Uncoder CTI: ステップバイステップガイドライン

ブログ

10月 07, 2021

8 分で読めます

Uncoder CTI: ステップバイステップガイドライン

Eugene Tkachenko
Eugene Tkachenko コミュニティプログラムリード

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
目次

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

SOC Primeは、Uncoder CTIのリリースと共に導入されることを発表しました。これは、 SOC Primeプラットフォーム 共同サイバー防衛のための、現在は https://cti.uncoder.io/ で公開されています。今後、脅威インテリジェンスアナリストとサイバーハンターは、その分野の経験に関係なく、Uncoder CTIを使用してその場でIOCベースの脅威ハンティングを試すことができます。チームのセキュリティニーズに合わせてカスタマイズされた即時IOCクエリ生成用のパブリックUncoder CTIバージョンは、現在完全に無料で、登録は不要です。 

このブログでは、Uncoder CTIを使い始めて脅威ハンティングをより簡単、迅速、そしてシンプルに行うためのガイドラインを見つけることができます。 

Uncoder CTIは、サイバー脅威インテリジェンスで脅威ハンティングを強化し、IOCマッチングを最大限のパフォーマンスで適用SIEMまたはXDRに簡素化するためにSOC Primeチームによって設計されました。 Uncoder.IOと同様に、このSOC Primeのイノベーションはクロスツールサポートを可能にし、複数のセキュリティソリューションで適用できます。Uncoder CTIを使えば、脅威インテリジェンスアナリストとサイバーハンターは、Microsoft Azure Sentinel、Chronicle Security、Elastic Stack、Splunkを含む15以上のSIEMおよびXDR技術のためにカスタムクエリを生成できます。

あなたのプライバシーを大切にします

SOC Primeはユーザーデータのプライバシーを非常に重視しており、それはUncoder CTIのプライバシーノーティスにも反映され、ツールを初めて開く人にアクセス可能です。SOC PrimeはUncoder CTIにアップロードされたIOCデータを保存せず、データは第三者と共有されません。IOCデータへのアクセスは、特定のUncoder CTIセッションを実行する各セキュリティパフォーマーにのみ可能です。 

IOCのアップロード

IOCを含むファイルを左側のウィンドウに直接挿入するか、 IOCをアップロード ボタンをクリックしてインポートしてください。許容形式のファイル(CSV、JSON、またはTXT)を選択してください。

Uncoder CTI

Uncoder CTIには、特定の記号やキーワードの自動置換により、構文エラーや解析問題を防ぐためのデフォルト設定がすでに含まれています。これらの設定は、 その他 ボタンをクリックして、解析されるコンテンツ内の特定の文字の組み合わせを置換するオプションを選択することでカスタマイズできます:

  • すべて選択 — すべてのリストされた置換オプションが適用されます
  • 置き換える(.)[.] {.} をドットで
  • hxxpをhttpで置き換える
  • プライベートおよび予約済みネットワーク(例:0.0.0.0/8, 10.0.0.0/8 など)を除外する

Uncoder CTI

クエリ生成設定

に追加されたIOCクエリをセキュリティのニーズに合わせてカスタマイズするために、以下の手順を踏んでください: クエリ生成設定, take these steps:

  1. クエリで使用するIOCタイプを選択してください(IP、ハッシュ、ドメイン、またはURL)。
  2. 必要に応じてハッシュタイプを選択してください(MD5、SHA-1、SHA-256、SHA-512)。
  3. クエリを実行したいSIEMまたはXDRを選択してください。 
  4. オプションとして、使用する特定のデータスキーマに合わせて 技術のデフォルトパラメータを調整するためにカスタムIOCフィールドマッピングを作成できます。 
  5. スライダーを使用してクエリごとのIOC数を設定します。
  6. オプションとして、特定のIOCをクエリから除外し、誤検知の数を減らすために例外を追加できます。例えば、8.8.8.8のIP、プライベートサブネット、または他の典型的なCTIレポートエラーをここに入力できます。 to exclude certain IOCs from your queries and decrease the number of false positives. For instance, you can enter here 8.8.8.8 IP, private subnets, or other typical CTI report errors.
  7. さらに、対応するチェックボックスを選択して「OR」演算子でクエリにソースIPを含めることができます。
  8. クリックしてください 生成する ボタン。 

注意:

新しいIOCフィールドマッピングプロファイルを構成するには、 SOC Primeプラットフォーム に登録するか、既存のアカウントを使ってログインする必要があります。 

Uncoder CTI

SIEMまたはXDRでハントを深掘りする

生成されたカスタムIOCクエリは以下に表示されます。 脅威インテリジェンスアナリストとサイバーハンターは、クエリをコピーしてから選択した環境でSIEMまたはXDRインスタンスに直接ペーストすることでクエリを実行できます。 

または、Uncoder CTIは使用するセキュリティソリューションにクエリを自動的に送信することが可能です。 

注意:

この機能を活用するには、セキュリティパフォーマーがSOC Primeプラットフォームにサインアップまたはログインし、 対応するAPI環境 を設定する必要があります。 プラットフォーム環境 設定を使用します。

クエリコードにカーソルを合わせたときに表示されるアクションボタンのうちの1つを使用して、生成されたハンティングクエリを取得する方法を選択してください。

Uncoder CTIこれで、選択した クエリプラットフォーム.

にてハンティングを行う準備が整いました。 https://cti.uncoder.io/ で公開されています のパブリックバージョンは、Uncoder CTIを始めるための最も簡単で迅速な方法であり、詳細な微調整を必要としないクエリを実行することができます。拡張されたUncoder CTI機能を使用して脅威ハンティング体験をより深くするために、カスタムIOCマッピングやSIEMまたはXDRでの自動検索などを活用するには SOC Primeプラットフォーム に参加して Uncoder CTIの概要 で、ツールのインテリジェンス駆動型ハンティング機能について詳しく学びましょう。

SOC Primeプラットフォームに参加する CTI.Uncoder.IOを試す

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More ブログ Articles

SOC Prime プラットフォームとGitHubの統合 6 分で読めます SOCプライムプラットフォーム SOC Prime プラットフォームとGitHubの統合 by Veronika Zahorulko SOC PrimeによるAmazon Security Lakeとの統合のハイライト 7 分で読めます SOCプライムプラットフォーム SOC PrimeによるAmazon Security Lakeとの統合のハイライト by Veronika Zahorulko BianLian ランサムウェア検出: 支払うべきか、否か 4 分で読めます 最新の脅威 BianLian ランサムウェア検出: 支払うべきか、否か by Anastasiia Yevdokimova