Conversion IOC-à-Requête pour SentinelOne dans Uncoder AI

[post-views]
mai 27, 2025 · 2 min de lecture
Conversion IOC-à-Requête pour SentinelOne dans Uncoder AI

Comment ça marche

1. Extraction d’IOC à partir du rapport de menace

Uncoder AI analyse et catégorise automatiquement les indicateurs du rapport d’incident (à gauche), y compris :

  • Domaines malveillants, tels que :
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Ces domaines sont liés à des documents de phishing, des portails de connexion usurpés et des points de terminaison d’exfiltration de données.

Explorez Uncoder AI

2. Génération de requêtes compatibles avec SentinelOne

À droite, Uncoder AI produit une requête d’événement SentinelOne en utilisant la syntaxe DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Opérateur : contains anycase assure une détection insensible à la casse, traitant les variations de logs DNS.
  • Champ : DNS cible les événements de résolution, idéal pour découvrir les recherches de domaines liées aux logiciels malveillants ou aux liens de phishing.

Cas d’utilisation : Enquêter sur les requêtes DNS initiées par powershell.exe , browser.ps1 , ou zapit.exe .

Pourquoi c’est utile

  • Effort de formatage nul : Les longues chaînes de sous-domaines sont automatiquement formatées pour un appariement correct.
  • Déploiement instantané d’IOC : Les analystes peuvent exécuter directement la requête dans SentinelOne pour identifier les hôtes infectés ou les comportements de balisage.

Rapport signal-bruit élevé : Se concentre uniquement sur l’infrastructure contrôlée par l’attaquant, minimisant les faux positifs.

Avantages opérationnels

Pour les utilisateurs de SentinelOne, cette fonctionnalité permet :

  • Recherche de menaces plus rapide
    Inutile de créer manuellement des requêtes de domaines — Uncoder AI le fait à partir de n’importe quel rapport de menace.
  • Application immédiate d’IOC
    Bloquer ou alerter sur les requêtes DNS qui correspondent à une infrastructure APT de haute confiance.

Efficacité SOC
Accélère le temps de réponse en éliminant les suppositions et en réduisant la charge de l’écriture de requêtes.

Explorez Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes