Conversion IOC-à-Requête pour SentinelOne dans Uncoder AI

Plateforme SOC Prime

mai 27, 2025

2 min de lecture

Conversion IOC-à-Requête pour SentinelOne dans Uncoder AI

Steven Edwards
Steven Edwards Analyste de la Détection des Menaces

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Table des Matières

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Comment ça marche

1. Extraction d’IOC à partir du rapport de menace

Uncoder AI analyse et catégorise automatiquement les indicateurs du rapport d’incident (à gauche), y compris :

  • Domaines malveillants, tels que :
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Ces domaines sont liés à des documents de phishing, des portails de connexion usurpés et des points de terminaison d’exfiltration de données.

Explorez Uncoder AI

2. Génération de requêtes compatibles avec SentinelOne

À droite, Uncoder AI produit une requête d’événement SentinelOne en utilisant la syntaxe DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Opérateur : contains anycase assure une détection insensible à la casse, traitant les variations de logs DNS.
  • Champ : DNS cible les événements de résolution, idéal pour découvrir les recherches de domaines liées aux logiciels malveillants ou aux liens de phishing.

Cas d’utilisation : Enquêter sur les requêtes DNS initiées par powershell.exe , browser.ps1 , ou zapit.exe .

Pourquoi c’est utile

  • Effort de formatage nul : Les longues chaînes de sous-domaines sont automatiquement formatées pour un appariement correct.
  • Déploiement instantané d’IOC : Les analystes peuvent exécuter directement la requête dans SentinelOne pour identifier les hôtes infectés ou les comportements de balisage.

Rapport signal-bruit élevé : Se concentre uniquement sur l’infrastructure contrôlée par l’attaquant, minimisant les faux positifs.

Avantages opérationnels

Pour les utilisateurs de SentinelOne, cette fonctionnalité permet :

  • Recherche de menaces plus rapide
     Inutile de créer manuellement des requêtes de domaines — Uncoder AI le fait à partir de n’importe quel rapport de menace.
  • Application immédiate d’IOC
     Bloquer ou alerter sur les requêtes DNS qui correspondent à une infrastructure APT de haute confiance.

Efficacité SOC
 Accélère le temps de réponse en éliminant les suppositions et en réduisant la charge de l’écriture de requêtes.

Explorez Uncoder AI

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Plateforme SOC Prime Articles

Protocole de Contexte Modèle : Risques de Sécurité et Atténuations 20 min de lecture Plateforme SOC Prime Protocole de Contexte Modèle : Risques de Sécurité et Atténuations by Daryna Olyniychuk Détection des menaces des appels système Linux dans Splunk avec Uncoder AI 2 min de lecture Plateforme SOC Prime Détection des menaces des appels système Linux dans Splunk avec Uncoder AI by Steven Edwards De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI 2 min de lecture Plateforme SOC Prime De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI by Steven Edwards