작동 원리
1. 위협 보고서에서 IOC 추출
Uncoder AI는 사고 보고서(왼쪽)에서 지표를 자동으로 구문 분석하고 분류합니다. 포함 내용:
-
악성 도메인, 예:
-
mail.zhblz.com
-
docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
-
doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com
-
이 도메인들은 피싱 문서, 위조된 로그인 포털, 데이터 유출 엔드포인트와 연결되어 있습니다.
2. SentinelOne 호환 쿼리 생성
오른쪽에서 Uncoder AI는 SentinelOne Event 쿼리 를 사용하여 DNS in contains anycase 구문:
DNS in contains anycase (
"docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",
"mail.zhblz.com",
"doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"
)
-
연산자: contains anycase 는 대소문자 구분 없이 DNS 로그 변동성을 처리할 수 있도록 감지를 보장합니다.
-
필드: DNS 해결 이벤트를 목표로 하며, 악성 코드를 유발하는 도메인 조회를 발견하는 데 이상적입니다.
사용 사례: DNS 쿼리가 powershell.exe , browser.ps1 , 또는 zapit.exe .
유용성
-
제로 포맷팅 노력: 긴 서브도메인 체인은 적절한 매칭을 위해 자동으로 포맷됩니다.
-
즉각적인 IOC 배포: 분석가는 SentinelOne에서 쿼리를 직접 실행하여 감염된 호스트 또는 비컨 행동을 식별할 수 있습니다.
높은 신호 대 잡음 비율: 공격자가 소유한 인프라에만 집중하여 오탐지율을 최소화합니다.
운영상의 이점
SentinelOne 사용자에게 이 기능을 통해:
-
빠른 위협 헌팅
도메인 쿼리를 수동으로 작성할 필요가 없으며, Uncoder AI로 모든 위협 보고서에서 가능합니다.
-
즉각적인 IOC 집행
고신뢰 APT 인프라와 일치하는 DNS 쿼리를 차단하거나 경고합니다.
SOC 효율성
추측을 제거하고 쿼리 작성 부담을 줄여 응답 시간을 가속화합니다.
