Geração de Consulta de IOC para Microsoft Sentinel no Uncoder AI

Plataforma SOC Prime

Maio 23, 2025

2 min de leitura

Geração de Consulta de IOC para Microsoft Sentinel no Uncoder AI

Steven Edwards
Steven Edwards Analista de Detecção de Ameaças

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Como Funciona

1. Análise de IOC do Relatório de Ameaças

O Uncoder AI identifica e extrai automaticamente observáveis chave do relatório de ameaças, incluindo:

  • Domínios maliciosos como:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Esses IOCs são usados pelo adversário para phishing e acesso escalonado a caixas de correio das vítimas.

Explorar o Uncoder AI

2. Geração de KQL Compatível com Sentinel

À direita, o Uncoder AI fornece uma consulta de pesquisa do Microsoft Sentinel usando o search :

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     ou @"mail.zhblz.com" 

     ou @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Âmbito da Pesquisa: Este padrão busca em todos os logs ingeridos no Sentinel (por exemplo, DNS, proxy, firewall, Defender, etc.).
  • Uso de @”” sintaxe: Isso garante que caracteres especiais em nomes de domínio sejam devidamente analisados e correspondidos sem erros de consulta.

Por Que É Valioso

  • Instante operacional: Os analistas podem colar esta consulta diretamente no espaço de trabalho de Logs do Microsoft Sentinel para caça de ameaças ou investigação.
  • Sem formatação manual: Domínios longos ou ofuscados são tratados de maneira limpa e segura pelo modelo de sintaxe do Uncoder AI.

Escalável: Facilmente extensível para incluir IOCs adicionais, hashes de arquivos ou IPs se necessário.

Casos de Uso Operacional

As equipes de segurança podem usar este recurso para:

  • Identificar conexões com infraestrutura de phishing controlada por atacantes
  • Correlacionar comportamento de endpoint com consultas DNS ou logs de acesso à web
  • Mover rapidamente de inteligência de ameaças para detecção, reduzindo o tempo de permanência

Quer estejam respondendo a um alerta de phishing ou proativamente caçando atividade de APT, esta funcionalidade ajuda as equipes SOC a passarem da análise para a detecção em segundos.

Explorar o Uncoder AI

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Plataforma SOC Prime Articles

Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações 19 min de leitura Plataforma SOC Prime Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações by Daryna Olyniychuk Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI 2 min de leitura Plataforma SOC Prime Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI by Steven Edwards De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI 2 min de leitura Plataforma SOC Prime De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI by Steven Edwards