Detección de Archivos Zip y Dominio C2 en Microsoft Sentinel a través de Uncoder AI

[post-views]
junio 04, 2025 · 2 min de lectura
Detección de Archivos Zip y Dominio C2 en Microsoft Sentinel a través de Uncoder AI

Cómo Funciona

Esta función de Uncoder AI genera una consulta de detección de KQL de amplio espectro para Microsoft Sentinel, basada en indicadores de CERT-UA#14045 (DarkCrystal RAT). La IA procesa un informe de amenazas y produce una consulta para buscar registros de cadenas como:

  • "Розпорядження.zip" – un nombre de archivo en ucraniano sospechoso utilizado para disfrazar malware
  • "imgurl.ir" – un dominio malicioso conocido asociado con la infraestructura de mando y control

La sintaxis de la consulta:

search (@"Розпорядження.zip" or @"imgurl.ir")

utiliza el search operador para identificar cualquier mención de estos IOCs en todas las tablas y campos de datos disponibles en Microsoft Sentinel.

La consulta se construye usando literales de cadena verbatim de KQL (@»») para asegurar una coincidencia exacta de patrones sin secuencias de escape — crucial para nombres de archivos multilingües u ofuscados.

Explorar Uncoder AI

Por Qué Es Innovador

En lugar de depender de la integración manual de IOCs o diseñar lógica específica de campos, Uncoder AI utiliza NLP y LLMs para extraer indicadores de alta confianza de informes de amenazas en bruto. Luego genera instantáneamente una consulta aplicando:

  • Formato KQL adecuado (por ejemplo, sintaxis de cadena verbatim)
  • Estructura lógica usando el or operador para una cobertura multi-indicador
  • Compatibilidad con la sintaxis de Microsoft Sentinel sin necesidad de intervención del usuario

Esto reduce en gran medida la carga de trabajo para los analistas que anteriormente tenían que traducir la inteligencia de amenazas en consultas válidas de Sentinel ellos mismos.

Valor Operacional / Resultados / Beneficios

Descubrimiento Amplio de IOC

La consulta permite una rápida evaluación para entornos posiblemente afectados por la actividad de DarkCrystal RAT. Puede detectar trazas de registro de:

  • Descargas de archivos y otros tipos de eventos que contengan "Розпорядження.zip"
  • Resoluciones DNS o tráfico HTTP involucrando "imgurl.ir"

Ingeniería de Detección Acelerada

Uncoder AI elimina la incertidumbre en el ensamblaje de consultas, asegurando que:

  • La lógica de detección sea inmediatamente utilizable dentro de Microsoft Sentinel
  • Los indicadores de cargas multilingües u ofuscadas no se pierdan en la traducción

Mejorada Eficiencia de SOC

Al permitir la capacidad de pegar directamente a la consulta, la salida impulsada por IA permite una respuesta a incidentes más rápida, enriquecimiento y autoría de lógica de detección.

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas