Deteccion por Comportamiento
¿Qué es Deteccion por Comportamiento?
Deteccion por ComportamientoEnfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
La deteccion por comportamiento observa que hace el codigo en el sistema — arboles de procesos, relaciones padre-hijo, llamadas a API, escrituras de archivos y registro, destinos de red, argumentos de linea de comandos, creacion de tareas programadas — y marca secuencias que coinciden con tradecraft conocido. Las reglas suelen expresarse en Sigma o lenguajes propietarios y alinearse con tecnicas MITRE ATT&CK como T1059 (Interpretes de comandos) o T1547 (Boot o Logon Autostart). NGAV y EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason o Elastic implementan deteccion conductual en tiempo real. A diferencia de las firmas, captura malware polimorfico, empaquetado y fileless, pero exige tuning cuidadoso y telemetria rica (Sysmon, streams de EDR, auditoria) para mantener bajos los falsos positivos.
● Ejemplos
- 01
Regla de EDR que dispara cuando Word lanza PowerShell que descarga desde una IP externa — patron tipico de intrusion por macros.
- 02
Defender for Endpoint detectando credential dumping por lecturas en la memoria de LSASS desde un proceso no estandar.
● Preguntas frecuentes
¿Qué es Deteccion por Comportamiento?
Enfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Deteccion por Comportamiento?
Enfoque de deteccion que identifica actividad maliciosa a partir del comportamiento en ejecucion de procesos, usuarios y trafico, no de firmas estaticas de archivos.
¿Cómo funciona Deteccion por Comportamiento?
La deteccion por comportamiento observa que hace el codigo en el sistema — arboles de procesos, relaciones padre-hijo, llamadas a API, escrituras de archivos y registro, destinos de red, argumentos de linea de comandos, creacion de tareas programadas — y marca secuencias que coinciden con tradecraft conocido. Las reglas suelen expresarse en Sigma o lenguajes propietarios y alinearse con tecnicas MITRE ATT&CK como T1059 (Interpretes de comandos) o T1547 (Boot o Logon Autostart). NGAV y EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason o Elastic implementan deteccion conductual en tiempo real. A diferencia de las firmas, captura malware polimorfico, empaquetado y fileless, pero exige tuning cuidadoso y telemetria rica (Sysmon, streams de EDR, auditoria) para mantener bajos los falsos positivos.
¿Cómo defenderse de Deteccion por Comportamiento?
Las defensas contra Deteccion por Comportamiento combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Deteccion por Comportamiento?
Nombres alternativos comunes: Deteccion basada en comportamiento, Analitica conductual.
● Términos relacionados
- defense-ops№ 473
Deteccion Heuristica
Metodo de deteccion que usa indicadores aproximados — patrones de codigo sospechosos, packers, cadenas anomalas y combinaciones de APIs — para marcar archivos probablemente maliciosos sin firma exacta.
- network-security№ 048
Detección basada en anomalías
Enfoque de detección que construye una línea base de actividad normal y marca como potencialmente maliciosas las desviaciones respecto a ella.
- defense-ops№ 725
Antivirus de Nueva Generacion (NGAV)
Proteccion de endpoint que complementa el escaneo por firmas con modelos de machine learning, analitica conductual y prevencion de exploits para detener amenazas desconocidas y fileless.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.