Uncoder AI에서 Microsoft Sentinel을 위한 IOC 쿼리 생성

[post-views]
5월 23, 2025 · 2 분 읽기
Uncoder AI에서 Microsoft Sentinel을 위한 IOC 쿼리 생성

작동 방식

1. 위협 보고서에서 IOC 구문 분석

Uncoder AI는 위협 보고서에서 주요 관찰값을 자동으로 식별하고 추출합니다. 여기에는 다음이 포함됩니다:

  • 악성 도메인 예:
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • mail.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

이러한 IOC는 공격자가 피싱 및 피해자 메일박스에 접근하기 위해 사용합니다.

Uncoder AI 탐색

2. Sentinel 호환 KQL 생성

오른쪽에, Uncoder AI는 Microsoft Sentinel 검색 쿼리 를 생성합니다 search 연산자를 사용하여:

search (@"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com" 

     or @"mail.zhblz.com" 

     or @"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com")

  • 검색 범위: 이 패턴은 Sentinel에 수집된 모든 로그(DNS, 프록시, 방화벽, Defender 등)에서 검색합니다.
  • 사용하는 @”” 구문: 이 구문은 도메인 이름의 특수 문자가 쿼리 오류 없이 올바르게 구문 분석되고 일치되도록 보장합니다.

왜 가치가 있는지

  • 즉각적인 운영 가능성: 분석가는 이 쿼리를 Microsoft Sentinel의 Logs 워크스페이스에 직접 붙여넣어 위협 추적 또는 조사를 수행할 수 있습니다.
  • 수작업 형식화 불필요: 길거나 난독화된 도메인은 Uncoder AI의 구문 모델에 의해 깔끔하고 안전하게 처리됩니다.

확장 가능: 필요 시 추가적인 IOC, 파일 해시 또는 IP를 포함하도록 쉽게 확장할 수 있습니다.

운영 사용 사례

보안 팀이 이 기능을 사용하여:

  • 공격자 제어 피싱 인프라와의 연결 식별
  • 엔드포인트 행동을 상관 관계 DNS 쿼리 또는 웹 접근 로그와
  • 위협 인텔에서 탐지로 빠르게 전환, 지연 시간을 줄이면서

피싱 경고에 대응하거나 APT 활동을 적극적으로 탐지할 때, 이 기능은 분석에서 탐지로의 전환을 초 단위로 가능합니다.

Uncoder AI 탐색

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물