Generazione di query IOC per Microsoft Sentinel in Uncoder AI

Come Funziona

1. Parsing degli IOC dal Rapporto di Minaccia

Uncoder AI identifica ed estrae automaticamente gli osservabili chiave dal rapporto di minaccia, inclusi:

• Domini maligni come:
  
  • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    
  • mail.zhblz.com
    
  • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com
    

Questi IOC sono utilizzati dall’avversario per il phishing e organizzare l’accesso alle caselle di posta delle vittime.

Esplora Uncoder AI

2. Generazione di KQL compatibile con Sentinel

A destra, Uncoder AI produce una query di ricerca Microsoft Sentinel utilizzando l’operatore search :

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     or @"mail.zhblz.com" 

     or @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

• Ambito di Ricerca: Questo modello ricerca attraverso tutti i log ingeriti in Sentinel (ad esempio, DNS, proxy, firewall, Defender, ecc.).
  
• Uso della sintassi @”” : Questo assicura che i caratteri speciali nei nomi di dominio siano adeguatamente analizzati e corrispondano senza errori di query.
  

Perché è Prezioso

• Immediatamente operativo: Gli analisti possono incollare questa query direttamente nello spazio di lavoro dei Log di Microsoft Sentinel per la ricerca di minacce o l’investigazione.
  
• Nessuna formattazione manuale: Domini lunghi o offuscati vengono gestiti in modo pulito e sicuro dal modello di sintassi di Uncoder AI.
  

Scalabile: Facilmente estendibile per includere ulteriori IOC, hash di file o IP se necessario.

Casi d’Uso Operativi

I team di sicurezza possono utilizzare questa caratteristica per:

• Identificare connessioni a infrastrutture di phishing controllate dagli aggressori
  
• Correlare il comportamento degli endpoint con query DNS o log di accesso al web
  
• Passare rapidamente dall’intelligence alla rilevazione, riducendo il tempo di permanenza
  

Che si risponda a un avviso di phishing o si cerchi proattivamente attività APT, questa funzione aiuta i team SOC a passare dall’analisi alla rilevazione in pochi secondi.

Esplora Uncoder AI