Zip-Archiv- und C2-Domain-Erkennung in Microsoft Sentinel über Uncoder AI

[post-views]
Juni 04, 2025 · 2 min zu lesen
Zip-Archiv- und C2-Domain-Erkennung in Microsoft Sentinel über Uncoder AI

Wie es funktioniert

Dieses Uncoder AI-Feature generiert eine breit angelegte KQL-Detektionsabfrage für Microsoft Sentinel, basierend auf Indikatoren von CERT-UA#14045 (DarkCrystal RAT). Die KI verarbeitet einen Bedrohungsbericht und erstellt eine Abfrage, um Protokolle nach Zeichenfolgen wie z.B. zu durchsuchen:

  • "Розпорядження.zip" – ein verdächtiger Dateiname in ukrainischer Sprache, der zur Tarnung von Malware verwendet wird
  • "imgurl.ir" – eine bekannte bösartige Domain, die mit Kommando- und Kontrollinfrastrukturen in Verbindung steht

Die Abfragesyntax:

search (@"Розпорядження.zip" or @"imgurl.ir")

verwendet den search Operator, um Erwähnungen dieser IOCs in allen verfügbaren Datentabellen und Feldern in Microsoft Sentinel zu identifizieren.

Die Abfrage wird unter Verwendung von KQL-String-Literalen im Wortlaut (@““) erstellt, um ein genaues Muster-Matching ohne Escape-Sequenzen sicherzustellen — entscheidend für mehrsprachige oder verschleierte Dateinamen.

Erforschen Sie Uncoder AI

Warum es innovativ ist

Anstatt sich auf manuelle IOC-Integration oder die Erstellung feldspezifischer Logik zu verlassen, verwendet Uncoder AI NLP und LLMs um hochgradig vertrauenswürdige Indikatoren aus rohen Bedrohungsberichten zu extrahieren. Anschließend wird in kürzester Zeit eine Abfrage erstellt durch Anwendung von:

  • Korrekte KQL-Formatierung (z. B. wörtliche String-Syntax)
  • Logische Struktur unter Verwendung des or Operators für die Abdeckung mehrerer Indikatoren
  • Microsoft Sentinel Syntax-Kompatibilität ohne Benutzereingriff

Dies reduziert den Aufwand erheblich für Analysten, die vorher Bedrohungsinformationen selbst in gültige Sentinel-Abfragen umwandeln mussten.

Operationelle Wert / Ergebnisse / Vorteile

Breite IOC-Erkennung

Die Abfrage ermöglicht schnelles Triage für Umgebungen, die möglicherweise von DarkCrystal RAT-Aktivität betroffen sind. Sie kann Protokollspuren erkennen von:

  • Archivdownloads und anderen Ereignistypen, die "Розпорядження.zip"
  • DNS-Auflösungen oder HTTP-Verkehr enthalten, die "imgurl.ir"

Beschleunigte Detection-Engineering

Uncoder AI beseitigt die Unsicherheit bei der Abfrageerstellung und stellt sicher:

  • Detektionslogik ist sofort innerhalb von Microsoft Sentinel verwendbar
  • Indikatoren aus multilingualen oder verschleierten Nutzlasten gehen bei der Übersetzung nicht verloren

Verbesserung der Effizienz von SOCs

Durch die Möglichkeit, direkt kopieren und in die Abfrage einfügen zu können, ermöglicht es die KI-gesteuerte Ausgabe, die Reaktion auf Vorfälle, die Anreicherung und das Schreiben von Detektionslogik zu beschleunigen.

Erforschen Sie Uncoder AI

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge