Uncoder CTI: Diretrizes Passo a Passo

SOC Prime tem o prazer de anunciar que o Uncoder CTI, introduzido com o lançamento da plataforma SOC Prime para defesa cibernética colaborativa, agora está disponível para uso público em https://cti.uncoder.io/. A partir de agora, analistas de inteligência de ameaças e caçadores de ameaças, independentemente de sua experiência no campo, podem experimentar a caça de ameaças com base em IOC de imediato utilizando o Uncoder CTI. A versão pública do Uncoder CTI para gerar consultas instantâneas de IOC personalizadas para as necessidades de segurança da equipe agora é 100% gratuita e não exige registro. 

Neste blog, você pode encontrar diretrizes sobre como começar a usar o Uncoder CTI para tornar sua experiência de caça a ameaças mais fácil, rápida e simples. 

O Uncoder CTI foi projetado pela equipe da SOC Prime para turbinar a caça a ameaças com inteligência de ameaças cibernéticas e otimizar a correspondência de IOC para máximo desempenho no SIEM ou XDR aplicado. Como o Uncoder.IO, esta inovação da SOC Prime oferece suporte cruzado de ferramentas e pode ser aplicada em várias soluções de segurança. Com o Uncoder CTI, analistas de inteligência de ameaças e caçadores de ameaças podem gerar consultas personalizadas para 15+ tecnologias de SIEM & XDR, incluindo Microsoft Azure Sentinel, Chronicle Security, Elastic Stack e Splunk.

Nós Cuidamos da Sua Privacidade

A SOC Prime valoriza muito a privacidade dos dados dos usuários, o que também é refletido no aviso de privacidade do Uncoder CTI visível para qualquer pessoa que abra a ferramenta pela primeira vez. A SOC Prime não armazena dados de IOC carregados no Uncoder CTI, e nenhum dado é compartilhado com terceiros. O acesso aos dados de IOC está disponível apenas para performers de segurança que executam cada sessão específica do Uncoder CTI. 

Carregando IOCs

Insira um arquivo contendo IOCs diretamente na janela à esquerda ou importe-o clicando no Botão Carregar IOCs . Por favor, selecione os arquivos no formato aceitável (CSV, JSON, ou TXT).

O Uncoder CTI já inclui configurações padrão que previnem erros de sintaxe e problemas de análise através da substituição automática de certos símbolos e palavras-chave. As equipes podem personalizar essas configurações clicando no Botão Mais e selecionando uma opção para substituir certas combinações de caracteres no conteúdo a ser analisado:

• Selecionar tudo — todas as opções de substituição listadas são aplicadas
• Substituir (.) [.] {.} por ponto
• Substituir hxxp por http
• Excluir redes privadas e reservadas (como 0.0.0.0/8, 10.0.0.0/8, etc.)

Configurações de Geração de Consultas

Para personalizar a consulta IOC adicionada às suas necessidades de segurança no Configurações de Geração de Consultas, siga estes passos:

1. Selecione os tipos de IOC que serão usados em sua consulta (IP, Hash, Domínio ou URL).
2. Selecione o tipo de hash, se necessário (MD5, SHA-1, SHA-256, SHA-512).
3. Selecione o SIEM ou XDR no qual você deseja executar a consulta. 
4. Opcionalmente, você pode criar o mapeamento de campo IOC personalizado para ajustar os parâmetros padrão da tecnologia em uso ao seu esquema de dados específico. 
5. Use o controle deslizante para definir o número de IOCs por consulta.
6. Opcionalmente, você pode adicionar exceções para excluir determinados IOCs de suas consultas e diminuir o número de falsos positivos. Por exemplo, você pode inserir aqui o IP 8.8.8.8, sub-redes privadas ou outros erros típicos de relatórios CTI.
7. Além disso, você pode incluir o IP de origem em sua consulta com o operador “OR” marcando a caixa de seleção correspondente.
8. Clique no Botão Gerar . 

Explorando a Funda em Seu SIEM ou XDR

A consulta IOC personalizada gerada será exibida abaixo. Analistas de inteligência de ameaças e caçadores de ameaças podem executar uma consulta no ambiente selecionado copiando e colando diretamente na instância SIEM ou XDR. 

Alternativamente, o Uncoder CTI permite o envio automático de consultas para a solução de segurança em uso. 

Escolha como capturar a consulta de caça gerada com um dos botões de ação que aparecem ao passar o mouse sobre o código da consulta.

É isso aí, você está pronto para caçar na Plataforma de Consultas.

A versão pública em https://cti.uncoder.io/ é a maneira mais simples e rápida de começar a usar o Uncoder CTI e executar consultas que não exigem ajustes avançados. Para uma experiência de caça a ameaças mais perspicaz aproveitando as capacidades estendidas do Uncoder CTI, como mapeamento de IOC personalizado e busca automatizada em seu SIEM ou XDR, participe da plataforma SOC Prime e tenha acesso a mais de 130.000 detecções para descoberta e caça de ameaças. Confira o resumo do Uncoder CTI para saber mais sobre as capacidades de caça orientadas por inteligência da ferramenta.

Junte-se à Plataforma SOC Prime Experimente CTI.Uncoder.IO