Uncoder AI에서 Google SecOps(Chronicle)에 대한 IOC-to-Query 생성

작동 방식

1. 위협 보고서에서 IOC 추출

Uncoder AI는 위협 보고서의 구조적 데이터를 자동으로 구문 분석하여 다음을 추출합니다:

• 도메인 및 하위 도메인 (예를 들어, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  
• URL 및 경로 피싱 및 페이로드 전송 서버에서
  
• 관련 IP, 해시 및 파일명 (왼쪽에서 본 것처럼)
  

이는 여러 출처에서 IOC를 복사하고 표준화하는 것에 비해 많은 수작업을 절약합니다.

Uncoder AI 탐색하기

2. 자동 형식화된 UDM 쿼리 생성

오른쪽 패널에서 Uncoder AI는 Google SecOps에 맞는 쿼리를 출력합니다 사용하여 UDM 필드 target.hostname, 추출된 도메인과 일치하는:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

이 도메인들은 적의 스테이징 인프라, 피싱 페이지 또는 C2 통신 엔드포인트와 관련이 있습니다.

이 형식은 즉시 Google SecOps 검색 to:

• 에서 사용 가능합니다
  
• 이전 DNS 해상도 또는 네트워크 연결을 추적
  
• 탐지 규칙이나 맞춤 대시보드 생성

왜 가치 있는가

• 시간 절약: IOC 목록을 수동으로 형식화할 필요 없음 — 도메인 값이 자동으로 유효한 쿼리 구문에 삽입됩니다
  
• 오류 감소: UDM 필드 이름의 적절한 사용은 Chronicle의 탐지 엔진과의 호환성을 보장합니다
  
• 즉시 실행 가능: 보안 팀은 위협 보고서에서 실제 텔레메트리 검색으로 몇 초 안에 전환할 수 있습니다
  

운영 사례

보안 분석가와 위협 헌터는 이 기능을 사용하여:

• 가짜 Google Docs 또는 OWA 페이지에 연결된 피싱 캠페인 콜백 탐지 위협 조사
  
• 드로부터 공격자가 제어하는 인프라로의 트래픽 모니터링 자격 증명 도난 대응
  
• 엔드포인트 및 네트워크 로그에서 미리 검증된 도메인 일치로 사고에 대응 클립보드 기반 페이로드에서 가짜 로그인 포털에 이르기까지, Uncoder AI는 Google SecOps 팀이 위협 인텔리전스를 구조화된 고신뢰 탐지로 즉시 변환할 수 있도록 지원합니다.
  

From clipboard-based payloads to fake login portals, Uncoder AI empowers Google SecOps teams to transform threat intelligence into structured, high-fidelity detections — instantly.

Uncoder AI 탐색하기