¿Qué es Trellix y de dónde viene?

Trellix nació en 2022 de la fusión de McAfee Enterprise y FireEye. Combina la protección de endpoints de McAfee con la detección avanzada y sandboxing de FireEye. El resultado es una plataforma XDR que cubre endpoint, red, email y cloud en una consola unificada.

¿Cómo se diferencia Trellix de CrowdStrike o SentinelOne?

Trellix destaca por su motor de sandbox MVX (heredado de FireEye) para detectar zero-day, y por cubrir múltiples vectores (endpoint, red, email, cloud) en una plataforma integrada. CrowdStrike y SentinelOne son más fuertes en EDR puro y velocidad de respuesta en endpoint.

¿Qué es Real Protect en Trellix?

Real Protect es el motor de machine learning que analiza comportamiento de procesos en tiempo real. Combina análisis estático (pre-ejecución) y dinámico (post-ejecución) para detectar malware sin firmas. Especialmente efectivo contra amenazas polimórficas y zero-day.

¿Puedo hacer threat hunting en Trellix?

Sí. Trellix Helix permite ejecutar queries sobre la telemetría de todos los sensores. Puedes buscar por IOCs, comportamientos y correlacionar eventos entre endpoint, red y email. La retención de datos varía según la licencia.

¿Trellix soporta MITRE ATT&CK?

Sí. Trellix mapea detecciones a técnicas ATT&CK y ofrece un dashboard de cobertura. En las evaluaciones MITRE Engenuity ha demostrado cobertura consistente. El dashboard muestra técnicas cubiertas y gaps.

IntermedioTrellixXDREDRSOCinvestigaciónthreat-hunting

Guía para Analistas EDR con Trellix XDR

Guía completa de Trellix XDR para analistas SOC: plataforma unificada McAfee+FireEye, flujo de investigación, Storyline visualization, Real Protect ML, MVX sandbox, threat hunting, playbooks y cobertura MITRE ATT&CK.

MalwareIntel Research·22 de mayo de 2026·7 min lectura

Serie: Defensa y EDR/XDR — Parte 6

Trellix XDR: la plataforma unificada

Trellix XDR nació en 2022 de la fusión de McAfee Enterprise y FireEye. Hereda la protección masiva de endpoints de McAfee y las capacidades de detección avanzada de FireEye (sandbox MVX, inteligencia Mandiant). Para el analista SOC, Trellix ofrece una consola única donde convergen alertas de endpoints (EDR + antimalware), red (IDS/IPS), email (sandbox de adjuntos), cloud (CASB) y DLP.

Esta convergencia elimina saltar entre consolas. Un email de phishing que entrega malware se rastrea desde el email gateway hasta el endpoint comprometido en una vista unificada.

Fuentes de telemetría

Dato endpoint	Descripción	Uso para analistas
Creación de procesos	Padre, hijo, argumentos, usuario	Cadenas de ejecución sospechosas
Conexiones de red	IP, puerto, protocolo, bytes	C2 y exfiltración
Modificaciones de ficheros	Creación, modificación, hash	Droppers y ransomware
Cambios de registro	Claves creadas/modificadas	Persistencia
Carga de DLLs	DLLs por proceso con firma	DLL sideloading
Acceso a credenciales	LSASS, SAM, NTDS	Credential dumping
Scripts ejecutados	PowerShell, WMI, VBScript	Fileless malware

Telemetría de red: análisis SSL/TLS, protocolos anómalos, extracción de ficheros para sandbox, beaconing, JA3/JA3S. Telemetría de email: adjuntos en sandbox MVX, URLs maliciosas, spoofing detection.

Flujo de investigación

Fase 1: Alertas y triage

Cada alerta Trellix incluye:

Severity:      Critical / High / Medium / Low
Source:        ENS (Endpoint) / NX (Network) / EX (Email) / HX (Helix)
Technique:     MITRE ATT&CK ID
Affected Host: hostname, IP, OS, usuario
Storyline ID:  cadena de eventos relacionados
Confidence:    porcentaje de confianza
Kill Chain:    fase del ataque

Criterios de triage: 1) Critical/High con confianza mayor al 80%: investigar ya. 2) Storyline con múltiples técnicas: probable ataque real. 3) Veredicto MVX malicioso: alta confianza. 4) Real Protect ML sin correlación de red: posible FP, verificar.

Fase 2: Investigación con Storyline

Storyline conecta eventos relacionados en una narrativa visual del ataque. Es la funcionalidad diferenciadora de Trellix.

[Email recibido]
  │ EX: Adjunto .docx con macro | T1566.001
  ▼
[Macro ejecutada]
  │ ENS: WINWORD.EXE → cmd.exe → powershell.exe | T1059.001
  ▼
[Payload descargado]
  │ NX: Conexión a hxxp://staging[.]evil[.]com/payload.dll
  │ ENS: Fichero en %TEMP% | T1105
  ▼
[C2 establecido]
  │ NX: Beaconing a 185.x.x.x:443 cada 60s | T1071.001
  ▼
[Discovery + Credential Access]
    ENS: whoami, net group + acceso a LSASS | T1087, T1003.001

Cómo usar Storyline: identifica el punto de entrada, sigue la cadena completa, mapea todas las técnicas ATT&CK, determina el alcance (otros hosts afectados), extrae IOCs de cada fase.

Fase 3: Contención

Acción	Cuándo	Impacto
Contain Host	Exfiltración activa	Alto: pierde conectividad
Kill Process	Malware en ejecución	Medio
Quarantine File	Fichero malicioso	Bajo
Block Hash	Hash identificado	Bajo: previene re-ejecución
Block IP/Domain	C2 identificado	Medio

Orden recomendado: Contain Host (si urgente), Kill Process, Block Hash + Block IP, Quarantine File, extender bloqueos a todos los endpoints.

Fase 4: Remediación

Eliminar ficheros maliciosos y persistencia, revocar credenciales comprometidas, sweep global de IOCs, restaurar desde backup si aplica, documentar timeline e IOCs, crear reglas de detección nuevas.

Real Protect: motor ML

Análisis estático (pre-ejecución)

Analiza estructura PE, entropía de secciones (alta = packing), strings embebidas, similitud con familias conocidas. Ficheros con score mayor a 70 se bloquean o envían a sandbox.

Análisis dinámico (post-ejecución)

Monitoriza: procesos hijos, modificaciones de ficheros/registro, conexiones de red, inyección de código, acceso a credenciales, operaciones criptográficas masivas. Cuando el comportamiento supera el umbral, detiene el proceso y genera la Storyline completa.

Ventajas: detecta zero-day sin firmas, explica la razón del bloqueo, sensibilidad ajustable por grupo de endpoints.

MVX Sandbox

El Multi-Vector Virtual Execution engine (herencia de FireEye) ejecuta ficheros sospechosos en VMs para observar comportamiento real.

Fichero sospechoso → VMs (Win10, Win11, apps vulnerables)
  → Ejecución monitorizada 2-5 min
  → Veredicto: Clean / Suspicious / Malicious
  → Informe con IOCs extraídos

Se invoca para: adjuntos de email sospechosos, ficheros descargados detectados por sensor de red, envíos manuales de analistas, ficheros que Real Protect clasifica como sospechosos.

El informe incluye: veredicto con confianza, process tree completo, network IOCs (IPs, dominios), file IOCs (hashes), registry (persistencia), mapeo MITRE, intentos de evasión de sandbox detectados.

Threat hunting con Helix

Queries de hunting frecuentes:

PowerShell encoded:
  process_name:"powershell.exe" AND 
  process_cmdline:("-enc" OR "-encodedcommand")

Conexiones nocturnas a IPs no categorizadas:
  event_type:"network_connection" AND 
  NOT dst_ip_category:("CDN" OR "SaaS") AND
  event_time:[22:00 TO 06:00]

Acceso a LSASS por procesos no estándar:
  target_process:"lsass.exe" AND 
  NOT source_process:("csrss.exe" OR "svchost.exe")

Lateral movement via WMI:
  parent_process:"WmiPrvSE.exe" AND
  process_name:("cmd.exe" OR "powershell.exe")

Cuando se publica un informe de amenazas: extrae IOCs, busca retroactivamente en Helix, busca TTPs (persisten más que IOCs), si hay matches inicia investigación con Storyline.

Automatización con playbooks

Respuesta a ransomware

Trigger: Real Protect tag "ransomware" AND severity >= High

Auto: Contain Host, Kill proceso, sweep de hash en endpoints,
      bloquear hash y C2 en política global

Aprobación: restaurar desde shadow copies, forzar cambio 
            de password, notificar equipo IR

Auto: generar informe, crear ticket, enviar IOCs al SIEM

Phishing confirmado

Trigger: Alerta EX con veredicto MVX "Malicious"

Auto: eliminar email de todos los buzones (clawback),
      bloquear remitente, extraer IOCs

Auto: buscar IOCs en endpoints, buscar URL en proxy

Condicional: si endpoint afectado, Storyline + Contain Host

Manual: notificar usuarios, actualizar reglas

Cobertura MITRE ATT&CK

Táctica	Cobertura	Fuente principal
Initial Access	Alta	Email (EX) + Network (NX)
Execution	Alta	Endpoint (ENS) + Real Protect
Persistence	Alta	ENS telemetría registro/ficheros
Defense Evasion	Media-Alta	Real Protect + MVX
Credential Access	Alta	ENS monitorización LSASS
Lateral Movement	Media	NX + ENS
Exfiltration	Media-Alta	NX + DLP
Impact	Alta	ENS + Real Protect (ransomware)

Gaps típicos y compensaciones: RDP legítimo (correlacionar logins inusuales), data staging en memoria (monitorizar uso de memoria anómalo), LOLBins (reglas custom para certutil, mshta, regsvr32), supply chain (baseline de software + alertar actualizaciones fuera de ventana).

Consejos para analistas

Configuración de consola. Personaliza filtros del Investigation Dashboard. Configura notificaciones para alertas Critical. Crea vistas guardadas. Familiarízate con la sintaxis de Helix. Integra con sistema de ticketing.

Durante la investigación. Usa Storyline como punto de partida, no como conclusión. Verifica veredictos ML con análisis manual. Si MVX da "Suspicious" (no "Malicious"), revisa el informe completo. Correlaciona fuentes (email + endpoint + red). Documenta el timeline mientras investigas.

Errores comunes:

Confiar ciegamente en veredictos automáticos
  → Verificar con contexto

Investigar alertas aisladas sin ver Storyline
  → Siempre expandir la cadena completa

Contener sin documentar primero
  → Capturar estado antes de actuar

No buscar en otros endpoints tras detectar malware
  → Sweep de IOCs en toda la organización

Ignorar alertas media repetitivas
  → Pueden indicar compromiso persistente

Fuentes y referencias

Trellix. "XDR Platform Documentation." https://docs.trellix.com/
MITRE Engenuity. "ATT&CK Evaluations." https://attackevals.mitre-engenuity.org/
FireEye/Mandiant. "MVX Engine Overview." https://www.mandiant.com/
Don Murdoch. "Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases." 2019.

Preguntas frecuentes

Libros recomendados

Blue Team Handbook

Amazon (enlace afiliado)