Conversión de IOC a Consulta para SentinelOne en Uncoder AI

Plataforma SOC Prime

mayo 27, 2025

2 min de lectura

Conversión de IOC a Consulta para SentinelOne en Uncoder AI

Steven Edwards
Steven Edwards Escritor Técnico linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabla de Contenidos

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Cómo Funciona

1. Extracción de IOC del Informe de Amenazas

Uncoder AI analiza y categoriza automáticamente los indicadores del informe de incidentes (a la izquierda), incluyendo:

  • Dominios maliciosos, tales como:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Estos dominios están vinculados a documentos de phishing, portales de inicio de sesión falsificados y puntos de exfiltración de datos.

Explorar Uncoder AI

2. Generación de Consultas Compatibles con SentinelOne

A la derecha, Uncoder AI ofrece una consulta de eventos de SentinelOne utilizando la sintaxis DNS in contains anycase syntax:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operador: contains anycase asegura que la detección no sea sensible a mayúsculas, manejando variaciones en los registros DNS.
  • Campo: DNS apunta a eventos de resolución, ideal para descubrir búsquedas de dominios ligadas a malware o enlaces de phishing.

Caso de uso: Investigar consultas DNS iniciadas por powershell.exe , browser.ps1 , o zapit.exe .

Por Qué es Útil

  • Esfuerzo cero de formato: Las cadenas de subdominios largas se formatean automáticamente para una coincidencia adecuada.
  • Implementación instantánea de IOC: Los analistas pueden ejecutar la consulta directamente en SentinelOne para identificar hosts infectados o comportamientos de beaconing.

Alta relación señal-ruido: Se enfoca solo en la infraestructura controlada por el atacante, minimizando falsos positivos.

Beneficios Operacionales

Para los usuarios de SentinelOne, esta función permite:

  • Caza de Amenazas Más Rápida
     No es necesario construir consultas de dominio manualmente — Uncoder AI lo hace desde cualquier informe de amenazas.
  • Aplicación Inmediata de IOC
     Bloquear o alertar sobre consultas DNS que coincidan con infraestructuras APT de alta confianza.

Eficiencia del SOC
 Acelera el tiempo de respuesta al eliminar las conjeturas y reducir el esfuerzo de escritura de consultas.

Explorar Uncoder AI

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Plataforma SOC Prime Articles

Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards Convertir reglas Sigma DNS a Cortex XSIAM con Uncoder AI 2 min de lectura Plataforma SOC Prime Convertir reglas Sigma DNS a Cortex XSIAM con Uncoder AI by Steven Edwards