Generazione di query IOC per Microsoft Sentinel in Uncoder AI

Piattaforma SOC Prime

Maggio 23, 2025

2 min di lettura

Generazione di query IOC per Microsoft Sentinel in Uncoder AI

Steven Edwards
Steven Edwards Analista di Rilevazione delle Minacce

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Indice dei Contenuti

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Come Funziona

1. Parsing degli IOC dal Rapporto di Minaccia

Uncoder AI identifica ed estrae automaticamente gli osservabili chiave dal rapporto di minaccia, inclusi:

  • Domini maligni come:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Questi IOC sono utilizzati dall’avversario per il phishing e organizzare l’accesso alle caselle di posta delle vittime.

Esplora Uncoder AI

2. Generazione di KQL compatibile con Sentinel

A destra, Uncoder AI produce una query di ricerca Microsoft Sentinel utilizzando l’operatore search :

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     or @"mail.zhblz.com" 

     or @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • Ambito di Ricerca: Questo modello ricerca attraverso tutti i log ingeriti in Sentinel (ad esempio, DNS, proxy, firewall, Defender, ecc.).
  • Uso della sintassi @”” : Questo assicura che i caratteri speciali nei nomi di dominio siano adeguatamente analizzati e corrispondano senza errori di query.

Perché è Prezioso

  • Immediatamente operativo: Gli analisti possono incollare questa query direttamente nello spazio di lavoro dei Log di Microsoft Sentinel per la ricerca di minacce o l’investigazione.
  • Nessuna formattazione manuale: Domini lunghi o offuscati vengono gestiti in modo pulito e sicuro dal modello di sintassi di Uncoder AI.

Scalabile: Facilmente estendibile per includere ulteriori IOC, hash di file o IP se necessario.

Casi d’Uso Operativi

I team di sicurezza possono utilizzare questa caratteristica per:

  • Identificare connessioni a infrastrutture di phishing controllate dagli aggressori
  • Correlare il comportamento degli endpoint con query DNS o log di accesso al web
  • Passare rapidamente dall’intelligence alla rilevazione, riducendo il tempo di permanenza

Che si risponda a un avviso di phishing o si cerchi proattivamente attività APT, questa funzione aiuta i team SOC a passare dall’analisi alla rilevazione in pochi secondi.

Esplora Uncoder AI

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Piattaforma SOC Prime Articles

Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni 18 min di lettura Piattaforma SOC Prime Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni by Daryna Olyniychuk Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI 2 min di lettura Piattaforma SOC Prime Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI by Steven Edwards Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI 2 min di lettura Piattaforma SOC Prime Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI by Steven Edwards