Geração de IOC para Consulta no Google SecOps (Chronicle) com Uncoder AI

[post-views]
Maio 23, 2025 · 2 min de leitura
Geração de IOC para Consulta no Google SecOps (Chronicle) com Uncoder AI

Como Funciona

1. Extração de IOC de Relatórios de Ameaças

Uncoder AI analisa automaticamente relatórios de ameaças estruturados para extrair:

  • Domínios e subdomínios (por exemplo, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…)
  • URLs e caminhos de servidores de phishing e entrega de carga útil
  • IPs, hashes e nomes de arquivos relacionados (visualizado à esquerda)

Isso economiza um esforço manual significativo em comparação com a cópia e normalização de IOCs de múltiplas fontes.

Explorar Uncoder AI

2. Geração Automática de Consulta UDM Formatada

No painel direito, Uncoder AI gera uma consulta pronta para Google SecOps usando o campo UDM target.hostname, correspondendo aos domínios extraídos:

target.hostname = "docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com"

or target.hostname = "mail.zhblz.com"

or target.hostname = "doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com"

Esses domínios estão associados à infraestrutura de preparação do adversário, páginas de phishing ou pontos de comunicação C2.

Este formato é imediatamente utilizável em Pesquisa Google SecOps to:

  • Caçar resoluções DNS anteriores ou conexões de rede
  • Construir regras de detecção ou painéis personalizados
  • Investigar atividade suspeita com base em observáveis de domínio

Por Que É Valioso

  • Economiza Tempo: Sem necessidade de formatar manualmente listas de IOC — valores de domínio são automaticamente inseridos na sintaxe de consulta válida
  • Reduz Erros: Uso adequado dos nomes dos campos UDM garante compatibilidade com o motor de detecção do Chronicle
  • Imediatamente Acionável: Equipes de segurança podem deslocar-se de um relatório de ameaças para uma busca de telemetria real em segundos

Casos de Uso Operacional

Analistas de segurança e caçadores de ameaças podem usar este recurso para:

  • Detectar callbacks de campanha de phishing vinculados a falsas páginas do Google Docs ou OWA
  • Monitorar tráfego para infraestrutura controlada por atacantes ligado a roubo de credenciais
  • Responder a incidentes com correspondências de domínio pré-verificadas em logs de endpoint e rede

De cargas úteis baseadas em clipboard a portais de login falsos, Uncoder AI capacita equipes do Google SecOps a transformar inteligência de ameaças em detecções estruturadas de alta fidelidade — instantaneamente.

Explorar Uncoder AI

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas