DNS-Bedrohungen in Google SecOps erkennen: Katz Stealer Regelkonvertierung mit Uncoder AI

SOC Prime Plattform

Juni 12, 2025

2 min zu lesen

DNS-Bedrohungen in Google SecOps erkennen: Katz Stealer Regelkonvertierung mit Uncoder AI

Steven Edwards
Steven Edwards Analyst für Bedrohungserkennung

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Inhaltsverzeichnis

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wie es funktioniert

Diese Funktion ermöglicht es Erkennungsingenieuren, Sigma-Regeln nahtlos in Google SecOps-Abfragesprache (UDM)zu konvertieren. Auf dem Screenshot ist die ursprüngliche Sigma-Regel darauf ausgelegt, DNS-Anfragen an bekannte Katz Stealer Domänen zu erkennen — eine mit Datendiebstahl und Command-and-Control-Aktivitäten verbundene Malware-Familie.

Linkes Panel – Sigma-Regel:

Die Sigma-Logik umfasst:

  • DNS-Kategorie Logquelle
  • Erkennungsbedingungen Anpassung an vier bekannte Domänen, die mit Katz Stealer verbunden sind (katz-panel.com , katzstealer.com, usw.)
  • A hohes Schweregradniveau, was auf wahrscheinlich bösartiges Verhalten hinweist

Erkunden Sie Uncoder AI

Rechtes Panel – Google SecOps-Ausgabe:

Uncoder AI erzeugt automatisch eine äquivalente UDM-Abfrage, die die Sigma-Erkennungslogik in plattform-spezifische Syntax übersetzt:

{target.url=/.*katz-panel\.com.*/ nocase or ...}

Dieses Muster verwendet Regex-Matching mit nocase Modifikatoren über die identifizierten Domänen, angepasst an das UDM-Schema von Google. Die Transformation stellt sicher, dass die ursprüngliche Erkennungsabsicht mit einer Syntax bewahrt wird, die sofort in Google SecOps verwendbar ist.

Warum es innovativ ist

Traditionell muss Erkennungsinhalt manuell für jede SIEM/XDR-Plattform umgeschrieben werden — ein mühsamer und fehleranfälliger Prozess, besonders bei der Handhabung von DNS-Observables und regulären Ausdrücken.

Uncoder AI löst dies, indem es:

  • Sigma-Felder automatisch auf UDM-Feldnamen abbildet (z.B. query|containstarget.url)
  • Anpassung der Matching-Logik mit korrekten Regex-Strukturen und Groß-/Kleinschreibungsregeln
  • Sicherstellung der Erkennungsabdeckungstreue über Plattformen hinweg

Dies ermöglicht es, Bedrohungserkennung schnell zu skalieren, ohne anbieter-spezifischen Programmieraufwand.

Operativer Wert

Für SOC-Teams und Erkennungsingenieure:

  • Zeitersparnis: Verwandeln Sie wiederverwendbare Sigma-Erkennungen sofort in UDM-Syntax.
  • Bedrohungsabdeckung: Stellen Sie DNS-basierte Erkennungen für Katz Stealer in cloud-nativen Google-Umgebungen bereit.
  • Präzision und Konsistenz: Stellen Sie die Übersetzungsgenauigkeit sicher, während die Integrität der Erkennungslogik erhalten bleibt.
  • Plattform-Erweiterbarkeit: Erstellen Sie Erkennungen einmal, operationalisieren Sie sie überall.

Diese Funktion ermöglicht es Sicherheitsteams, offene Erkennungselemente in umsetzbare UDM-Abfragen zu verwandeln — die Reaktionszeit zu verkürzen und die Sichtbarkeit in Google SecOps-Einsätzen zu verbessern.

Erkunden Sie Uncoder AI

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen 15 min zu lesen SOC Prime Plattform Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen by Daryna Olyniychuk Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards