IOC-zu-Abfrage-Generierung für Google SecOps (Chronicle) in Uncoder AI

SOC Prime Plattform

Mai 23, 2025

2 min zu lesen

IOC-zu-Abfrage-Generierung für Google SecOps (Chronicle) in Uncoder AI

Steven Edwards
Steven Edwards Analyst für Bedrohungserkennung

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Inhaltsverzeichnis

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wie es funktioniert

1. IOC-Extraktion aus Bedrohungsberichten

Uncoder AI analysiert automatisch strukturierte Bedrohungsberichte, um Folgendes zu extrahieren:

  • Domains und Subdomains (z. B., mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URLs und Pfade von Phishing- und Schadsoftware-Übertragungsservern
  • Zugehörige IPs, Hashes und Dateinamen (links zu sehen)

Dadurch wird erheblicher manueller Aufwand im Vergleich zur Kopie und Normalisierung von IOCs aus mehreren Quellen eingespart.

Erkunden Sie Uncoder AI

2. Automatische Formatierung von UDM-Abfragen

Im rechten Bereich gibt Uncoder AI eine Google SecOps-fähige Abfrage unter Verwendung des UDM-Felds target.hostname, aus, die den extrahierten Domains entspricht:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Diese Domains sind mit der Infrastruktur der Angreifer, Phishing-Seiten oder C2-Kommunikationsendpunkten verbunden.

Dieses Format kann sofort in Google SecOps Search to:

  • genutzt werden, um vorherige DNS-Auflösungen oder Netzwerkverbindungen zu suchen
  • Erstellung von Erkennungsregeln oder benutzerdefinierten Dashboards
  • Untersuchung verdächtiger Aktivitäten basierend auf Domain-Beobachtungen

Warum es wertvoll ist

  • Spart Zeit: Keine Notwendigkeit, IOCs-Listen manuell zu formatieren – Domain-Werte werden automatisch in gültige Abfragesyntax eingefügt
  • Reduziert Fehler: Die korrekte Verwendung von UDM-Feldnamen sorgt für Kompatibilität mit der Erkennungs-Engine von Chronicle
  • Sofort umsetzbar: Sicherheitsteams können in Sekundenschnelle von einem Bedrohungsbericht zu einer tatsächlichen Telemetriesuche wechseln

Betriebliche Anwendungsfälle

Sicherheitsanalysten und Threat Hunter können diese Funktion nutzen, um:

  • Erkennung von Phishing-Kampagnen-Antworten die mit gefälschten Google Docs oder OWA-Seiten verbunden sind
  • Überwachung des Datenverkehrs zu von Angreifern kontrollierter Infrastruktur die mit Identitätsdiebstahl verbunden ist
  • Reagieren auf Vorfälle mit vorab geprüften Domain-Übereinstimmungen über Endpoint- und Netzwerkprotokolle

Von zwischenablagebasierten Nutzlasten bis hin zu gefälschten Anmeldeportalen befähigt Uncoder AI Google SecOps-Teams, Bedrohungsinformationen sofort in strukturierte, hochpräzise Erkennungen zu verwandeln.

Erkunden Sie Uncoder AI

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen 15 min zu lesen SOC Prime Plattform Modellkontextprotokoll: Sicherheitsrisiken & Abhilfen by Daryna Olyniychuk Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards