IOC-Abfrageerstellung für Microsoft Sentinel in Uncoder AI

SOC Prime Plattform

Mai 23, 2025

2 min zu lesen

IOC-Abfrageerstellung für Microsoft Sentinel in Uncoder AI

Steven Edwards
Steven Edwards Analyst für Bedrohungserkennung

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Inhaltsverzeichnis

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wie es funktioniert

1. IOC-Parsing aus Bedrohungsbericht

Uncoder AI identifiziert und extrahiert automatisch wichtige Beobachtungen aus dem Bedrohungsbericht, einschließlich:

  • Bösartige Domains wie:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Diese IOCs werden vom Angreifer für Phishing und zur Vorbereitung von Zugängen zu Opfer-Mailboxen genutzt.

Uncoder AI erkunden

2. KQL-Generierung kompatibel mit Sentinel

Auf der rechten Seite gibt Uncoder AI eine Microsoft Sentinel-Suchabfrage unter Verwendung des search Operators aus:

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     oder @"mail.zhblz.com" 

     oder @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Suchbereich: Dieses Muster durchsucht alle in Sentinel aufgenommenen Protokolle (z.B. DNS, Proxy, Firewall, Defender, etc.).
  • Verwendung der @““ Syntax: Dies stellt sicher, dass Sonderzeichen in Domainnamen korrekt geparst und ohne Abfragefehler abgeglichen werden.

Warum es wertvoll ist

  • Sofort einsatzbereit: Analysten können diese Abfrage direkt in Microsoft Sentinel’s Logs-Arbeitsbereich einfügen, um Bedrohungen zu suchen oder zu untersuchen.
  • Keine manuelle Formatierung: Lange oder verschleierte Domains werden sauber und sicher durch das Syntaxmodell von Uncoder AI verarbeitet.

Skalierbar: Leicht erweiterbar, um zusätzliche IOCs, Dateihashes oder IPs bei Bedarf einzuschließen.

Operationale Anwendungsfälle

Sicherheitsteams können diese Funktion verwenden, um:

  • Verbindungen zu von Angreifern kontrollierter Phishing-Infrastruktur zu identifizieren
  • Verhaltensweisen von Endgeräten zu korrelieren mit DNS-Abfragen oder Webzugriffsprotokollen
  • Schnell von Bedrohungsinformationen zu Erkennung wechseln, um die Verweildauer zu reduzieren

Ob bei der Reaktion auf eine Phishing-Warnung oder bei der proaktiven Jagd nach APT-Aktivitäten, diese Funktion hilft SOC-Teams, in Sekundenschnelle von der Analyse zur Erkennung zu wechseln.

Uncoder AI erkunden

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen 15 min zu lesen SOC Prime Plattform Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen by Daryna Olyniychuk Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards