Conversione da IOC a Query per SentinelOne in Uncoder AI

Piattaforma SOC Prime

Maggio 27, 2025

2 min di lettura

Conversione da IOC a Query per SentinelOne in Uncoder AI

Steven Edwards
Steven Edwards Analista di Rilevazione delle Minacce

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Indice dei Contenuti

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Come Funziona

1. Estrazione dell’IOC dal Rapporto di Minaccia

Uncoder AI analizza automaticamente e categorizza gli indicatori dal rapporto dell’incidente (a sinistra), includendo:

  • Domini malevoli, come:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Questi domini sono collegati a documenti di phishing, portali di accesso imitati, e punti di esfiltrazione dati.

Esplora Uncoder AI

2. Generazione Query Compatibile con SentinelOne

A destra, Uncoder AI produce una query Evento SentinelOne usando la sintassi DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operatore: contains anycase assicura che il rilevamento sia case-insensitive, gestendo le variazioni dei log DNS.
  • Campo: DNS mira agli eventi di risoluzione, ideale per svelare ricerche di dominio legate a malware o link di phishing.

Caso d’uso: Indagare sulle query DNS avviate da powershell.exe , browser.ps1 , o zapit.exe .

Perché è Utile

  • Nessuno sforzo di formattazione: Catene di sottodomini lunghe sono auto-formattate per la corretta corrispondenza.
  • Distribuzione IOC istantanea: Gli analisti possono eseguire la query direttamente in SentinelOne per identificare gli host infetti o il comportamento di beaconing.

Alto rapporto segnale-rumore: Si concentra solo su infrastrutture di proprietà degli attaccanti, minimizzando i falsi positivi.

Benefici Operativi

Per gli utenti di SentinelOne, questa caratteristica permette:

  • Caccia alle Minacce più Veloce
     Non c’è bisogno di costruire manualmente query di dominio — Uncoder AI lo fa da qualsiasi rapporto di minaccia.
  • Immediata Applicazione dell’IOC
     Bloccare o avvisare sulle query DNS che corrispondono a infrastrutture APT ad alta fiducia.

Efficienza SOC
 Accelera i tempi di risposta eliminando le ipotesi e riducendo il carico di lavoro per la scrittura di query.

Esplora Uncoder AI

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Piattaforma SOC Prime Articles

Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni 18 min di lettura Piattaforma SOC Prime Protocollo di Contesto del Modello: Rischi di Sicurezza e Mitigazioni by Daryna Olyniychuk Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI 2 min di lettura Piattaforma SOC Prime Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI by Steven Edwards Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI 2 min di lettura Piattaforma SOC Prime Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI by Steven Edwards