detection-sigma

Esta habilidad permite la realización de forense a gran escala en endpoints y la respuesta a incidentes utilizando el Lenguaje de Consulta de Velociraptor (VQL). Está diseñada para recopilar evidencia, rastrear amenazas y ejecutar respuestas en vivo en múltiples sistemas. Los desarrolladores pueden utilizarla para reunir telemetría, monitorear eventos de seguridad y crear artefactos forenses personalizados para investigaciones.

Esta habilidad permite la creación y gestión de reglas de detección SIEM universales e independientes del proveedor utilizando el formato Sigma. Permite a los desarrolladores escribir reglas una vez y convertirlas para plataformas como Splunk, Elastic, QRadar y Sentinel, facilitando la búsqueda de amenazas y las canalizaciones de detección-como-código. Las características clave incluyen el mapeo de detecciones a MITRE ATT&CK y la implementación de monitoreo de cumplimiento.

Esta habilidad permite la investigación forense y la caza de amenazas basada en SQL, consultando los sistemas operativos de los endpoints como bases de datos relacionales a través de osquery. Está diseñada para la recolección rápida de evidencia, la respuesta a incidentes y el análisis de artefactos del sistema como procesos, conexiones de red y hashes de archivos en Linux, macOS y Windows. Úsela para forense en vivo, construcción de consultas de detección y búsqueda de indicadores de compromiso durante incidentes de seguridad.

La habilidad layout-analyzer utiliza la biblioteca surya para detectar elementos de estructura de documentos, como bloques de texto, tablas y orden de lectura, a partir de imágenes o PDFs. Los desarrolladores deben usarla cuando necesiten un análisis programático de diseños de documentos complejos para tareas de procesamiento o extracción. Soporta la detección de diversas regiones, incluyendo encabezados y figuras, y determina la secuencia de lectura adecuada.