Detectar Ameaças DNS no Google SecOps: Conversão da Regra Katz Stealer com Uncoder AI

Plataforma SOC Prime

Junho 12, 2025

2 min de leitura

Detectar Ameaças DNS no Google SecOps: Conversão da Regra Katz Stealer com Uncoder AI

Steven Edwards
Steven Edwards Analista de Detecção de Ameaças

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Como Funciona

Este recurso permite que os engenheiros de detecção convertam perfeitamente regras Sigma em Google SecOps Query Language (UDM). Na captura de tela, a regra Sigma original é projetada para detectar consultas DNS a Katz Stealer — uma família de malware associada à exfiltração de dados e atividade de comando e controle.

Painel Esquerdo – Regra Sigma:

A lógica Sigma inclui:

  • Logsource categoria DNS
  • Condições de detecção correspondendo a quatro domínios conhecidos associados ao Katz Stealer (katz-panel.com , katzstealer.com, etc.)
  • A nível de severidade alto, indicando comportamento possivelmente malicioso

Explore Uncoder AI

Painel Direito – Saída Google SecOps:

O Uncoder AI gera automaticamente um UDM query, traduzindo a lógica de detecção Sigma para a sintaxe específica da plataforma:

{target.url=/.*katz-panel\.com.*/ nocase or ...}

Esse padrão usa regex matching com modificadores nocase nos domínios identificados, adaptado para o esquema UDM da Google. A transformação assegura que a intenção original de detecção seja preservada com uma sintaxe que é imediatamente utilizável no Google SecOps.

Por que é Inovador

Tradicionalmente, o conteúdo de detecção precisa ser reescrito manualmente para cada plataforma SIEM/XDR — um processo tedioso e propenso a erros, especialmente ao lidar com observáveis DNS e expressões regulares.

O Uncoder AI resolve isso ao:

  • Mapear automaticamente os campos Sigma para nomes de campos UDM (ex. query|containstarget.url)
  • Adaptação da lógica de correspondência com estruturas regex corretas e regras de casing
  • Garantindo fidelidade de cobertura de detecção entre plataformas

Isso permite que a detecção de ameaças escale rapidamente sem esforço de codificação específico de fornecedor.

Valor Operacional

Para equipes SOC e engenheiros de detecção:

  • Economia de tempo: Converta detecções Sigma reutilizáveis para a sintaxe UDM instantaneamente.
  • Cobertura de ameaças: Implante detecções baseadas em DNS para o Katz Stealer em ambientes nativos da nuvem Google.
  • Precisão e consistência: Garanta a precisão da tradução enquanto mantém a integridade da lógica de detecção.
  • Extensibilidade da plataforma: Construa detecções uma vez, operacionalize em qualquer lugar.

Este recurso permite que as equipes de segurança transformem conteúdo de detecção de código aberto em consultas UDM acionáveis — reduzindo o tempo de resposta e melhorando a visibilidade em implantações do Google SecOps.

Explore Uncoder AI

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Plataforma SOC Prime Articles

Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações 19 min de leitura Plataforma SOC Prime Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações by Daryna Olyniychuk Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI 2 min de leitura Plataforma SOC Prime Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI by Steven Edwards De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI 2 min de leitura Plataforma SOC Prime De Sigma para SentinelOne: Detectando Acesso a Senhas via Notepad com Uncoder AI by Steven Edwards