IOC-zu-Query-Konvertierung für SentinelOne in Uncoder AI

SOC Prime Plattform

Mai 27, 2025

2 min zu lesen

IOC-zu-Query-Konvertierung für SentinelOne in Uncoder AI

Steven Edwards
Steven Edwards Analyst für Bedrohungserkennung

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Inhaltsverzeichnis

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wie es funktioniert

1. IOC-Extraktion aus dem Bedrohungsbericht

Uncoder AI analysiert und kategorisiert automatisch Indikatoren aus dem Vorfallbericht (links), darunter:

  • Bösartige Domains, wie zum Beispiel:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Diese Domains sind mit Phishing-Dokumenten, gefälschten Anmeldeportalen und Datenexfiltrationsendpunkten verbunden.

Entdecken Sie Uncoder AI

2. Kompatible Abfrageerstellung mit SentinelOne

Rechts gibt Uncoder AI eine SentinelOne-Ereignisabfrage unter Verwendung der DNS in contains anycase Syntax aus:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operator: contains anycase garantiert, dass die Erkennung nicht zwischen Groß- und Kleinschreibung unterscheidet und verschiedene DNS-Log-Variationen behandelt.
  • Feld: DNS zielt auf Auflösungsereignisse ab und ist ideal, um Domainabfragen zu entlarven, die mit Malware oder Phishing-Links verbunden sind.

Anwendungsfall: Untersuchen Sie DNS-Abfragen, die von powershell.exe , browser.ps1 , oder zapit.exe .

Warum es nützlich ist

  • Kein Formatierungsaufwand: Lange Subdomain-Ketten werden automatisch für die korrekte Übereinstimmung formatiert.
  • Sofortige IOC-Bereitstellung: Analysten können die Abfrage direkt in SentinelOne ausführen, um infizierte Hosts oder Beaconing-Verhalten zu identifizieren.

Hohes Signal-Rausch-Verhältnis: Konzentriert sich nur auf von Angreifern genutzte Infrastruktur und minimiert Fehlalarme.

Operative Vorteile

Für SentinelOne-Benutzer ermöglicht diese Funktion:

  • Schnelleres Threat Hunting
     Keine Notwendigkeit, Domains-Abfragen manuell zu erstellen – Uncoder AI erledigt es aus jedem Bedrohungsbericht.
  • Sofortige IOC-Durchsetzung
     Blockieren oder alarmieren Sie bei DNS-Abfragen, die mit hochsicherer APT-Infrastruktur übereinstimmen.

SOC-Effizienz
 Beschleunigt die Reaktionszeit, indem Ratespiel eliminiert und der Aufwand für das Schreiben von Abfragen reduziert wird.

Entdecken Sie Uncoder AI

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen 15 min zu lesen SOC Prime Plattform Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen by Daryna Olyniychuk Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards