process_creation de Windows. Un atacante está usando PowerShell para descargar y ejecutar payloads. Tu misión: escribir una regla de detección que cace TODA la actividad maliciosa sin falsos positivos (ese PowerShell legítimo del admin no debe saltar). | # | Image | CommandLine | User |
|---|