Uncoder AIによるMicrosoft SentinelのIOCクエリ生成

仕組み

1. 脅威レポートからのIOC解析

Uncoder AIは、以下を含む脅威レポートから主要な観測可能項目を自動的に識別し抽出します：

• 悪意のあるドメイン 例：
  
  • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    
  • mail.zhblz.com
    
  • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com
    

これらのIOCは、敵対者がフィッシングを行い、被害者のメールボックスにアクセスするために使用されます。

Uncoder AIを探る

2. Sentinel互換のKQL生成

右側には、Uncoder AIが Microsoft Sentinel検索クエリ を search オペレーターを使用して出力します：

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

または @"mail.zhblz.com" 

または @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

• 検索範囲： このパターンは、Sentinelに取り込まれたすべてのログ（例：DNS、プロキシ、ファイアウォール、Defenderなど）を検索します。
  
• 使用方法 @”” 構文： これにより、ドメイン名の特殊文字が正しく解析され、クエリエラーなしでマッチされることが保証されます。
  

その価値

• 即座に運用可能： アナリストはこのクエリをMicrosoft Sentinelのログワークスペースに直接貼り付けて、脅威ハンティングや調査に使用できます。
  
• 手動フォーマット不要： 長いまたは難読化されたドメインは、Uncoder AIの構文モデルによってクリーンかつ安全に処理されます。
  

スケーラブル： 必要に応じて追加のIOC、ファイルハッシュ、またはIPを簡単に拡張可能です。

運用上のユースケース

セキュリティチームは、この機能を使用して：

• 攻撃者制御のフィッシングインフラへの接続を特定する
  
• エンドポイントの挙動を関連付ける DNSクエリやウェブアクセスログとともに
  
• 脅威インテリジェンスから検出まで迅速にピボットすることで、滞留時間を短縮します
  

フィッシング警報への対応やAPT活動の積極的な探索において、この機能はSOCチームが数秒で分析から検出へと移行するのを支援します。

Uncoder AIを探る