ejemplo, imagina que una tarjeta de cr\u00e9dito se utiliza para pedir comida en Londres y, solo 15 minutos despu\u00e9s, se vuelve a utilizar para reservar una habitaci\u00f3n de hotel en Tokio. Dado que nadie puede estar f\u00edsicamente en dos lugares a la vez, esta actividad inusual podr\u00eda alertar al sistema de que alguien podr\u00eda estar utilizando la tarjeta de forma fraudulenta.<\/p>\n\n\n\n
1. Registros y alertas del sistema: irregularidades en los registros de auditor\u00eda, modificaciones no autorizadas, etc.<\/h4>\n\n\n\n
Detecta manipulaciones del registro de auditor\u00eda, intentos de acceso no autorizados o cambios sospechosos en la configuraci\u00f3n.<\/p>\n\n\n\n
La siguiente consulta KQL esta enfocada a detectar los casos en los que los registros de eventos de seguridad de Windows se han eliminado directamente mediante el Visor de eventos. Entre las amenazas asociadas, tenemos:<\/p>\n\n\n\n
\n- P\u00e9rdida de pruebas no relacionadas con la reputaci\u00f3n. <\/li>\n\n\n\n
- Falta de visibilidad sobre actividades maliciosas. <\/li>\n\n\n\n
- Incumplimiento normativo.<\/li>\n<\/ul>\n\n\n
DeviceEvents\n| where ActionType has \"SecurityLogCleared\"<\/span><\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Intentos de phishing<\/h4>\n\n\n\n
Si recibe enlaces inesperados, archivos adjuntos de correo electr\u00f3nico o mensajes OTP sospechosos de fuentes desconocidas, no interact\u00fae con ellos. Pueden contener malware dise\u00f1ado para robar su informaci\u00f3n personal o financiera.<\/p>\n\n\n\n
La siguiente consulta KQL se basa en correos electr\u00f3nicos detectados como amenazas clasificadas por el ISP. Si recibe correos electr\u00f3nicos de un ASN con varias direcciones IP distintas y todos los mensajes est\u00e1n etiquetados como amenazas, es el momento de tomar medidas, como eliminar o mover el correo electr\u00f3nico a la carpeta de correo no deseado.<\/p>\n\n\n
\/\/Sergio Albea<\/span>\nlet<\/span> CIDRASN = (externaldata (CIDR:string, CIDRASN<\/span>:int, CIDRASNName<\/span>:string)\n['https:\/\/firewalliplists.gypthecat.com\/lists\/kusto\/kusto-cidr-asn.csv.zip'<\/span>]\nwith<\/span> (ignoreFirstRecord=true<\/span>));\nEmailEvents\n| evaluate ipv4_lookup(CIDRASN, SenderIPv4, CIDR, return_unmatched=true<\/span>)\n| extend GeoIPData = tostring(geo_info_from_ip_address(SenderIPv4).country)\n| summarize Different_IPs=make_set(SenderIPv4), Countries= make_set(GeoIPData), make_set(CIDR), make_set(SenderFromDomain), Total_different_IPs=dcount(SenderIPv4) ,Total_emails = count(),make_set(ThreatTypes),Delivered_on_Inbox= countif(DeliveryLocation has \"Inbox\/folder\"<\/span>), Email_Threat= count(isnotempty(ThreatTypes)),\nEmail_Valid = count( isempty(ThreatTypes)) by GeoIPData, CIDR, CIDRASNName\n| extend SuspiciousRatio = Email_Threat * 1.0<\/span> \/ Total_emails, ValidRatio = Email_Valid * 1.0<\/span> \/ Total_emails\n| extend SuspiciousPercentage = SuspiciousRatio * 100<\/span>, ValidPercentage = ValidRatio * 100<\/span>\n| where SuspiciousPercentage > 95<\/span> and Total_different_IPs > 10<\/span>\n| order by Email_Threat\n| project CIDRASNName,set_SenderFromDomain, set_CIDR, Different_IPs, Countries,Total_different_IPs, set_ThreatTypes,Total_emails, Delivered_on_Inbox, Email_Threat, Email_Valid, SuspiciousPercentage, ValidPercentage<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Comportamiento de usuario sospechoso<\/h4>\n\n\n\n
El fraude puede detectarse a trav\u00e9s de acciones inusuales, como cambios repentinos en los n\u00fameros de tel\u00e9fono o direcciones de correo electr\u00f3nico, solicitudes de transacciones inesperadas o m\u00faltiples inicios de sesi\u00f3n exitosos desde pa\u00edses lejanos en el mismo d\u00eda, actividades que a menudo apuntan a un compromiso de la cuenta o al robo de identidad.<\/p>\n\n\n\n
La siguiente consulta KQL busca casos en los que los inicios de sesi\u00f3n exitosos del usuario durante el mismo d\u00eda provienen de pa\u00edses que est\u00e1n muy distantes entre s\u00ed. La consulta comprueba la diferencia de longitud y latitud de los primeros cuatro pa\u00edses; si hay m\u00e1s de cuatro pa\u00edses, tambi\u00e9n se me notificar\u00e1.<\/p>\n\n\n
let<\/span> substring = \",\"<\/span>;\nAADSignInEventsBeta\n| where Timestamp > ago(1<\/span>d)\n| where ErrorCode == 0<\/span>\n| where isnotempty(Country)\n| project AccountUpn, Timestamp, ClientAppUsed, Country, Latitude, Longitude, ReportId, DeviceTrustType\n| summarize ['Count of countries'<\/span>]=dcount(Country), ['List of countries'<\/span>]=make_set(Country), ['ListofLatitudes'<\/span>]=make_set(Latitude),\n ['ListofLongitudes'<\/span>]=make_set(Longitude) by AccountUpn, DeviceTrustType\n | where ['Count of countries'<\/span>] >= 3<\/span>\n \/\/ | where DeviceTrustType !contains \"Azure AD registered\"<\/span>\n| project splitted=split(ListofLatitudes, '\"'<\/span>),splitted1=split(ListofLongitudes, '\"'<\/span>), ['List of countries'<\/span>], AccountUpn, [
IoA – Indicators of Attack<\/h2><\/div>\n\n\n\n
Los indicadores de ataque (IoA) son se\u00f1ales de alerta temprana, como picos de tr\u00e1fico de red inesperados, inicios de sesi\u00f3n sospechosos o comportamientos inusuales de los usuarios, los cuales pueden revelar amenazas activas antes de que se intensifiquen. A diferencia de los indicadores de compromiso (IoC), que se centran en las pruebas forenses posteriores a la infracci\u00f3n, los IoA revelan el \u00abporqu\u00e9\u00bb de los ataques al detectar intenciones maliciosas en tiempo real, como la escalada de privilegios o transferencias de datos inusuales. Este enfoque proactivo cambia la seguridad de reaccionar ante el da\u00f1o a interrumpir las amenazas en medio de la acci\u00f3n. Mediante el an\u00e1lisis continuo de los registros del sistema, las t\u00e1cticas de los atacantes (TTP) y las anomal\u00edas de comportamiento, los equipos pueden neutralizar los riesgos antes de que causen da\u00f1os. Por ejemplo, algunas detecciones de IoA basadas en consultas KQL pueden ser:<\/p>\n\n\n\n
1. PowerShell.exe renombrados<\/h4>\n\n\n\n
PowerShell es una herramienta fiable de Microsoft que los atacantes pueden utilizar indebidamente renombrando su archivo ejecutable para ocultar sus acciones y propagar amenazas. La siguiente consulta detecta comandos comunes de la CLI para identificar las ejecuciones mencionadas por un Powershell renombrado.<\/p>\n\n\n
DeviceProcessEvents\n| where ProcessCommandLine !contains \"powershell\"<\/span> \n| where ProcessCommandLine !contains \"pwsh\"<\/span>\n| where ProcessCommandLine contains \"-NoProfile\"<\/span> or ProcessCommandLine contains \"-ExecutionPolicy\"<\/span> or ProcessCommandLine contains \"Invoke-Expression\"<\/span> \n| project DeviceName, FileName,ActionType, ProcessVersionInfoOriginalFileName, ProcessCommandLine, ProcessRemoteSessionIP<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Trafico SMTP inusual<\/h4>\n\n\n\n
Un atacante podr\u00eda intentar propagar malware, robar informaci\u00f3n confidencial mediante un ataque de tipo \u00abman-in-the-middle\u00bb (MitM), lanzar un ataque DDoS o hacer un uso indebido del servidor de una empresa para enviar spam y llevar a cabo estafas de phishing. La siguiente consulta ejecuta un an\u00e1lisis general sobre el alto volumen de tr\u00e1fico SMTP e incluye la opci\u00f3n de incluir una la lista blanca los dominios de confianza.<\/p>\n\n\n
let<\/span> timeRange = 3<\/span>d; \/\/ Adjust time window<\/span>\nlet<\/span> volumeThreshold = 500<\/span>; \/\/ Alert threshold for email count<\/span>\nlet<\/span> recipientThreshold = 200<\/span>; \/\/ Alert threshold for unique recipients<\/span>\nEmailEvents\n\/\/| where Timestamp >= ago(timeRange)<\/span>\n| where EmailDirection == \"Outbound\"<\/span> and SenderFromDomain !in<\/span> (\"domain1\"<\/span>,\"domain2\"<\/span>)\n| summarize \n TotalEmails = count(),\n UniqueRecipients = dcount(RecipientEmailAddress),\n UniqueDomains = dcount(tostring(split(RecipientEmailAddress, \"@\"<\/span>)[1<\/span>])),\n TimeSpan = max(Timestamp) - min(Timestamp),\n FirstActivity = min(Timestamp),\n LastActivity = max(Timestamp),\n SampleSubjects = makeset(Subject, 5<\/span>),\n SampleRecipients = makeset(RecipientEmailAddress, 5<\/span>)\n by SenderFromAddress, SenderMailFromAddress, SenderIPv4\n | where TotalEmails > volumeThreshold\n or UniqueRecipients > recipientThreshold\n| project\n Timestamp = LastActivity,\n SenderEmail = SenderFromAddress,\n SenderIPv4,\n TotalEmails,\n UniqueRecipients,\n UniqueDomains,\n TimeSpan,\n SampleSubjects,\n SampleRecipients,\n AlertReason = case<\/span>(\n TotalEmails > volumeThreshold and UniqueRecipients > recipientThreshold, \"High volume to many recipients\"<\/span>,\n TotalEmails > volumeThreshold, \"High email volume\"<\/span>,\n UniqueRecipients > recipientThreshold, \"High recipient count\"<\/span>,\n \"Threshold exceeded\"<\/span>\n )\n| sort by TotalEmails desc<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Ejecuci\u00f3n de procesos inusual<\/h4>\n\n\n\n
Esta t\u00e9cnica se conoce como LOLBAS (Living Off the Land Binaries and Scripts)<\/em>. Estas herramientas est\u00e1n integradas en el sistema operativo y cuentan con la confianza de los controles de seguridad, lo que las hace ideales para eludir las defensas. Comportamientos clave:
– Ejecuci\u00f3n de cargas \u00fatiles codificadas en base64 (com\u00fan en PowerShell)
– Comandos ofuscados o sospechosos en l\u00edneas de proceso (por ejemplo, mshta, rundll32, regsvr32) <\/em>
– Uso de herramientas de confianza para descargar o ejecutar scripts remotos.
Esta consulta detecta actividades sospechosas en la l\u00ednea de comandos mediante la decodificaci\u00f3n de argumentos codificados en base64, que se utilizan a menudo en los ataques. Identifica el uso de mshta.exe, una t\u00e9cnica com\u00fan en las infecciones de Lumma Stealer y otros programas maliciosos sin archivos, revelando intentos de ejecuci\u00f3n ocultos incluso cuando los comandos est\u00e1n ofuscados.<\/p>\n\n\nDeviceFileEvents\n| extend CommandWords = split(InitiatingProcessCommandLine, \" \"<\/span>) \/\/ Split the command into words<\/span>\n| extend Word1 = CommandWords[0<\/span>], \/\/ First word<\/span>\n Word2 = CommandWords[1<\/span>], \/\/ Second word<\/span>\n Word3 = CommandWords[2<\/span>], \/\/ Third word<\/span>\n Word4 = CommandWords[3<\/span>], \/\/ Fourth word<\/span>\n Word5 = CommandWords[4<\/span>] \n| extend LongestWord = case<\/span>(\n strlen(Word1) >= strlen(Word2) and strlen(Word1) >= strlen(Word3) and strlen(Word1) >= strlen(Word4) and strlen(Word1) >= strlen(Word5), Word1,\n strlen(Word2) >= strlen(Word1) and strlen(Word2) >= strlen(Word3) and strlen(Word2) >= strlen(Word4) and strlen(Word2) >= strlen(Word5), Word2,\n strlen(Word3) >= strlen(Word1) and strlen(Word3) >= strlen(Word2) and strlen(Word3) >= strlen(Word4) and strlen(Word3) >= strlen(Word5), Word3,\n strlen(Word4) >= strlen(Word1) and strlen(Word4) >= strlen(Word2) and strlen(Word4) >= strlen(Word3) and strlen(Word4) >= strlen(Word5), Word4,\n Word5 \/\/ Default case if Column5 is the longest<\/span>\n)\n| extend tostring(LongestWord)\n| extend DecodedBytes = base64_decode_tostring(LongestWord)\n| extend DecodedString = tostring(DecodedBytes)\n| where DecodedString contains \"mshta\"<\/span> or InitiatingProcessCommandLine contains \"mshta\"<\/span>\n| distinct DeviceName,InitiatingProcessCommandLine,LongestWord,DecodedString\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n4.Comunicaci\u00f3n Command and Control (C2)<\/h4>\n\n\n\n
Malware que se comunica con servidores externos controlados por atacantes. Puede utilizar puertos poco comunes, tr\u00e1fico cifrado o b\u00fasquedas DNS fallidas frecuentes.<\/p>\n\n\n\n
Esta consulta identifica los dispositivos de la tabla DeviceEvents que est\u00e1n iniciando conexiones RDP y proporciona la ubicaci\u00f3n de las direcciones IP remotas. La tabla DeviceEvents tiene una columna llamada \u00abLocalIP\u00bb que puede resultar confusa, pero tambi\u00e9n incluye RemoteIPs, lo que significa intentos de conexiones remotas desde el propio dispositivo. He excluido las entradas sin informaci\u00f3n sobre la ubicaci\u00f3n de la IP (lo que significa que son potencialmente IP locales). Como opci\u00f3n, puede a\u00f1adir una l\u00ednea para excluir ubicaciones \u00abincluidas en la lista blanca\u00bb, como: ‘ | where location !contain \u00abSpain\u00bb ‘<\/em><\/p>\n\n\nDeviceEvents\n| where ActionType contains \"RemoteDesktopConnection\"<\/span>\n| extend location = geo_info_from_ip_address(LocalIP)\n| where location contains \"Country\"<\/span>\n| project Timestamp, DeviceName, ActionType, LocalIP, LocalPort, location,ReportId, DeviceId<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nIoC – Indicadores de compromiso<\/h2>\n\n\n\n
Un indicador de compromiso (IOC)<\/strong> es un artefacto de datos u observaci\u00f3n que sugiere que se ha producido una violaci\u00f3n de la seguridad de un sistema o red, o que se ha producido una actividad maliciosa.<\/p>\n\n\n\nLos IOC pueden incluir hash de archivos, direcciones IP, nombres de dominio, cambios en el registro, anomal\u00edas en los procesos o firmas de comportamiento que se correlacionan con amenazas conocidas. Se suelen utilizar en an\u00e1lisis forenses, b\u00fasqueda de amenazas y flujos de trabajo de detecci\u00f3n automatizada para identificar, rastrear y responder a incidentes de seguridad tras un compromiso ya sea en el propio entorno o comunicado por un segundo.<\/p>\n\n\n\n
1. File Hashes<\/h4>\n\n\n\n
Los FileHashes son huellas digitales \u00fanicas de los archivos (por ejemplo, MD5, SHA256) que pueden utilizarse para identificar ficheros relacionados con malware o acciones sospechosas.<\/p>\n\n\n\n
Estos hashes sirven como indicadores de compromiso (IOC) que pueden cruzarse con fuentes de inteligencia sobre amenazas para identificar amenazas basadas en archivos en distintos entornos. La siguiente consulta KQL une eventos de archivos locales con indicadores MD5 externos del conocido repositorio TI MalwareBazaar con el objetivo de detectar ficheros maliciosos conocidos.<\/p>\n\n\n
let<\/span> MalwareBazaar = externaldata(MD5: string) [\"https:\/\/bazaar.abuse.ch\/export\/txt\/md5\/recent\"<\/span>] with<\/span> (format=\"txt\"<\/span>, ignoreFirstRecord=True);\nlet<\/span> MaliciousMD5 = MalwareBazaar | where MD5 !startswith \"#\"<\/span>;\nDeviceFileEvents\n| join kind=inner ( MaliciousMD5) on $left.MD5 == $right.MD5<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Direcciones IP maliciosas<\/h4>\n\n\n\n
Las direcciones IP maliciosas son indicadores de compromiso (IOC) que pueden estar vinculados al phishing, la distribuci\u00f3n de malware o la infraestructura de comando y control. La comunicaci\u00f3n con estas direcciones IP puede indicar que un usuario o un sistema puede haber sido comprometido.<\/p>\n\n\n\n
Esta consulta KQL importa la fuente de amenazas IPsum<\/strong> y la analiza para extraer direcciones IP con una puntuaci\u00f3n de lista negra. A continuaci\u00f3n, combina los registros relacionados con la identidad de AADSignInEventsBeta, CloudAppEvents e IdentityLogonEvents, y los une con la lista de IP analizadas. Cualquier coincidencia revela actividad relacionada con IP de alto riesgo, lo que ayuda a identificar cuentas que interact\u00faan con infraestructura maliciosa conocida.<\/p>\n\n\nlet<\/span> ipsumrawData = externaldata(ip_string: string)[h@\"https:\/\/raw.githubusercontent.com\/stamparm\/ipsum\/master\/ipsum.txt\"<\/span>] with<\/span> (format=\"txt\"<\/span>);\nlet<\/span> parsedData = ipsumrawData\n| where ip_string matches regex @\"^\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\s+\\d+$\"<\/span>\n| extend IP = extract(@\"^(\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3})\"<\/span>, 1<\/span>, ip_string), IPPubliclyBlacklist = toint(extract(@\"\\s+(\\d+)$\"<\/span>, 1<\/span>, ip_string));\nlet<\/span> badIPList = parsedData\n| project IP, IPPubliclyBlacklist\n| order by IPPubliclyBlacklist desc;\nlet<\/span> aadSignInEventsBeta = AADSignInEventsBeta\n| project Timestamp, AccountUpn, DeviceName, LogonType, IPAddress, Application, ApplicationId, ClientAppUsed, DeviceTrustType, LastPasswordChangeTimestamp, ResourceDisplayName, ResourceId, ResourceTenantId;\nlet<\/span> cloudAppEvents = CloudAppEvents\n| project Timestamp, AccountDisplayName, AccountObjectId, IPAddress, Application, ApplicationId, ActionType, ActivityType, IsAdminOperation, IsImpersonated, DeviceType, AuditSource, RawEventData, AdditionalFields, ReportId; \nlet<\/span> identityLoginEvents = IdentityLogonEvents\n| project Timestamp, AccountUpn, AccountObjectId, AccountSid, DeviceName, DeviceType, FailureReason, IPAddress, Protocol, DestinationIPAddress, DestinationPort, LogonType, AdditionalFields, ReportId;\nlet<\/span> combinedEvents = aadSignInEventsBeta\n| union cloudAppEvents\n| union identityLoginEvents\n| project