Generación de Consultas IOC para Microsoft Sentinel en Uncoder AI

[post-views]
mayo 23, 2025 · 2 min de lectura
Generación de Consultas IOC para Microsoft Sentinel en Uncoder AI

Cómo funciona

1. Análisis de IOCs desde el informe de amenazas

Uncoder AI identifica y extrae automáticamente los observables clave del informe de amenazas, incluyendo:

  • Dominios maliciosos como:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Estos IOCs son utilizados por el adversario para phishing y para preparar el acceso a los buzones de correo de las víctimas.

Explorar Uncoder AI

2. Generación de KQL compatible con Sentinel

A la derecha, Uncoder AI proporciona una consulta de búsqueda de Microsoft Sentinel utilizando el search operador:

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     o @"mail.zhblz.com" 

     o @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Ámbito de búsqueda: Este patrón busca a través de todos los registros ingeridos en Sentinel (por ejemplo, DNS, proxy, firewall, Defender, etc.).
  • Uso de @»» sintaxis: Esto asegura que los caracteres especiales en nombres de dominio sean correctamente analizados y emparejados sin errores de consulta.

Por qué es valioso

  • Operativo al instante: Los analistas pueden pegar esta consulta directamente en el espacio de trabajo de Logs de Microsoft Sentinel para búsqueda de amenazas o investigación.
  • Sin formateo manual: Los dominios largos u ofuscados son manejados de manera limpia y segura por el modelo de sintaxis de Uncoder AI.

Escalable: Fácilmente extensible para incluir IOCs adicionales, hashes de archivos o IPs si es necesario.

Casos de uso operativos

Los equipos de seguridad pueden utilizar esta función para:

  • Identificar conexiones a infraestructura de phishing controlada por los atacantes
  • Correlacionar el comportamiento del endpoint con consultas DNS o registros de acceso web
  • Rápidamente pasar de intel de amenazas a detección, reduciendo el tiempo de permanencia

Ya sea respondiendo a una alerta de phishing o buscando proactivamente actividad APT, esta función ayuda a los equipos SOC a pasar del análisis a la detección en segundos.

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards
Todas las noticias