Conversión de IOC a Consulta para SentinelOne en Uncoder AI

[post-views]
mayo 27, 2025 · 2 min de lectura
Conversión de IOC a Consulta para SentinelOne en Uncoder AI

Cómo Funciona

1. Extracción de IOC del Informe de Amenazas

Uncoder AI analiza y categoriza automáticamente los indicadores del informe de incidentes (a la izquierda), incluyendo:

  • Dominios maliciosos, tales como:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Estos dominios están vinculados a documentos de phishing, portales de inicio de sesión falsificados y puntos de exfiltración de datos.

Explorar Uncoder AI

2. Generación de Consultas Compatibles con SentinelOne

A la derecha, Uncoder AI ofrece una consulta de eventos de SentinelOne utilizando la sintaxis DNS in contains anycase syntax:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operador: contains anycase asegura que la detección no sea sensible a mayúsculas, manejando variaciones en los registros DNS.
  • Campo: DNS apunta a eventos de resolución, ideal para descubrir búsquedas de dominios ligadas a malware o enlaces de phishing.

Caso de uso: Investigar consultas DNS iniciadas por powershell.exe , browser.ps1 , o zapit.exe .

Por Qué es Útil

  • Esfuerzo cero de formato: Las cadenas de subdominios largas se formatean automáticamente para una coincidencia adecuada.
  • Implementación instantánea de IOC: Los analistas pueden ejecutar la consulta directamente en SentinelOne para identificar hosts infectados o comportamientos de beaconing.

Alta relación señal-ruido: Se enfoca solo en la infraestructura controlada por el atacante, minimizando falsos positivos.

Beneficios Operacionales

Para los usuarios de SentinelOne, esta función permite:

  • Caza de Amenazas Más Rápida
     No es necesario construir consultas de dominio manualmente — Uncoder AI lo hace desde cualquier informe de amenazas.
  • Aplicación Inmediata de IOC
     Bloquear o alertar sobre consultas DNS que coincidan con infraestructuras APT de alta confianza.

Eficiencia del SOC
 Acelera el tiempo de respuesta al eliminar las conjeturas y reducir el esfuerzo de escritura de consultas.

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards
Todas las noticias