Timestamp, AccountUpn, AccountObjectId, AccountSid, DeviceName, DeviceType, LogonType, IPAddress, Application, ActionType, ActivityType, IsAdminOperation, IsImpersonated, DeviceTrustType, LastPasswordChangeTimestamp, ResourceDisplayName, ResourceId, ResourceTenantId, FailureReason, Protocol, DestinationIPAddress, DestinationPort, AdditionalFields, ReportId;\ncombinedEvents\n| join kind=inner (badIPList) on $left.IPAddress == $right.IP\n| project Timestamp, AccountUpn, AccountObjectId, IPAddress, IPPubliclyBlacklist, LogonType, LastPasswordChangeTimestamp, Application, DeviceName, DeviceType, DeviceTrustType, ResourceDisplayName, ResourceTenantId, AdditionalFields, ResourceId, ReportId\n| order by Timestamp desc;<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Dominios y URLS <\/h4>\n\n\n\n
Los dominios y las URL se encuentran entre los IOC m\u00e1s comunes utilizados para detectar e investigar lugares maliciosos en internet. Representan nombres de host (como malicious-site.com) o direcciones web completas (como http:\/\/malicious-site.com\/payload.exe) que pueden est\u00e1n involucrados en:<\/p>\n\n\n\n
\n- Campa\u00f1as de phishing<\/li>\n\n\n\n
- Distribuci\u00f3n de malware <\/li>\n\n\n\n
- Comunicaciones de comando y control (C2)<\/li>\n\n\n\n
- Intermediarios de acceso inicial<\/li>\n<\/ul>\n\n\n\n
Esta KQL extrae las URL maliciosas activas del repositorio TI URLHaus y extrae sus nombres de dominio. A continuaci\u00f3n, inspecciona DeviceNetworkEvents para averiguar si alguna de las respuestas DNS observadas coincide con las URL maliciosas conocidas. Si hay alguna coincidencia, enriquece el resultado con informaci\u00f3n de geolocalizaci\u00f3n y contexto de TI.<\/p>\n\n\n
let<\/span> URLHausOnlineRAW = externaldata (UHFeed:string) [\"https:\/\/urlhaus.abuse.ch\/downloads\/csv_online\/\"<\/span>] with<\/span>(format=\"txt\"<\/span>)\n| where UHFeed !startswith \"#\"<\/span>\n| extend UHRAW=replace_string(UHFeed, '\"'<\/span>, ''<\/span>)\n| project splitted=split(UHRAW, ','<\/span>)\n| mv-expand id=splitted[0<\/span>], dateadded=splitted[1<\/span>], UHUrl=splitted[2<\/span>], UHurl_status=splitted[3<\/span>], UHlast_onlin=splitted[4<\/span>], UHthreat=splitted[5<\/span>], UHtags=splitted[6<\/span>], UHLink=splitted[7<\/span>], UHReporter=splitted[8<\/span>]\n| extend UHUrl = tostring(UHUrl)\n| extend UHUrlDomain = tostring(parse_url(UHUrl).Host)\n| project-away splitted;\nDeviceNetworkEvents\n| extend answers = todynamic(tostring(parse_json(AdditionalFields).answers))\n| extend answersext = todynamic(tostring(parse_json(AdditionalFields).answers))\n| mv-expand answers\n\/\/| extend geo_Remote_answers = todynamic(tostring(geo_info_from_ip_address(answers).country))<\/span>\n| extend Type =\n case<\/span>(\n answers matches regex @\"^(\\d{1,3}\\.){3}\\d{1,3}$\"<\/span>, \"IPv4\"<\/span>, \/\/ Matches IPv4 format<\/span>\n answers matches regex @\"^([a-fA-F0-9:]+)$\"<\/span>, \"IPv6\"<\/span>, \/\/ Matches IPv6 format<\/span>\n answers contains \".\"<\/span>, \"URL\"<\/span>, \/\/ Checks if it contains a dot (common in URLs)<\/span>\n \"Unknown\"<\/span> \/\/ Default case<\/span>\n )\n| where Type has \"URL\"<\/span>\n| extend tostring(answers)\n| join kind=inner (URLHausOnlineRAW) on $left.answers == $right.UHUrl\n| extend geo_Remote_ip = tostring(geo_info_from_ip_address(RemoteIP).country)\n| project Timestamp,DeviceName,LocalIP,RemoteIP,geo_Remote_ip,MaliciousAnswers = UHUrl,answersext,UHUrlDomain, ActionType<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n4. Registry Keys<\/h4>\n\n\n\n
Las claves del Registro de Windows son configuraciones cr\u00edticas del sistema almacenadas en una base de datos jer\u00e1rquica utilizada por el sistema operativo Windows y las aplicaciones. Los actores maliciosos suelen atacar o manipular claves espec\u00edficas del Registro para:<\/p>\n\n\n\n
\n- Lograr persistencia<\/strong> (por ejemplo, ejecutar malware al iniciar el sistema).<\/li>\n\n\n\n
- Desactivar las funciones de seguridad<\/strong> (por ejemplo, la protecci\u00f3n en tiempo real o MAPS).<\/li>\n\n\n\n
- Modificar el comportamiento del sistema<\/strong> para el sigilo o la escalada de privilegios.<\/li>\n<\/ul>\n\n\n\n
Esta consulta inspecciona DeviceRegistryEvents en busca de rutas de registro espec\u00edficas vinculadas a la configuraci\u00f3n de pol\u00edticas de Windows Defender. Se\u00f1ala los casos en los que se han desactivado determinadas funciones de seguridad (por ejemplo, MAPS, Protecci\u00f3n en tiempo real) (RegistryValueData == 1), lo que puede indicar una manipulaci\u00f3n por parte de un atacante o malware que intenta reducir las defensas del sistema.<\/p>\n\n\n
DeviceRegistryEvents\n\/\/If you enable these policy settings (RegistryValueData == 1), Windows Defender will not take actions or report possible threats.<\/span>\n\/\/Windows Defender - Defender service itself.<\/span>\n\/\/Spynet = Microsoft Active Protection Service is an online community that helps you choose how to respond to potential threats. This feature ensures the device checks in real time with the Microsoft Active Protection Service (MAPS) before allowing certain content to be run or accessed. If this feature is disabled, the check will not occur, which will lower the protection state of the device.<\/span>\n\/\/Real-Time Protection = protection to scan for malware and other unwanted software. Once this has been disabled, it won\u2019t scan anything of it.<\/span>\n| where RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\"<\/span> or RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\spynet\"<\/span> or RegistryKey == \"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Policies\\\\Microsoft\\\\Microsoft Antimalware\\\\Real-Time Protection\"<\/span>\n| where RegistryValueData == 1<\/span>\n| distinct Timestamp, DeviceName, RegistryKey, RegistryValueName, PreviousRegistryValueData, RegistryValueData, IsInitiatingProcessRemoteSession\n\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nIndicadores de Fraude<\/h2>\n\n\n\n
Los indicadores de fraude son se\u00f1ales de alerta que indican que alguien podr\u00eda estar enga\u00f1ando a un sistema para obtener beneficios econ\u00f3micos. Aunque pueden solaparse con problemas de ciberseguridad como el malware, los indicadores de fraude suelen centrarse en acciones que parecen deshonestas o inusuales, especialmente las relacionadas con estafas econ\u00f3micas.<\/p>\n\n\n\n
Por ejemplo, imagina que una tarjeta de cr\u00e9dito se utiliza para pedir comida en Londres y, solo 15 minutos despu\u00e9s, se vuelve a utilizar para reservar una habitaci\u00f3n de hotel en Tokio. Dado que nadie puede estar f\u00edsicamente en dos lugares a la vez, esta actividad inusual podr\u00eda alertar al sistema de que alguien podr\u00eda estar utilizando la tarjeta de forma fraudulenta.<\/p>\n\n\n\n
1. Registros y alertas del sistema: irregularidades en los registros de auditor\u00eda, modificaciones no autorizadas, etc.<\/h4>\n\n\n\n
Detecta manipulaciones del registro de auditor\u00eda, intentos de acceso no autorizados o cambios sospechosos en la configuraci\u00f3n.<\/p>\n\n\n\n
La siguiente consulta KQL esta enfocada a detectar los casos en los que los registros de eventos de seguridad de Windows se han eliminado directamente mediante el Visor de eventos. Entre las amenazas asociadas, tenemos:<\/p>\n\n\n\n
\n- P\u00e9rdida de pruebas no relacionadas con la reputaci\u00f3n. <\/li>\n\n\n\n
- Falta de visibilidad sobre actividades maliciosas. <\/li>\n\n\n\n
- Incumplimiento normativo.<\/li>\n<\/ul>\n\n\n
DeviceEvents\n| where ActionType has \"SecurityLogCleared\"<\/span><\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n2. Intentos de phishing<\/h4>\n\n\n\n
