Uncoder AI에서 SentinelOne을 위한 IOC-to-Query 변환

작동 원리

1. 위협 보고서에서 IOC 추출

Uncoder AI는 사고 보고서(왼쪽)에서 지표를 자동으로 구문 분석하고 분류합니다. 포함 내용:

• 악성 도메인, 예:
  
  • mail.zhblz.com
    
  • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    
  • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com
    

이 도메인들은 피싱 문서, 위조된 로그인 포털, 데이터 유출 엔드포인트와 연결되어 있습니다.

Uncoder AI 탐색

2. SentinelOne 호환 쿼리 생성

오른쪽에서 Uncoder AI는 SentinelOne Event 쿼리 를 사용하여 DNS in contains anycase 구문:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

• 연산자: contains anycase 는 대소문자 구분 없이 DNS 로그 변동성을 처리할 수 있도록 감지를 보장합니다.
  
• 필드: DNS 해결 이벤트를 목표로 하며, 악성 코드를 유발하는 도메인 조회를 발견하는 데 이상적입니다.
  

사용 사례: DNS 쿼리가 powershell.exe , browser.ps1 , 또는 zapit.exe .

유용성

• 제로 포맷팅 노력: 긴 서브도메인 체인은 적절한 매칭을 위해 자동으로 포맷됩니다.
  
• 즉각적인 IOC 배포: 분석가는 SentinelOne에서 쿼리를 직접 실행하여 감염된 호스트 또는 비컨 행동을 식별할 수 있습니다.
  

높은 신호 대 잡음 비율: 공격자가 소유한 인프라에만 집중하여 오탐지율을 최소화합니다.

운영상의 이점

SentinelOne 사용자에게 이 기능을 통해:

• 빠른 위협 헌팅
  도메인 쿼리를 수동으로 작성할 필요가 없으며, Uncoder AI로 모든 위협 보고서에서 가능합니다.
  
• 즉각적인 IOC 집행
  고신뢰 APT 인프라와 일치하는 DNS 쿼리를 차단하거나 경고합니다.
  

SOC 효율성
추측을 제거하고 쿼리 작성 부담을 줄여 응답 시간을 가속화합니다.

Uncoder AI 탐색