chores

QueComanTierra/detection/falco_rules.yaml

@@ -56,8 +56,7 @@
     openssl enc desde shell, posible cifrado masivo
     (user=%user.name uid=%user.uid
      cmd=%proc.cmdline
-     parent=%proc.pname ppid=%proc.ppid
-     container=%container.name)
+     parent=%proc.pname ppid=%proc.ppid)
   priority: WARNING
   tags: [lolbin, ransomware, T1486, T1059.004]
 
@@ -90,8 +89,7 @@
     bash abrió conexión TCP directa, posible /dev/tcp exfiltración
     (user=%user.name uid=%user.uid
      dst=%fd.rip:%fd.rport
-     pid=%proc.pid cmd=%proc.cmdline
-     container=%container.name)
+     pid=%proc.pid cmd=%proc.cmdline)
   priority: CRITICAL
   tags: [lolbin, exfiltration, T1048, T1059.004]
 
@@ -120,8 +118,7 @@
     documento de usuario eliminado por proceso shell
     (user=%user.name uid=%user.uid
      file=%fd.name
-     proc=%proc.name cmd=%proc.cmdline
-     container=%container.name)
+     proc=%proc.name cmd=%proc.cmdline)
   priority: WARNING
   tags: [ransomware, destruction, T1486]
 
@@ -149,7 +146,6 @@
     archivo cifrado oculto creado en /tmp, posible vault de ransomware
     (user=%user.name uid=%user.uid
      file=%fd.name
-     proc=%proc.name cmd=%proc.cmdline
-     container=%container.name)
+     proc=%proc.name cmd=%proc.cmdline)
   priority: CRITICAL
   tags: [ransomware, staging, T1486, T1074]