Si recibe enlaces inesperados, archivos adjuntos de correo electr\u00f3nico o mensajes OTP sospechosos de fuentes desconocidas, no interact\u00fae con ellos. Pueden contener malware dise\u00f1ado para robar su informaci\u00f3n personal o financiera.<\/p>\n\n\n\n
La siguiente consulta KQL se basa en correos electr\u00f3nicos detectados como amenazas clasificadas por el ISP. Si recibe correos electr\u00f3nicos de un ASN con varias direcciones IP distintas y todos los mensajes est\u00e1n etiquetados como amenazas, es el momento de tomar medidas, como eliminar o mover el correo electr\u00f3nico a la carpeta de correo no deseado.<\/p>\n\n\n
\/\/Sergio Albea<\/span>\nlet<\/span> CIDRASN = (externaldata (CIDR:string, CIDRASN<\/span>:int, CIDRASNName<\/span>:string)\n['https:\/\/firewalliplists.gypthecat.com\/lists\/kusto\/kusto-cidr-asn.csv.zip'<\/span>]\nwith<\/span> (ignoreFirstRecord=true<\/span>));\nEmailEvents\n| evaluate ipv4_lookup(CIDRASN, SenderIPv4, CIDR, return_unmatched=true<\/span>)\n| extend GeoIPData = tostring(geo_info_from_ip_address(SenderIPv4).country)\n| summarize Different_IPs=make_set(SenderIPv4), Countries= make_set(GeoIPData), make_set(CIDR), make_set(SenderFromDomain), Total_different_IPs=dcount(SenderIPv4) ,Total_emails = count(),make_set(ThreatTypes),Delivered_on_Inbox= countif(DeliveryLocation has \"Inbox\/folder\"<\/span>), Email_Threat= count(isnotempty(ThreatTypes)),\nEmail_Valid = count( isempty(ThreatTypes)) by GeoIPData, CIDR, CIDRASNName\n| extend SuspiciousRatio = Email_Threat * 1.0<\/span> \/ Total_emails, ValidRatio = Email_Valid * 1.0<\/span> \/ Total_emails\n| extend SuspiciousPercentage = SuspiciousRatio * 100<\/span>, ValidPercentage = ValidRatio * 100<\/span>\n| where SuspiciousPercentage > 95<\/span> and Total_different_IPs > 10<\/span>\n| order by Email_Threat\n| project CIDRASNName,set_SenderFromDomain, set_CIDR, Different_IPs, Countries,Total_different_IPs, set_ThreatTypes,Total_emails, Delivered_on_Inbox, Email_Threat, Email_Valid, SuspiciousPercentage, ValidPercentage<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n3. Comportamiento de usuario sospechoso<\/h4>\n\n\n\n
El fraude puede detectarse a trav\u00e9s de acciones inusuales, como cambios repentinos en los n\u00fameros de tel\u00e9fono o direcciones de correo electr\u00f3nico, solicitudes de transacciones inesperadas o m\u00faltiples inicios de sesi\u00f3n exitosos desde pa\u00edses lejanos en el mismo d\u00eda, actividades que a menudo apuntan a un compromiso de la cuenta o al robo de identidad.<\/p>\n\n\n\n
La siguiente consulta KQL busca casos en los que los inicios de sesi\u00f3n exitosos del usuario durante el mismo d\u00eda provienen de pa\u00edses que est\u00e1n muy distantes entre s\u00ed. La consulta comprueba la diferencia de longitud y latitud de los primeros cuatro pa\u00edses; si hay m\u00e1s de cuatro pa\u00edses, tambi\u00e9n se me notificar\u00e1.<\/p>\n\n\n
let<\/span> substring = \",\"<\/span>;\nAADSignInEventsBeta\n| where Timestamp > ago(1<\/span>d)\n| where ErrorCode == 0<\/span>\n| where isnotempty(Country)\n| project AccountUpn, Timestamp, ClientAppUsed, Country, Latitude, Longitude, ReportId, DeviceTrustType\n| summarize ['Count of countries'<\/span>]=dcount(Country), ['List of countries'<\/span>]=make_set(Country), ['ListofLatitudes'<\/span>]=make_set(Latitude),\n ['ListofLongitudes'<\/span>]=make_set(Longitude) by AccountUpn, DeviceTrustType\n | where ['Count of countries'<\/span>] >= 3<\/span>\n \/\/ | where DeviceTrustType !contains \"Azure AD registered\"<\/span>\n| project splitted=split(ListofLatitudes, '\"'<\/span>),splitted1=split(ListofLongitudes, '\"'<\/span>), ['List of countries'<\/span>], AccountUpn, [