Génération de requêtes à partir d’IOC pour Google SecOps (Chronicle) dans Uncoder AI

[post-views]
mai 23, 2025 · 3 min de lecture
Génération de requêtes à partir d’IOC pour Google SecOps (Chronicle) dans Uncoder AI

Comment ça fonctionne

1. Extraction d’IOC à partir de rapports de menace

Uncoder AI analyse automatiquement les rapports de menace structurés pour extraire :

  • Domaines et sous-domaines (par exemple, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URL et chemins à partir de serveurs de phishing et de distribution de charges utiles
  • Adresses IP, hachages et noms de fichiers associés (vus à gauche)

Cela économise un effort manuel considérable par rapport à la copie et la normalisation des IOC à partir de plusieurs sources.

Explorer Uncoder AI

2. Génération automatique de requêtes UDM formatées

Dans le panneau de droite, Uncoder AI produit une requête prête pour Google SecOps en utilisant le champ UDM target.hostname, correspondant aux domaines extraits :

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Ces domaines sont associés à l’infrastructure de mise en scène de l’adversaire, aux pages de phishing ou aux points de communication C2.

Ce format est immédiatement utilisable dans la recherche Google SecOps to:

  • Rechercher des résolutions DNS précédentes ou des connexions réseau
  • Construire des règles de détection ou des tableaux de bord personnalisés
  • Enquêter sur des activités suspectées basées sur des observables de domaine

Pourquoi c’est précieux

  • Économise du temps : Pas besoin de formater manuellement les listes IOC — les valeurs de domaine sont automatiquement insérées dans une syntaxe de requête valide
  • Réduit les erreurs : Une utilisation correcte des noms de champs UDM garantit la compatibilité avec le moteur de détection de Chronicle
  • Utilisable immédiatement : Les équipes de sécurité peuvent passer d’un rapport de menace à une recherche de télémétrie en quelques secondes

Cas d’utilisation opérationnelle

Les analystes de sécurité et les chasseurs de menaces peuvent utiliser cette fonctionnalité pour :

  • Détecter les rappels de campagne de phishing liés aux faux Google Docs ou pages OWA
  • Surveiller le trafic vers l’infrastructure contrôlée par l’attaquant liée au vol d’identifiants
  • Répondre aux incidents avec des correspondances de domaines pré-validées dans les journaux d’extrémité et de réseau

Des charges utiles basées sur le presse-papiers aux portails de connexion factices, Uncoder AI permet aux équipes de Google SecOps de transformer le renseignement sur les menaces en détections structurées et de haute fidélité — instantanément.

Explorer Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes