Generación de Consultas IOC para Microsoft Sentinel en Uncoder AI

Plataforma SOC Prime

mayo 23, 2025

2 min de lectura

Generación de Consultas IOC para Microsoft Sentinel en Uncoder AI

Steven Edwards
Steven Edwards Analista de Detección de Amenazas

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabla de Contenidos

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Cómo funciona

1. Análisis de IOCs desde el informe de amenazas

Uncoder AI identifica y extrae automáticamente los observables clave del informe de amenazas, incluyendo:

  • Dominios maliciosos como:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Estos IOCs son utilizados por el adversario para phishing y para preparar el acceso a los buzones de correo de las víctimas.

Explorar Uncoder AI

2. Generación de KQL compatible con Sentinel

A la derecha, Uncoder AI proporciona una consulta de búsqueda de Microsoft Sentinel utilizando el search operador:

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     o @"mail.zhblz.com" 

     o @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Ámbito de búsqueda: Este patrón busca a través de todos los registros ingeridos en Sentinel (por ejemplo, DNS, proxy, firewall, Defender, etc.).
  • Uso de @»» sintaxis: Esto asegura que los caracteres especiales en nombres de dominio sean correctamente analizados y emparejados sin errores de consulta.

Por qué es valioso

  • Operativo al instante: Los analistas pueden pegar esta consulta directamente en el espacio de trabajo de Logs de Microsoft Sentinel para búsqueda de amenazas o investigación.
  • Sin formateo manual: Los dominios largos u ofuscados son manejados de manera limpia y segura por el modelo de sintaxis de Uncoder AI.

Escalable: Fácilmente extensible para incluir IOCs adicionales, hashes de archivos o IPs si es necesario.

Casos de uso operativos

Los equipos de seguridad pueden utilizar esta función para:

  • Identificar conexiones a infraestructura de phishing controlada por los atacantes
  • Correlacionar el comportamiento del endpoint con consultas DNS o registros de acceso web
  • Rápidamente pasar de intel de amenazas a detección, reduciendo el tiempo de permanencia

Ya sea respondiendo a una alerta de phishing o buscando proactivamente actividad APT, esta función ayuda a los equipos SOC a pasar del análisis a la detección en segundos.

Explorar Uncoder AI

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Plataforma SOC Prime Articles

Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones 16 min de lectura Plataforma SOC Prime Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones by Daryna Olyniychuk Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards