SOC Prime Plattform

Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI

Wie es funktioniert Die Erkennungslogik hier basiert auf der Überwachung der Nutzung des mknod Syscall, welches selten in legitimen Arbeitsabläufen genutzt wird, aber von Angreifern ausgenutzt werden kann, um: Gefälschte Block- oder Zeichen-Geräte zu erstellen Mit Kernel-Schnittstellen zu interagieren Dateisystemkontrollen zu umgehen oder Hintertüren zu etablieren Linkes Panel – Sigma-Regel: Logsource: auditd auf Linux Konzentriert […]

Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen

So funktioniert es Die angezeigte Sigma-Regel ist darauf ausgelegt, zu erkennen Notepad, das Dateien öffnet, deren Namen auf Passwortspeicherung hindeuten, was auf unbefugten Zugriff auf Anmeldedaten oder verdächtiges Verhalten auf Windows-Systemen hinweisen kann. Linkes Panel – Sigma-Regel: Sucht nach Erstellungsvorgängen von Prozessen, bei denen: Der übergeordnete Prozess ist explorer.exe Der untergeordnete Prozess ist notepad.exe Befehlszeile […]

Konvertieren Sie Sigma DNS-Regeln in Cortex XSIAM mit Uncoder AI

Wie es funktioniert Uncoder AI liest eine Sigma-Regel, die zum Erkennen entwickelt wurde DNS-Anfragen an bösartige Infrastrukturen, die von Katz Stealer-Malware verwendet werden, und übersetzt sie sofort in die native Syntax von Palo Alto Cortex XSIAM. Linkes Panel – Sigma-Erkennung: Zielt auf DNS-Anfragen zu spezifischen Katz Stealer-Domains ab (z. B., katz-panel.com , katzstealer.com) Verwendet das […]

DNS-Bedrohungen in Google SecOps erkennen: Katz Stealer Regelkonvertierung mit Uncoder AI

Wie es funktioniert Diese Funktion ermöglicht es Erkennungsingenieuren, Sigma-Regeln nahtlos in Google SecOps-Abfragesprache (UDM)zu konvertieren. Auf dem Screenshot ist die ursprüngliche Sigma-Regel darauf ausgelegt, DNS-Anfragen an bekannte Katz Stealer Domänen zu erkennen — eine mit Datendiebstahl und Command-and-Control-Aktivitäten verbundene Malware-Familie. Linkes Panel – Sigma-Regel: Die Sigma-Logik umfasst: DNS-Kategorie Logquelle Erkennungsbedingungen Anpassung an vier bekannte Domänen, […]

Plattformübergreifende Regelübersetzung: Von Sigma zu CrowdStrike mit Uncoder AI

So funktioniert es Uncoder AI nimmt strukturierte Erkennungsinhalte, die in Sigma, einem beliebten offenen Erkennungsregel-Format, geschrieben sind, und konvertiert sie automatisch in plattformspezifische Logik — in diesem Fall CrowdStrike Endpoint-Suchsyntax. Die Sigma-Regel beschreibt eine Technik, bei der Deno (eine sichere JavaScript-Laufzeitumgebung) potenziell bösartige DLLs über HTTP(S) direkt in Verzeichnisse wie AppData or Users. Linke Seite […]

KI-Validierung für Sentinel-Abfragen: Intelligenteres KQL mit Uncoder KI

Wie es funktioniert Diese Uncoder AI-Funktion analysiert und validiert automatisch Erkennungsabfragen, die für Microsoft Sentinel in der Kusto Query Language (KQL) geschrieben wurden. In diesem Beispiel ist die Eingabe eine Mehrfachbedingung Suche Abfrage, die darauf ausgelegt ist, Domainnamen zu identifizieren, die mit der SmokeLoader-Kampagne in Verbindung stehen (CERT-UA-Referenzen werden angezeigt). Das linke Panel zeigt die […]

IOC-Intelligenz zu Google SecOps: Automatisierte Umwandlung mit Uncoder AI

Wie es funktioniert Diese Uncoder AI-Funktion verarbeitet strukturierte Bedrohungsberichte, wie etwa im IOC-Format (Indicators of Compromise), und transformiert sie automatisch in umsetzbare Erkennungslogik. Der Screenshot zeigt: Linkes Panel: Ein klassischer Bedrohungsbericht unter der „COOKBOX“-Kampagne, der extrahierte Hashes, Domains, IPs, URLs und Registrierungsschlüssel zeigt, die mit bösartiger PowerShell-Aktivität verbunden sind. Rechtes Panel: Eine AI-generierte Erkennungsregel, die […]

IOC-zu-CSQL-Erkennung für Gamaredon-Domains

Wie es funktioniert Dieses Feature in Uncoder AI übersetzt komplexe Bedrohungsinformationen in strukturiertes CrowdStrike CSQL (CrowdStrike Search Query Language) und ermöglicht damit die sofortige Nutzung innerhalb der Falcon Endpoint Search. In diesem Beispiel beschreiben Indikatoren von CERT-UA#13738 eine Gamaredon (UAC-0173 / LITENKODER) Kampagne, die ZIP-Dateien und cloudbasierte Nutzlasten nutzt. Uncoder AI verarbeitet den Bericht und […]

KI-validierte Hostname-Filterung für Chronicle-Abfragen

Wie es funktioniert Diese Uncoder AI-Funktion zeigt ihre Fähigkeit, Chronicle UDM-Anfragen zu analysieren und zu validieren, die mehrere domänenbasierte Bedingungen beinhalten. In diesem Beispiel verarbeitet Uncoder AI eine Threat-Hunting-Anfrage, die mit Sandworm (UAC-0133) Aktivitäten verbunden ist, die auf eine Reihe von .sh and .so Domains abzielt. Die Plattform identifiziert automatisch, dass die Erkennungslogik einen feldbasierten […]

KI-unterstützte Domain-Erkennungslogik für Carbon Black in Uncoder AI

Wie Es Funktioniert Dieses Uncoder-AI-Feature ermöglicht die sofortige Erstellung von Erkennungsabfragen für VMware Carbon Black Cloud mit strukturierter Bedrohungsintelligenz, wie sie z. B. von CERT-UA#12463 stammt. In diesem Fall verarbeitet Uncoder AI Indikatoren, die mit der UAC-0099-Aktivität verbunden sind, und formatiert sie zu einer syntaktisch korrekten Domänenabfrage. Analysierte Bedrohungsdaten Der Quellbedrohungsbericht enthält Domänennamen, die in […]