Generazione di Query da IOC per Google SecOps (Chronicle) in Uncoder AI

Piattaforma SOC Prime

Maggio 23, 2025

2 min di lettura

Generazione di Query da IOC per Google SecOps (Chronicle) in Uncoder AI

Steven Edwards
Steven Edwards Redattore Tecnico linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Indice dei Contenuti

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Come Funziona

1. Estrazione IOC da Rapporti di Minacce

Uncoder AI analizza automaticamente i rapporti di minacce strutturati per estrarre:

  • Domini e sottodomini (ad es. mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URL e percorsi da server di phishing e distribuzione del payload
  • IP correlati, hash e nomi di file (come visto a sinistra)

Questo risparmia un notevole sforzo manuale rispetto alla copia e alla normalizzazione degli IOC da più fonti.

Esplora Uncoder AI

2. Generazione Automatica di Query UDM Formattate

Nel pannello a destra, Uncoder AI produce una query pronta per Google SecOps utilizzando il campo UDM target.hostname, che corrisponde ai domini estratti:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Questi domini sono associati all’infrastruttura di staging dell’avversario, a pagine di phishing o a punti terminali di comunicazione C2.

Questo formato è immediatamente utilizzabile in Google SecOps Search to:

  • Cerca precedenti risoluzioni DNS o connessioni di rete
  • Costruisci regole di rilevamento o dashboard personalizzati
  • Indaga attività sospette basate su osservabili di dominio

Perché È Prezioso

  • Risparmia Tempo: Non è necessario formattare manualmente le liste IOC — i valori di dominio sono automaticamente inseriti in una sintassi di query valida
  • Riduce gli Errori: L’uso corretto dei nomi di campo UDM assicura la compatibilità con il motore di rilevamento di Chronicle
  • Azione Immediata: I team di sicurezza possono passare da un rapporto di minaccia alla ricerca di telemetrie effettive in pochi secondi

Casi d’Uso Operativi

Gli analisti della sicurezza e i cacciatori di minacce possono utilizzare questa funzione per:

  • Rilevare richiamate di campagne di phishing legate a false pagine di Google Docs o OWA
  • Monitorare il traffico verso infrastrutture controllate dagli attaccanti legate al furto di credenziali
  • Rispondere agli incidenti con confronti di dominio pre-verificati tra i log di endpoint e di rete

Dai payload basati su clipboard ai portali di accesso falsi, Uncoder AI consente ai team di Google SecOps di trasformare l’intelligence sulle minacce in rilevamenti strutturati e di alta fedeltà — istantaneamente.

Esplora Uncoder AI

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Piattaforma SOC Prime Articles

Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI 2 min di lettura Piattaforma SOC Prime Rilevamento delle Minacce Syscall in Linux con Splunk e Uncoder AI by Steven Edwards Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI 2 min di lettura Piattaforma SOC Prime Da Sigma a SentinelOne: Rilevare Accesso alle Password tramite Notepad con Uncoder AI by Steven Edwards Converti le Regole DNS Sigma in Cortex XSIAM con Uncoder AI 2 min di lettura Piattaforma SOC Prime Converti le Regole DNS Sigma in Cortex XSIAM con Uncoder AI by Steven Edwards