Conversión de IOC a Consulta para SentinelOne en Uncoder AI

[post-views]
mayo 27, 2025 · 2 min de lectura
Conversión de IOC a Consulta para SentinelOne en Uncoder AI

Cómo Funciona

1. Extracción de IOC del Informe de Amenazas

Uncoder AI analiza y categoriza automáticamente los indicadores del informe de incidentes (a la izquierda), incluyendo:

  • Dominios maliciosos, tales como:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Estos dominios están vinculados a documentos de phishing, portales de inicio de sesión falsificados y puntos de exfiltración de datos.

Explorar Uncoder AI

2. Generación de Consultas Compatibles con SentinelOne

A la derecha, Uncoder AI ofrece una consulta de eventos de SentinelOne utilizando la sintaxis DNS in contains anycase syntax:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operador: contains anycase asegura que la detección no sea sensible a mayúsculas, manejando variaciones en los registros DNS.
  • Campo: DNS apunta a eventos de resolución, ideal para descubrir búsquedas de dominios ligadas a malware o enlaces de phishing.

Caso de uso: Investigar consultas DNS iniciadas por powershell.exe , browser.ps1 , o zapit.exe .

Por Qué es Útil

  • Esfuerzo cero de formato: Las cadenas de subdominios largas se formatean automáticamente para una coincidencia adecuada.
  • Implementación instantánea de IOC: Los analistas pueden ejecutar la consulta directamente en SentinelOne para identificar hosts infectados o comportamientos de beaconing.

Alta relación señal-ruido: Se enfoca solo en la infraestructura controlada por el atacante, minimizando falsos positivos.

Beneficios Operacionales

Para los usuarios de SentinelOne, esta función permite:

  • Caza de Amenazas Más Rápida
    No es necesario construir consultas de dominio manualmente — Uncoder AI lo hace desde cualquier informe de amenazas.
  • Aplicación Inmediata de IOC
    Bloquear o alertar sobre consultas DNS que coincidan con infraestructuras APT de alta confianza.

Eficiencia del SOC
Acelera el tiempo de respuesta al eliminar las conjeturas y reducir el esfuerzo de escritura de consultas.

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas