Uncoder CTI: Guía Paso a Paso
Tabla de contenidos:
SOC Prime se complace en anunciar que Uncoder CTI, introducido con el lanzamiento de la plataforma SOC Prime para la defensa cibernética colaborativa, ahora está disponible para uso público en https://cti.uncoder.io/. A partir de ahora, los analistas de inteligencia de amenazas y cazadores de amenazas, independientemente de su experiencia en el campo, pueden probar la búsqueda de amenazas basada en IOC al instante usando Uncoder CTI. La versión pública de Uncoder CTI para generar consultas IOC personalizadas según las necesidades de seguridad del equipo ahora es 100% gratuita y no requiere registro.
En este blog, puedes encontrar guías sobre cómo empezar con Uncoder CTI para hacer que tu experiencia de caza de amenazas sea más fácil, rápida y sencilla.
Uncoder CTI fue diseñado por el equipo de SOC Prime para potenciar la caza de amenazas con inteligencia de amenazas cibernéticas y agilizar el emparejamiento de IOC para un rendimiento máximo en el SIEM o XDR aplicados. Al igual que Uncoder.IO, esta innovación de SOC Prime permite el soporte entre herramientas y puede ser aplicada en múltiples soluciones de seguridad. Con Uncoder CTI, los analistas de inteligencia de amenazas y cazadores de amenazas pueden generar consultas personalizadas para más de 15 tecnologías SIEM y XDR, incluyendo Microsoft Azure Sentinel, Chronicle Security, Elastic Stack y Splunk.
Nos Importa Tu Privacidad
SOC Prime concede gran importancia a la privacidad de los datos del usuario, lo cual también se refleja en el aviso de privacidad de Uncoder CTI visible para quien abre la herramienta por primera vez. SOC Prime no almacena datos IOC subidos a Uncoder CTI y no se comparten datos con terceros. El acceso a los datos IOC solo está disponible para los ejecutores de seguridad que ejecutan cada sesión particular de Uncoder CTI.
Subiendo IOCs
Inserte un archivo que contenga IOCs directamente en la ventana del lado izquierdo o impórtelo haciendo clic en el botón Subir IOCs . Por favor seleccione los archivos en el formato aceptable (CSV, JSON o TXT).
Uncoder CTI ya incluye configuraciones predeterminadas que previenen errores de sintaxis y problemas de análisis mediante el reemplazo automático de ciertos símbolos y palabras clave. Los equipos pueden personalizar estas configuraciones haciendo clic en el botón Más y seleccionando una opción para reemplazar ciertas combinaciones de caracteres en el contenido a ser analizado:
- Seleccionar todo: se aplican todas las opciones de reemplazo listadas
- Reemplazar (.) [.] {.} por punto
- Reemplazar hxxp por http
- Excluir redes privadas y reservadas (como 0.0.0.0/8, 10.0.0.0/8, etc.)
Configuraciones de Generación de Consultas
Para personalizar la consulta IOC añadida a tus necesidades de seguridad en el Configuraciones de Generación de Consultas, sigue estos pasos:
- Selecciona los tipos de IOC que se utilizarán en tu consulta (IP, Hash, Dominio o URL).
- Selecciona el tipo de hash si es necesario (MD5, SHA-1, SHA-256, SHA-512).
- Selecciona el SIEM o XDR en el que deseas ejecutar la consulta.
- Opcionalmente, puedes crear el mapeo de campo IOC personalizado para ajustar los parámetros predeterminados de la tecnología en uso a tu esquema de datos específico.
- Usa un deslizador para establecer el número de IOCs por consulta.
- Opcionalmente, puedes agregar excepciones para excluir ciertos IOCs de tus consultas y disminuir el número de falsos positivos. Por ejemplo, puedes introducir aquí 8.8.8.8 IP, subredes privadas u otros errores típicos de informes CTI.
- Además, puedes incluir la IP de origen en tu consulta con el operador «OR» seleccionando la casilla correspondiente.
- Haz clic en el Generar botón.
|
Nota: Para configurar un nuevo perfil de mapeo de campo IOC, necesitas registrarte en el plataforma SOC Prime o iniciar sesión usando tu cuenta existente. |
Profundizando para Cazar en tu SIEM o XDR
La consulta IOC personalizada generada se mostrará abajo. Los analistas de inteligencia de amenazas y cazadores de amenazas pueden ejecutar una consulta en el entorno seleccionado copiándola y pegándola directamente en la instancia de SIEM o XDR.
Alternativamente, Uncoder CTI permite enviar automáticamente consultas a la solución de seguridad en uso.
|
Nota: Para aprovechar esta capacidad, los ejecutores de seguridad deben registrarse o iniciar sesión en la plataforma SOC Prime y configurar el entorno API correspondiente usando los Entornos de Plataforma configuraciones. |
Elige cómo capturar la consulta de caza generada con uno de los botones de acción que aparecen al pasar el cursor sobre el código de la consulta.
Eso es todo, estás listo para cazar en la Plataforma de Consultas.
La versión pública en https://cti.uncoder.io/ es la manera más sencilla y rápida de empezar con Uncoder CTI y ejecutar consultas que no requieren ajustes avanzados. Para una experiencia más profunda de caza de amenazas aprovechando las capacidades extendidas de Uncoder CTI, como el mapeo personalizados IOC y la búsqueda automatizada en tu SIEM o XDR, únete a la plataforma SOC Prime y obtén acceso a más de 130,000 detecciones para descubrimiento de amenazas y caza de amenazas. Consulta el resumen de Uncoder CTI para aprender más sobre las capacidades de caza impulsadas por inteligencia de la herramienta.
