// LAB · DETECCIÓN (BLUE TEAM)

🛡️ Lab de Detección con Sigma

Escenario: Tienes un flujo de logs de process_creation de Windows. Un atacante está usando PowerShell para descargar y ejecutar payloads. Tu misión: escribir una regla de detección que cace TODA la actividad maliciosa sin falsos positivos (ese PowerShell legítimo del admin no debe saltar).

Constructor de regla

AND
💡 En «contains» puedes poner varios valores separados por comas: coincide si aparece cualquiera (como una lista Sigma).

Logs — process_creation

#ImageCommandLineUser