Uncoder CTI: ステップバイステップガイドライン

SOC Primeは、Uncoder CTIのリリースと共に導入されることを発表しました。これは、 SOC Primeプラットフォーム 共同サイバー防衛のための、現在は https://cti.uncoder.io/ で公開されています。今後、脅威インテリジェンスアナリストとサイバーハンターは、その分野の経験に関係なく、Uncoder CTIを使用してその場でIOCベースの脅威ハンティングを試すことができます。チームのセキュリティニーズに合わせてカスタマイズされた即時IOCクエリ生成用のパブリックUncoder CTIバージョンは、現在完全に無料で、登録は不要です。 

このブログでは、Uncoder CTIを使い始めて脅威ハンティングをより簡単、迅速、そしてシンプルに行うためのガイドラインを見つけることができます。 

Uncoder CTIは、サイバー脅威インテリジェンスで脅威ハンティングを強化し、IOCマッチングを最大限のパフォーマンスで適用SIEMまたはXDRに簡素化するためにSOC Primeチームによって設計されました。 Uncoder.IOと同様に、このSOC Primeのイノベーションはクロスツールサポートを可能にし、複数のセキュリティソリューションで適用できます。Uncoder CTIを使えば、脅威インテリジェンスアナリストとサイバーハンターは、Microsoft Azure Sentinel、Chronicle Security、Elastic Stack、Splunkを含む15以上のSIEMおよびXDR技術のためにカスタムクエリを生成できます。

あなたのプライバシーを大切にします

SOC Primeはユーザーデータのプライバシーを非常に重視しており、それはUncoder CTIのプライバシーノーティスにも反映され、ツールを初めて開く人にアクセス可能です。SOC PrimeはUncoder CTIにアップロードされたIOCデータを保存せず、データは第三者と共有されません。IOCデータへのアクセスは、特定のUncoder CTIセッションを実行する各セキュリティパフォーマーにのみ可能です。 

IOCのアップロード

IOCを含むファイルを左側のウィンドウに直接挿入するか、 IOCをアップロード ボタンをクリックしてインポートしてください。許容形式のファイル（CSV、JSON、またはTXT）を選択してください。

Uncoder CTIには、特定の記号やキーワードの自動置換により、構文エラーや解析問題を防ぐためのデフォルト設定がすでに含まれています。これらの設定は、 その他 ボタンをクリックして、解析されるコンテンツ内の特定の文字の組み合わせを置換するオプションを選択することでカスタマイズできます：

• すべて選択 — すべてのリストされた置換オプションが適用されます
• 置き換える（.）[.] {.} をドットで
• hxxpをhttpで置き換える
• プライベートおよび予約済みネットワーク（例：0.0.0.0/8, 10.0.0.0/8 など）を除外する

クエリ生成設定

に追加されたIOCクエリをセキュリティのニーズに合わせてカスタマイズするために、以下の手順を踏んでください： クエリ生成設定, take these steps:

1. クエリで使用するIOCタイプを選択してください（IP、ハッシュ、ドメイン、またはURL）。
2. 必要に応じてハッシュタイプを選択してください（MD5、SHA-1、SHA-256、SHA-512）。
3. クエリを実行したいSIEMまたはXDRを選択してください。 
4. オプションとして、使用する特定のデータスキーマに合わせて 技術のデフォルトパラメータを調整するためにカスタムIOCフィールドマッピングを作成できます。 
5. スライダーを使用してクエリごとのIOC数を設定します。
6. オプションとして、特定のIOCをクエリから除外し、誤検知の数を減らすために例外を追加できます。例えば、8.8.8.8のIP、プライベートサブネット、または他の典型的なCTIレポートエラーをここに入力できます。 to exclude certain IOCs from your queries and decrease the number of false positives. For instance, you can enter here 8.8.8.8 IP, private subnets, or other typical CTI report errors.
7. さらに、対応するチェックボックスを選択して「OR」演算子でクエリにソースIPを含めることができます。
8. クリックしてください 生成する ボタン。 

SIEMまたはXDRでハントを深掘りする

生成されたカスタムIOCクエリは以下に表示されます。 脅威インテリジェンスアナリストとサイバーハンターは、クエリをコピーしてから選択した環境でSIEMまたはXDRインスタンスに直接ペーストすることでクエリを実行できます。 

または、Uncoder CTIは使用するセキュリティソリューションにクエリを自動的に送信することが可能です。 

クエリコードにカーソルを合わせたときに表示されるアクションボタンのうちの1つを使用して、生成されたハンティングクエリを取得する方法を選択してください。

これで、選択した クエリプラットフォーム.

にてハンティングを行う準備が整いました。 https://cti.uncoder.io/ で公開されています のパブリックバージョンは、Uncoder CTIを始めるための最も簡単で迅速な方法であり、詳細な微調整を必要としないクエリを実行することができます。拡張されたUncoder CTI機能を使用して脅威ハンティング体験をより深くするために、カスタムIOCマッピングやSIEMまたはXDRでの自動検索などを活用するには SOC Primeプラットフォーム に参加して Uncoder CTIの概要 で、ツールのインテリジェンス駆動型ハンティング機能について詳しく学びましょう。

SOC Primeプラットフォームに参加する CTI.Uncoder.IOを試す