Uncoder CTI: Schritt-für-Schritt-Anleitung
Inhaltsverzeichnis:
SOC Prime freut sich, bekanntgeben zu können, dass Uncoder CTI, eingeführt mit der Veröffentlichung der SOC Prime Plattform für kollaborative Cyberabwehr, jetzt zur öffentlichen Nutzung verfügbar ist unter https://cti.uncoder.io/. Ab sofort können Bedrohungsanalysten und Threat Hunter, unabhängig von ihrer Erfahrung im Bereich, ad-hoc IOC-basierte Bedrohungsjagden mit Uncoder CTI ausprobieren. Die öffentliche Uncoder CTI-Version zur sofortigen Generation von IOC-Abfragen, die auf die Sicherheitsbedürfnisse des Teams zugeschnitten sind, ist nun zu 100 % kostenlos und erfordert keine Registrierung.
In diesem Blog finden Sie Anleitungen, wie Sie mit Uncoder CTI beginnen können, um Ihre Threat-Hunting-Erfahrung einfacher, schneller und unkomplizierter zu gestalten.
Uncoder CTI wurde vom SOC Prime Team entwickelt, um das Threat Hunting mit Cyber Threat Intelligence zu verschnellern und das IOC-Matching zur maximalen Leistung im angewendeten SIEM oder XDR zu vereinfachen. Wie Uncoder.IO, ermöglicht diese Innovation von SOC Prime die Unterstützung von verschiedenen Tools und kann über zahlreiche Sicherheitslösungen hinweg angewendet werden. Mit Unocoder CTI können Bedrohungsanalysten und Threat Hunter benutzerdefinierte Abfragen für über 15 SIEM- und XDR-Technologien generieren, darunter Microsoft Azure Sentinel, Chronicle Security, Elastic Stack und Splunk.
Wir kümmern uns um Ihre Privatsphäre
SOC Prime legt großen Wert auf den Schutz der Benutzerdaten, was sich auch in der Datenschutzerklärung von Uncoder CTI widerspiegelt, die für jeden sichtbar ist, der das Tool zuerst öffnet. SOC Prime speichert keine in Uncoder CTI hochgeladenen IOC-Daten und keine Daten werden mit Dritten geteilt. Der Zugriff auf IOC-Daten ist nur für Sicherheitsanbieter verfügbar, die jede spezielle Uncoder CTI-Sitzung ausführen.
Hochladen von IOCs
Fügen Sie eine Datei mit IOCs direkt in das Fenster auf der linken Seite ein oder importieren Sie sie, indem Sie auf die IOCs hochladen Schaltfläche klicken. Bitte wählen Sie die Dateien im zulässigen Format (CSV, JSON oder TXT).
Uncoder CTI beinhaltet bereits Standardeinstellungen, die Syntaxfehler und Parsing-Probleme durch automatische Ersetzung bestimmter Symbole und Schlüsselwörter verhindern. Teams können diese Einstellungen anpassen, indem sie auf die Mehr Schaltfläche klicken und die Option auswählen, bestimmte Zeichenkombinationen im zu parsenden Inhalt zu ersetzen:
- Alle auswählen — alle aufgelisteten Ersetzungsoptionen werden angewendet
- Ersetzen Sie (.) [.] {.} durch Punkt
- Ersetzen Sie hxxp durch http
- Schließen Sie private und reservierte Netzwerke aus (wie 0.0.0.0/8, 10.0.0.0/8, etc.)
Abfragegenerierungseinstellungen
Um die hinzugefügte IOC-Abfrage an Ihre Sicherheitsbedürfnisse anzupassen in der Abfragegenerierungseinstellungen, ergreifen Sie diese Schritte:
- Wählen Sie die IOC-Typen aus, die in Ihrer Abfrage verwendet werden sollen (IP, Hash, Domain oder URL).
- Wählen Sie den Hashtyp aus, falls erforderlich (MD5, SHA-1, SHA-256, SHA-512).
- Wählen Sie das SIEM oder XDR, in dem Sie die Abfrage ausführen möchten.
- Optional können Sie das benutzerdefinierte IOC-Feldmapping erstellen, um die Standardparameter der verwendeten Technologie an Ihr spezifisches Datenschema anzupassen.
- Verwenden Sie einen Schieberegler, um die Anzahl der IOCs pro Abfrage festzulegen.
- Optional können Sie Ausnahmen hinzufügen um bestimmte IOCs aus Ihren Abfragen auszuschließen und die Anzahl der Fehlalarme zu verringern. Zum Beispiel können Sie hier 8.8.8.8 IP, private Subnetze oder andere typische CTI-Berichtsfehler eingeben.
- Zusätzlich können Sie die Quell-IP in Ihre Abfrage mit dem „OR“-Operator einbeziehen, indem Sie das entsprechende Kontrollkästchen auswählen.
- Klicken Sie auf die Generieren Schaltfläche.
|
Hinweis: Um ein neues IOC-Feldmapping-Profil zu konfigurieren, müssen Sie sich für die SOC Prime Plattform registrieren oder sich mit Ihrem bestehenden Konto anmelden. |
Eintauchen, um in Ihrem SIEM oder XDR zu jagen
Die generierte benutzerdefinierte IOC-Abfrage wird unten angezeigt. Bedrohungsanalysten und Threat Hunter können eine Abfrage in der ausgewählten Umgebung durchführen, indem sie diese kopieren und dann direkt in das SIEM- oder XDR-Instanz einfügen.
Alternativ ermöglicht Uncoder CTI das automatische Senden von Abfragen an die verwendete Sicherheitslösung.
|
Hinweis: Um diese Funktion zu nutzen, müssen sich Sicherheitsanbieter bei der SOC Prime Plattform anmelden oder einloggen und die entsprechende API-Umgebung unter Verwendung der Plattform-Umgebungen Einstellungen konfigurieren. |
Wählen Sie aus, wie Sie die generierte Hunting-Abfrage mit einer der Aktionsschaltflächen übernehmen möchten, die angezeigt werden, wenn Sie über den Abfragecode schweben.
Das war’s, Sie sind bereit zur Jagd in der ausgewählten Abfrageplattform.
Die öffentliche Version unter https://cti.uncoder.io/ ist der einfachste und schnellste Weg, um mit Uncoder CTI zu beginnen und Abfragen auszuführen, die keine fortgeschrittene Feinabstimmung erfordern. Für eine aufschlussreichere Threat-Hunting-Erfahrung, die erweiterte Uncoder CTI-Funktionen wie benutzerdefiniertes IOC-Mapping und automatisierte Suche in Ihrem SIEM oder XDR nutzt, treten Sie der SOC Prime Plattform bei und erhalten Zugang zu über 130.000 Erkennungen zur Bedrohungserkennung und Bedrohungsjagd. Sehen Sie sich die Übersicht von Uncoder CTI an, um mehr über die intelligenten Jagdfähigkeiten des Tools zu erfahren.
Treten Sie der SOC Prime Plattform bei Probieren Sie CTI.Uncoder.IO
