Uncoder AI에서 SentinelOne을 위한 IOC-to-Query 변환

[post-views]
5월 27, 2025 · 2 분 읽기
Uncoder AI에서 SentinelOne을 위한 IOC-to-Query 변환

작동 원리

1. 위협 보고서에서 IOC 추출

Uncoder AI는 사고 보고서(왼쪽)에서 지표를 자동으로 구문 분석하고 분류합니다. 포함 내용:

  • 악성 도메인, 예:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

이 도메인들은 피싱 문서, 위조된 로그인 포털, 데이터 유출 엔드포인트와 연결되어 있습니다.

Uncoder AI 탐색

2. SentinelOne 호환 쿼리 생성

오른쪽에서 Uncoder AI는 SentinelOne Event 쿼리 를 사용하여 DNS in contains anycase 구문:

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • 연산자: contains anycase 는 대소문자 구분 없이 DNS 로그 변동성을 처리할 수 있도록 감지를 보장합니다.
  • 필드: DNS 해결 이벤트를 목표로 하며, 악성 코드를 유발하는 도메인 조회를 발견하는 데 이상적입니다.

사용 사례: DNS 쿼리가 powershell.exe , browser.ps1 , 또는 zapit.exe .

유용성

  • 제로 포맷팅 노력: 긴 서브도메인 체인은 적절한 매칭을 위해 자동으로 포맷됩니다.
  • 즉각적인 IOC 배포: 분석가는 SentinelOne에서 쿼리를 직접 실행하여 감염된 호스트 또는 비컨 행동을 식별할 수 있습니다.

높은 신호 대 잡음 비율: 공격자가 소유한 인프라에만 집중하여 오탐지율을 최소화합니다.

운영상의 이점

SentinelOne 사용자에게 이 기능을 통해:

  • 빠른 위협 헌팅
    도메인 쿼리를 수동으로 작성할 필요가 없으며, Uncoder AI로 모든 위협 보고서에서 가능합니다.
  • 즉각적인 IOC 집행
    고신뢰 APT 인프라와 일치하는 DNS 쿼리를 차단하거나 경고합니다.

SOC 효율성
추측을 제거하고 쿼리 작성 부담을 줄여 응답 시간을 가속화합니다.

Uncoder AI 탐색

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물