Generación de IOC a Consultas para Google SecOps (Chronicle) en Uncoder AI

[post-views]
mayo 23, 2025 · 2 min de lectura
Generación de IOC a Consultas para Google SecOps (Chronicle) en Uncoder AI

Cómo Funciona

1. Extracción de IOC de Reportes de Amenazas

Uncoder AI analiza automáticamente los reportes de amenazas estructurados para extraer:

  • Dominios y subdominios (por ejemplo, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URLs y rutas de servidores de phishing y entrega de cargas útiles
  • IPs, hashes y nombres de archivos relacionados (vistos a la izquierda)

Esto ahorra un esfuerzo manual significativo en comparación con copiar y normalizar IOCs de múltiples fuentes.

Explore Uncoder AI

2. Generación Automática de Consultas UDM Formateadas

En el panel derecho, Uncoder AI produce una consulta lista para Google SecOps usando el campo UDM target.hostname, coincidiendo con los dominios extraídos:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Estos dominios están asociados con la infraestructura de preparación del adversario, páginas de phishing, o puntos finales de comunicación C2.

Este formato es inmediatamente utilizable en Google SecOps Search to:

  • Buscar resoluciones DNS previas o conexiones de red
  • Construir reglas de detección o dashboards personalizados
  • Investigar actividad sospechosa basada en observables de dominio

Por Qué Es Valioso

  • Ahorra Tiempo: No hay necesidad de formatear manualmente listas de IOC — los valores de dominio se insertan automáticamente en una sintaxis de consulta válida
  • Reduce Errores: El uso adecuado de los nombres de campos UDM asegura la compatibilidad con el motor de detección de Chronicle
  • Accionable Inmediatamente: Los equipos de seguridad pueden pasar de un reporte de amenaza a una búsqueda de telemetría real en segundos

Casos de Uso Operativos

Los analistas de seguridad y cazadores de amenazas pueden usar esta función para:

  • Detectar devoluciones de campaña de phishing vinculadas a páginas falsas de Google Docs o OWA
  • Monitorear el tráfico hacia infraestructura controlada por atacantes vinculado al robo de credenciales
  • Responder a incidentes con coincidencias de dominio pre-verificadas a través de registros de endpoints y redes

Desde cargas útiles basadas en el portapapeles hasta portales de inicio de sesión falsos, Uncoder AI empodera a los equipos de SecOps de Google para transformar la inteligencia de amenazas en detecciones estructuradas y de alta fidelidad — al instante.

Explore Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas