Deteccion por Comportamiento
¿Qué es Deteccion por Comportamiento?
Deteccion por ComportamientoEnfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
La deteccion por comportamiento observa que hace el codigo en el sistema — arboles de procesos, relaciones padre-hijo, llamadas a API, escrituras de archivos y registro, destinos de red, argumentos de linea de comandos, creacion de tareas programadas — y marca secuencias que coinciden con tradecraft conocido. Las reglas suelen expresarse en Sigma o lenguajes propietarios y alinearse con tecnicas MITRE ATT&CK como T1059 (Interpretes de comandos) o T1547 (Boot o Logon Autostart). NGAV y EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason o Elastic implementan deteccion conductual en tiempo real. A diferencia de las firmas, captura malware polimorfico, empaquetado y fileless, pero exige tuning cuidadoso y telemetria rica (Sysmon, streams de EDR, auditoria) para mantener bajos los falsos positivos.
● Ejemplos
- 01
Regla de EDR que dispara cuando Word lanza PowerShell que descarga desde una IP externa — patron tipico de intrusion por macros.
- 02
Defender for Endpoint detectando credential dumping por lecturas en la memoria de LSASS desde un proceso no estandar.
● Preguntas frecuentes
¿Qué es Deteccion por Comportamiento?
Enfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Deteccion por Comportamiento?
Enfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
¿Cómo defenderse de Deteccion por Comportamiento?
Las defensas contra Deteccion por Comportamiento combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Deteccion por Comportamiento?
Nombres alternativos comunes: Deteccion basada en comportamiento, Analitica conductual.