jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: OS Platform ratio

CS Query: OS Platform ratio

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

CS Query: OS Platform ratio

Descripción de la Tecnica

CS Query: OS Platform ratio es una técnica de detección basada en el análisis de los registros de eventos del sistema operativo (event_platform) mediante una consulta FQL (Falcon Query Language). Esta técnica se utiliza para identificar patrones anómalos en la distribución de plataformas de sistemas operativos dentro de una red, lo que puede indicar actividades maliciosas o comportamientos no normales.

Como Funciona

La consulta agrupa eventos por aid (identificador único del dispositivo) y event_platform, luego vuelve a agrupar solo por event_platform. Este enfoque permite observar la proporción de dispositivos que utilizan diferentes sistemas operativos, lo que puede revelar anomalías como una concentración excesiva de dispositivos con versiones específicas de Windows, macOS o Linux. Estos patrones pueden ser señalados como sospechosos si se correlacionan con actividades maliciosas.

Actores que la Utilizan

No hay información pública disponible sobre actores específicos que utilicen esta técnica en el contexto de MITRE ATT&CK. La consulta está diseñada para ser una herramienta de detección interna, no como un indicador de amenaza directa.

Detección

La técnica se integra en la plataforma CrowdStrike Falcon como parte de su capacidad de detección basada en comportamiento. Los análisis se realizan a través de consultas FQL que monitorizan la proporción de sistemas operativos en los eventos del sensor SensorHeartbeat, lo que permite identificar desviaciones inusuales en la distribución de plataformas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye monitorear las proporciones de sistemas operativos en los dispositivos y aplicar políticas de seguridad para limitar el acceso a recursos críticos. Además, se recomienda actualizar regularmente los sistemas operativos y utilizar soluciones de ciberseguridad como CrowdStrike Falcon para detectar comportamientos anómalos en tiempo real.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach