Descripción de la Tecnica
La técnica MITRE ATT&CK "SOC Efficiency Metrics" se centra en la optimización y análisis de eventos críticos dentro de un sistema de ciberseguridad. Esta técnica utiliza la plataforma CrowdStrike Falcon para identificar y priorizar eventos de detección que reflejen la eficiencia operativa de una red de seguridad. La query proporcionada filtra eventos relacionados con actividades auditivas y detectivas, permitiendo a los SOCs (Security Operations Centers) evaluar su capacidad de respuesta ante amenazas.¿Cómo Funciona?
La técnica opera mediante un conjunto de pasos estructurados en la plataforma CrowdStrike Falcon. Primero, se filtran eventos críticos del repositorio de detecciones basándose en tipos específicos de API externa, como "Event_UserActivityAuditEvent" y "Event_EppDetectionSummaryEvent". Luego, se unifican identificadores de detección para evitar duplicados. Finalmente, se calculan tiempos de respuesta basados en marcas de tiempo para evaluar la eficiencia del proceso de detección.Actores que la Utilizan
Esta técnica es utilizada por actores que buscan optimizar la operativa de un SOC y mejorar la capacidad de respuesta ante amenazas. No se han identificado actores específicos públicos asociados a esta técnica en fuentes oficiales.Detección
La detección se basa en eventos filtrados del repositorio de detectives, incluyendo tipos de API externa definidos y análisis de marcas de tiempo. Los SOCs utilizan estas métricas para evaluar la efectividad de sus procesos de detección y mitigación.Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.Mitigación
Para mitigar riesgos asociados a esta técnica, los SOCs deben implementar reglas de detección más estrictas y monitorear patrones anómalos en actividades auditivas. Además, se recomienda la automatización de análisis de marcas de tiempo para optimizar la respuesta ante amenazas.Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*