Generazione di Query da IOC per Google SecOps (Chronicle) in Uncoder AI

[post-views]
Maggio 23, 2025 · 2 min di lettura
Generazione di Query da IOC per Google SecOps (Chronicle) in Uncoder AI

Come Funziona

1. Estrazione IOC da Rapporti di Minacce

Uncoder AI analizza automaticamente i rapporti di minacce strutturati per estrarre:

  • Domini e sottodomini (ad es. mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URL e percorsi da server di phishing e distribuzione del payload
  • IP correlati, hash e nomi di file (come visto a sinistra)

Questo risparmia un notevole sforzo manuale rispetto alla copia e alla normalizzazione degli IOC da più fonti.

Esplora Uncoder AI

2. Generazione Automatica di Query UDM Formattate

Nel pannello a destra, Uncoder AI produce una query pronta per Google SecOps utilizzando il campo UDM target.hostname, che corrisponde ai domini estratti:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Questi domini sono associati all’infrastruttura di staging dell’avversario, a pagine di phishing o a punti terminali di comunicazione C2.

Questo formato è immediatamente utilizzabile in Google SecOps Search to:

  • Cerca precedenti risoluzioni DNS o connessioni di rete
  • Costruisci regole di rilevamento o dashboard personalizzati
  • Indaga attività sospette basate su osservabili di dominio

Perché È Prezioso

  • Risparmia Tempo: Non è necessario formattare manualmente le liste IOC — i valori di dominio sono automaticamente inseriti in una sintassi di query valida
  • Riduce gli Errori: L’uso corretto dei nomi di campo UDM assicura la compatibilità con il motore di rilevamento di Chronicle
  • Azione Immediata: I team di sicurezza possono passare da un rapporto di minaccia alla ricerca di telemetrie effettive in pochi secondi

Casi d’Uso Operativi

Gli analisti della sicurezza e i cacciatori di minacce possono utilizzare questa funzione per:

  • Rilevare richiamate di campagne di phishing legate a false pagine di Google Docs o OWA
  • Monitorare il traffico verso infrastrutture controllate dagli attaccanti legate al furto di credenziali
  • Rispondere agli incidenti con confronti di dominio pre-verificati tra i log di endpoint e di rete

Dai payload basati su clipboard ai portali di accesso falsi, Uncoder AI consente ai team di Google SecOps di trasformare l’intelligence sulle minacce in rilevamenti strutturati e di alta fedeltà — istantaneamente.

Esplora Uncoder AI

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Filtraggio dei Nomi Host Validati da AI per le Query di Chronicle
Blog, Piattaforma SOC Prime — 3 min di lettura
Filtraggio dei Nomi Host Validati da AI per le Query di Chronicle
Steven Edwards