Wie Es Funktioniert Dieses Uncoder-AI-Feature ermöglicht die sofortige Erstellung von Erkennungsabfragen für VMware Carbon Black Cloud mit strukturierter Bedrohungsintelligenz, wie sie z. B. von CERT-UA#12463 stammt. In diesem Fall verarbeitet Uncoder AI Indikatoren, die mit der UAC-0099-Aktivität verbunden sind, und formatiert sie zu einer syntaktisch korrekten Domänenabfrage. Analysierte Bedrohungsdaten Der Quellbedrohungsbericht enthält Domänennamen, die in […]
Wie es funktioniert Dieses Uncoder AI-Feature generiert eine breit angelegte KQL-Detektionsabfrage für Microsoft Sentinel, basierend auf Indikatoren von CERT-UA#14045 (DarkCrystal RAT). Die KI verarbeitet einen Bedrohungsbericht und erstellt eine Abfrage, um Protokolle nach Zeichenfolgen wie z.B. zu durchsuchen: „Розпорядження.zip“ – ein verdächtiger Dateiname in ukrainischer Sprache, der zur Tarnung von Malware verwendet wird „imgurl.ir“ – […]
Wie es funktioniert Diese Funktion in Uncoder AI übernimmt strukturierte IOCs aus Bedrohungsberichten — in diesem Fall Dutzende böswilliger Domains, die mit Credential Phishing verbunden sind (z.B. gefälschte Google-, Microsoft- und Telegram-Anmeldeportale). Das Tool verarbeitet und strukturiert die Daten, um automatisch eine Splunk-kompatible Erkennungsabfrage auszugeben. Domain-basierte Filterung mit dest_host Die Ausgabesuche verwendet eine Sequenz von […]
Wie es funktioniert 1. IOC-Extraktion Uncoder AI scannt den Bedrohungsbericht (linkes Fenster) und identifiziert bösartige Netzwerk-Infrastrukturen, die zugeordnet sind mit: HATVIBE und CHERRYSYSPY Loaders Verdächtige Kommunikations- und Command-and-Control-Domains wie: trust-certificate.net namecheap.com enrollmenttdm.com n247.com mtw.ru Erkunden Sie Uncoder AI Diese Domains sind zugeordnet zu: Falsche Zertifikatsköder Python-basierte Loader Bösartige HTA-Stager Anmeldeinformationen-Diebstahl durch Phishing oder Post-Exploitation-Skripte 2. […]
Wie es funktioniert 1. IOC-Extraktion aus dem Bedrohungsbericht Uncoder AI analysiert und kategorisiert automatisch Indikatoren aus dem Vorfallbericht (links), darunter: Bösartige Domains, wie zum Beispiel: mail.zhblz.com docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com Diese Domains sind mit Phishing-Dokumenten, gefälschten Anmeldeportalen und Datenexfiltrationsendpunkten verbunden. Entdecken Sie Uncoder AI 2. Kompatible Abfrageerstellung mit SentinelOne Rechts gibt Uncoder AI eine SentinelOne-Ereignisabfrage unter Verwendung […]
Wie es funktioniert 1. IOC-Parsing aus Bedrohungsbericht Uncoder AI identifiziert und extrahiert automatisch wichtige Beobachtungen aus dem Bedrohungsbericht, einschließlich: Bösartige Domains wie: docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com mail.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com Diese IOCs werden vom Angreifer für Phishing und zur Vorbereitung von Zugängen zu Opfer-Mailboxen genutzt. Uncoder AI erkunden 2. KQL-Generierung kompatibel mit Sentinel Auf der rechten Seite gibt Uncoder AI […]
Wie es funktioniert 1. IOC-Extraktion aus Bedrohungsberichten Uncoder AI analysiert automatisch strukturierte Bedrohungsberichte, um Folgendes zu extrahieren: Domains und Subdomains (z. B., mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…) URLs und Pfade von Phishing- und Schadsoftware-Übertragungsservern Zugehörige IPs, Hashes und Dateinamen (links zu sehen) Dadurch wird erheblicher manueller Aufwand im Vergleich zur Kopie und Normalisierung von IOCs aus mehreren Quellen […]
Die Identifizierung unbefugten Zugriffs auf sensible Daten – insbesondere Passwörter – bleibt eine kritische Herausforderung für Cybersicherheitsteams. Wenn ein solcher Zugriff über legitime Werkzeuge wie Notepad erfolgt, wird die Sichtbarkeit zur Herausforderung. Aber mit Uncoder AIs Vollständiger Zusammenfassung Funktion können Sicherheitsanalysten sofort die Logik hinter den Erkennungsregeln verstehen, die genau dieser Art von Bedrohung gelten. […]
Gegner missbrauchen häufig vertrauenswürdige Werkzeuge wie curl.exe , um Datenverkehr durch SOCKS-Proxys zu leiten und sogar .onion Domains zu erreichen. Ob zur Datenexfiltration oder zur Kommando-und-Kontroll-Kommunikation, solche Aktivitäten bleiben oft unbemerkt – es sei denn, Sie detektieren sie explizit. Genau das ermöglicht CrowdStrike Endpoint Security Query Language Teams. Aber wenn die Logik komplex wird, profitieren […]
Eine der fortschrittlicheren Taktiken in den Angriffsplaybooks ist das Manipulieren von Ereignisprotokollkonfigurationen, um Spuren eines Kompromisses zu löschen. Solche Versuche zu erkennen über Änderungen der Windows-Registry ist komplex – oft erfordern sie detaillierte Splunk-Abfragen, die nach Registrierungsschlüsseln und Berechtigungen filtern. Um diese Abfragen schnell zu verstehen, wenden sich Analysten an die KI-generierte Entscheidungsbaum-Funktion von Uncoder […]