IOC-Abfrageerstellung für Microsoft Sentinel in Uncoder AI

[post-views]
Mai 23, 2025 · 2 min zu lesen
IOC-Abfrageerstellung für Microsoft Sentinel in Uncoder AI

Wie es funktioniert

1. IOC-Parsing aus Bedrohungsbericht

Uncoder AI identifiziert und extrahiert automatisch wichtige Beobachtungen aus dem Bedrohungsbericht, einschließlich:

  • Bösartige Domains wie:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Diese IOCs werden vom Angreifer für Phishing und zur Vorbereitung von Zugängen zu Opfer-Mailboxen genutzt.

Uncoder AI erkunden

2. KQL-Generierung kompatibel mit Sentinel

Auf der rechten Seite gibt Uncoder AI eine Microsoft Sentinel-Suchabfrage unter Verwendung des search Operators aus:

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     oder @"mail.zhblz.com" 

     oder @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Suchbereich: Dieses Muster durchsucht alle in Sentinel aufgenommenen Protokolle (z.B. DNS, Proxy, Firewall, Defender, etc.).
  • Verwendung der @““ Syntax: Dies stellt sicher, dass Sonderzeichen in Domainnamen korrekt geparst und ohne Abfragefehler abgeglichen werden.

Warum es wertvoll ist

  • Sofort einsatzbereit: Analysten können diese Abfrage direkt in Microsoft Sentinel’s Logs-Arbeitsbereich einfügen, um Bedrohungen zu suchen oder zu untersuchen.
  • Keine manuelle Formatierung: Lange oder verschleierte Domains werden sauber und sicher durch das Syntaxmodell von Uncoder AI verarbeitet.

Skalierbar: Leicht erweiterbar, um zusätzliche IOCs, Dateihashes oder IPs bei Bedarf einzuschließen.

Operationale Anwendungsfälle

Sicherheitsteams können diese Funktion verwenden, um:

  • Verbindungen zu von Angreifern kontrollierter Phishing-Infrastruktur zu identifizieren
  • Verhaltensweisen von Endgeräten zu korrelieren mit DNS-Abfragen oder Webzugriffsprotokollen
  • Schnell von Bedrohungsinformationen zu Erkennung wechseln, um die Verweildauer zu reduzieren

Ob bei der Reaktion auf eine Phishing-Warnung oder bei der proaktiven Jagd nach APT-Aktivitäten, diese Funktion hilft SOC-Teams, in Sekundenschnelle von der Analyse zur Erkennung zu wechseln.

Uncoder AI erkunden

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge