Conversione da IOC a Query per SentinelOne in Uncoder AI

[post-views]
Maggio 27, 2025 · 2 min di lettura
Conversione da IOC a Query per SentinelOne in Uncoder AI

Come Funziona

1. Estrazione dell’IOC dal Rapporto di Minaccia

Uncoder AI analizza automaticamente e categorizza gli indicatori dal rapporto dell’incidente (a sinistra), includendo:

  • Domini malevoli, come:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Questi domini sono collegati a documenti di phishing, portali di accesso imitati, e punti di esfiltrazione dati.

Esplora Uncoder AI

2. Generazione Query Compatibile con SentinelOne

A destra, Uncoder AI produce una query Evento SentinelOne usando la sintassi DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operatore: contains anycase assicura che il rilevamento sia case-insensitive, gestendo le variazioni dei log DNS.
  • Campo: DNS mira agli eventi di risoluzione, ideale per svelare ricerche di dominio legate a malware o link di phishing.

Caso d’uso: Indagare sulle query DNS avviate da powershell.exe , browser.ps1 , o zapit.exe .

Perché è Utile

  • Nessuno sforzo di formattazione: Catene di sottodomini lunghe sono auto-formattate per la corretta corrispondenza.
  • Distribuzione IOC istantanea: Gli analisti possono eseguire la query direttamente in SentinelOne per identificare gli host infetti o il comportamento di beaconing.

Alto rapporto segnale-rumore: Si concentra solo su infrastrutture di proprietà degli attaccanti, minimizzando i falsi positivi.

Benefici Operativi

Per gli utenti di SentinelOne, questa caratteristica permette:

  • Caccia alle Minacce più Veloce
     Non c’è bisogno di costruire manualmente query di dominio — Uncoder AI lo fa da qualsiasi rapporto di minaccia.
  • Immediata Applicazione dell’IOC
     Bloccare o avvisare sulle query DNS che corrispondono a infrastrutture APT ad alta fiducia.

Efficienza SOC
 Accelera i tempi di risposta eliminando le ipotesi e riducendo il carico di lavoro per la scrittura di query.

Esplora Uncoder AI

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati