Uncoder CTI: Linee Guida Passo-passo
Indice:
SOC Prime è entusiasta di annunciare che Uncoder CTI, introdotto con il rilascio della piattaforma SOC Prime per la difesa informatica collaborativa, è ora disponibile per l’uso pubblico su https://cti.uncoder.io/. D’ora in poi, gli analisti di intelligence delle minacce e i cacciatori di minacce, indipendentemente dalla loro esperienza nel campo, possono provare il rilevamento delle minacce basato su IOC in tempo reale utilizzando Uncoder CTI. La versione pubblica di Uncoder CTI per generare query IOC istantanee personalizzate per le esigenze di sicurezza del team è ora al 100% gratuita e non richiede registrazione.
In questo blog, puoi trovare linee guida su come iniziare con Uncoder CTI per rendere la tua esperienza di caccia alle minacce più facile, veloce e semplice.
Uncoder CTI è stato progettato dal Team SOC Prime per potenziare la caccia alle minacce con l’intelligence sulle minacce informatiche e ottimizzare il confronto degli IOC per massime prestazioni nel SIEM o XDR applicato. Come Uncoder.IO, questa innovazione di SOC Prime supporta il cross-tool e può essere applicata su più soluzioni di sicurezza. Con Uncoder CTI, gli analisti di intelligence sulle minacce e i cacciatori di minacce possono generare query personalizzate per più di 15 tecnologie SIEM & XDR, tra cui Microsoft Azure Sentinel, Chronicle Security, Elastic Stack e Splunk.
Ci teniamo alla tua privacy
SOC Prime attribuisce grande importanza alla privacy dei dati degli utenti, cosa che si riflette anche nell’informativa sulla privacy di Uncoder CTI visibile a chiunque apra per la prima volta lo strumento. SOC Prime non memorizza i dati IOC caricati su Uncoder CTI e nessun dato viene condiviso con terzi. L’accesso ai dati IOC è disponibile solo per i performer di sicurezza che eseguono ciascuna sessione particolare di Uncoder CTI.
Caricamento degli IOC
Inserisci un file contenente gli IOC direttamente nella finestra a sinistra o importalo facendo clic sul Carica IOC pulsante. Si prega di selezionare i file nel formato accettabile (CSV, JSON o TXT).
Uncoder CTI include già impostazioni predefinite che prevengono errori di sintassi e problemi di parsing tramite la sostituzione automatica di certi simboli e parole chiave. I team possono personalizzare queste impostazioni facendo clic sul pulsante Altro e selezionando un’opzione per sostituire certe combinazioni di caratteri nel contenuto da analizzare:
- Seleziona tutto — vengono applicate tutte le opzioni di sostituzione elencate
- Sostituisci (.) [.] {.} con punto
- Sostituisci hxxp con http
- Escludi reti private e riservate (come 0.0.0.0/8, 10.0.0.0/8, ecc.)
Impostazioni di generazione della Query
Per personalizzare la query IOC aggiunta alle tue esigenze di sicurezza nel Impostazioni di generazione della Query, segui questi passaggi:
- Seleziona i tipi di IOC che verranno utilizzati nella tua query (IP, Hash, Dominio o URL).
- Seleziona il tipo di hash se necessario (MD5, SHA-1, SHA-256, SHA-512).
- Seleziona il SIEM o XDR in cui vuoi eseguire la query.
- Facoltativamente, puoi creare il mapping del campo IOC personalizzato per adattare i parametri predefiniti della tecnologia in uso al tuo schema di dati specifico.
- Utilizza un cursore per impostare il numero di IOC per query.
- Facoltativamente, puoi aggiungere eccezioni per escludere certi IOC dalle tue query e diminuire il numero di falsi positivi. Ad esempio, puoi inserire qui l’IP 8.8.8.8, le subnet private o altri errori tipici nei report CTI.
- Inoltre, puoi includere l’IP di origine nella tua query con l’operatore “OR” selezionando la casella di controllo corrispondente.
- Clicca sul Genera pulsante.
|
Nota: Per configurare un nuovo profilo di mapping del campo IOC, è necessario registrarsi per il piattaforma SOC Prime o accedere utilizzando il tuo account esistente. |
Approfondire per Cacciare nel tuo SIEM o XDR
La query IOC personalizzata generata verrà visualizzata di seguito. Gli analisti di intelligence sulle minacce e i cacciatori di minacce possono eseguire una query nell’ambiente selezionato copiandola e quindi incollandola direttamente nell’istanza SIEM o XDR.
In alternativa, Uncoder CTI permette di inviare automaticamente le query alla soluzione di sicurezza in uso.
|
Nota: Per sfruttare questa funzionalità , i performer di sicurezza devono registrarsi o accedere alla piattaforma SOC Prime e configurare l’ ambiente API corrispondente utilizzando le Impostazioni delle Piattaforme scelte. |
Scegli come acquisire la query di caccia generata con uno dei pulsanti azione che appaiono quando si passa il mouse sul codice della query.
Ecco fatto, sei pronto per cacciare nel Piattaforma Quer.
La versione pubblica su https://cti.uncoder.io/ è il modo più semplice e veloce per iniziare con Uncoder CTI ed eseguire query che non richiedono affinamenti avanzati. Per un’esperienza di caccia alle minacce più approfondita sfruttando le capacità estese di Uncoder CTI, come il mapping degli IOC personalizzati e la ricerca automatica nel tuo SIEM o XDR, unisciti alla piattaforma SOC Prime e accedi a oltre 130.000 rilevamenti per la scoperta e la caccia alle minacce. Dai un’occhiata alla panoramica di Uncoder CTI per saperne di più sulle capacità di caccia guidata dall’intelligenza dello strumento.
