Conversão de IOC para Consulta no SentinelOne com Uncoder AI

[post-views]
Maio 27, 2025 · 2 min de leitura
Conversão de IOC para Consulta no SentinelOne com Uncoder AI

Como Funciona

1. Extração de IOC do Relatório de Ameaças

Uncoder AI analisa e categoriza automaticamente indicadores do relatório de incidentes (à esquerda), incluindo:

  • Domínios maliciosos, tais como:
    • mail.zhblz.com
    • docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com
    • doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com

Esses domínios estão ligados a documentos de phishing, portais de login falsificados e endpoints de exfiltração de dados.

Explorar Uncoder AI

2. Geração de Consulta Compatível com SentinelOne

À direita, Uncoder AI gera uma consulta de Evento do SentinelOne usando a sintaxe DNS in contains anycase :

DNS in contains anycase (

  "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com",

  "mail.zhblz.com",

  "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

)

  • Operador: contains anycase assegura que a detecção não depende de maiúsculas ou minúsculas, lidando com variações de logs DNS.
  • Campo: DNS aponta para eventos de resolução, ideal para revelar buscas de domínios ligadas a malware ou links de phishing.

Caso de uso: Investigue consultas DNS iniciadas por powershell.exe , browser.ps1 , ou zapit.exe .

Por que é Útil

  • Zero esforço de formatação: Cadeias longas de subdomínios são auto formatadas para correspondência adequada.
  • Implantação instantânea de IOC: Os analistas podem executar a consulta diretamente no SentinelOne para identificar hosts infectados ou comportamento de beaconing.

Alta relação sinal-ruído: Foca apenas em infraestrutura controlada pelo atacante, minimizando falsos positivos.

Benefícios Operacionais

Para usuários do SentinelOne, este recurso permite:

  • Caça a Ameaças mais Rápida
    Não é necessário construir manualmente consultas de domínio — Uncoder AI faz isso a partir de qualquer relatório de ameaça.
  • Aplicação imediata de IOC
    Bloquear ou alertar sobre consultas DNS que correspondem à infraestrutura APT de alta confiança.

Eficiência da SOC
Acelera o tempo de resposta eliminando suposições e reduzindo o esforço de escrita de consultas.

Explorar Uncoder AI

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas