Generación de IOC a Consultas para Google SecOps (Chronicle) en Uncoder AI

Plataforma SOC Prime

mayo 23, 2025

2 min de lectura

Generación de IOC a Consultas para Google SecOps (Chronicle) en Uncoder AI

Steven Edwards
Steven Edwards Analista de Detección de Amenazas

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabla de Contenidos

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Cómo Funciona

1. Extracción de IOC de Reportes de Amenazas

Uncoder AI analiza automáticamente los reportes de amenazas estructurados para extraer:

  • Dominios y subdominios (por ejemplo, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URLs y rutas de servidores de phishing y entrega de cargas útiles
  • IPs, hashes y nombres de archivos relacionados (vistos a la izquierda)

Esto ahorra un esfuerzo manual significativo en comparación con copiar y normalizar IOCs de múltiples fuentes.

Explore Uncoder AI

2. Generación Automática de Consultas UDM Formateadas

En el panel derecho, Uncoder AI produce una consulta lista para Google SecOps usando el campo UDM target.hostname, coincidiendo con los dominios extraídos:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Estos dominios están asociados con la infraestructura de preparación del adversario, páginas de phishing, o puntos finales de comunicación C2.

Este formato es inmediatamente utilizable en Google SecOps Search to:

  • Buscar resoluciones DNS previas o conexiones de red
  • Construir reglas de detección o dashboards personalizados
  • Investigar actividad sospechosa basada en observables de dominio

Por Qué Es Valioso

  • Ahorra Tiempo: No hay necesidad de formatear manualmente listas de IOC — los valores de dominio se insertan automáticamente en una sintaxis de consulta válida
  • Reduce Errores: El uso adecuado de los nombres de campos UDM asegura la compatibilidad con el motor de detección de Chronicle
  • Accionable Inmediatamente: Los equipos de seguridad pueden pasar de un reporte de amenaza a una búsqueda de telemetría real en segundos

Casos de Uso Operativos

Los analistas de seguridad y cazadores de amenazas pueden usar esta función para:

  • Detectar devoluciones de campaña de phishing vinculadas a páginas falsas de Google Docs o OWA
  • Monitorear el tráfico hacia infraestructura controlada por atacantes vinculado al robo de credenciales
  • Responder a incidentes con coincidencias de dominio pre-verificadas a través de registros de endpoints y redes

Desde cargas útiles basadas en el portapapeles hasta portales de inicio de sesión falsos, Uncoder AI empodera a los equipos de SecOps de Google para transformar la inteligencia de amenazas en detecciones estructuradas y de alta fidelidad — al instante.

Explore Uncoder AI

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Plataforma SOC Prime Articles

Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones 16 min de lectura Plataforma SOC Prime Protocolo de Contexto de Modelo: Riesgos de Seguridad y Mitigaciones by Daryna Olyniychuk Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI 2 min de lectura Plataforma SOC Prime Detección de Amenazas de Syscall en Linux en Splunk con Uncoder AI by Steven Edwards De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI 2 min de lectura Plataforma SOC Prime De Sigma a SentinelOne: Detección de acceso a contraseñas mediante Notepad con Uncoder AI by Steven Edwards