Conversão de IOC para Consulta no SentinelOne com Uncoder AI

Plataforma SOC Prime

Maio 27, 2025

2 min de leitura

Conversão de IOC para Consulta no SentinelOne com Uncoder AI

Steven Edwards
Steven Edwards Threat Detection Analyst linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Como Funciona

1. Extração de IOC do Relatório de Ameaças

Uncoder AI analisa e categoriza automaticamente indicadores do relatório de incidentes (à esquerda), incluindo:

  • Domínios maliciosos, tais como:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Esses domínios estão ligados a documentos de phishing, portais de login falsificados e endpoints de exfiltração de dados.

Explorar Uncoder AI

2. Geração de Consulta Compatível com SentinelOne

À direita, Uncoder AI gera uma consulta de Evento do SentinelOne usando a sintaxe DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operador: contains anycase assegura que a detecção não depende de maiúsculas ou minúsculas, lidando com variações de logs DNS.
  • Campo: DNS aponta para eventos de resolução, ideal para revelar buscas de domínios ligadas a malware ou links de phishing.

Caso de uso: Investigue consultas DNS iniciadas por powershell.exe , browser.ps1 , ou zapit.exe .

Por que é Útil

  • Zero esforço de formatação: Cadeias longas de subdomínios são auto formatadas para correspondência adequada.
  • Implantação instantânea de IOC: Os analistas podem executar a consulta diretamente no SentinelOne para identificar hosts infectados ou comportamento de beaconing.

Alta relação sinal-ruído: Foca apenas em infraestrutura controlada pelo atacante, minimizando falsos positivos.

Benefícios Operacionais

Para usuários do SentinelOne, este recurso permite:

  • Caça a Ameaças mais Rápida
     Não é necessário construir manualmente consultas de domínio — Uncoder AI faz isso a partir de qualquer relatório de ameaça.
  • Aplicação imediata de IOC
     Bloquear ou alertar sobre consultas DNS que correspondem à infraestrutura APT de alta confiança.

Eficiência da SOC
 Acelera o tempo de resposta eliminando suposições e reduzindo o esforço de escrita de consultas.

Explorar Uncoder AI

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Plataforma SOC Prime Articles

Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI 2 min de leitura Plataforma SOC Prime Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI by Steven Edwards De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI 2 min de leitura Plataforma SOC Prime De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI by Steven Edwards Converter Regras Sigma DNS para Cortex XSIAM com Uncoder AI 2 min de leitura Plataforma SOC Prime Converter Regras Sigma DNS para Cortex XSIAM com Uncoder AI by Steven Edwards