Detecção de Arquivo Zip e Domínio C2 no Microsoft Sentinel via Uncoder AI

[post-views]
Junho 04, 2025 · 2 min de leitura
Detecção de Arquivo Zip e Domínio C2 no Microsoft Sentinel via Uncoder AI

Como Funciona

Esta funcionalidade do Uncoder AI gera uma consulta de detecção KQL de amplo espectro para Microsoft Sentinel, com base em indicadores de CERT-UA#14045 (DarkCrystal RAT). A IA processa um relatório de ameaça e gera uma consulta para pesquisar logs por strings como:

  • "Розпорядження.zip" – um nome de arquivo em ucraniano suspeito usado para disfarçar malware
  • "imgurl.ir" – um domínio malicioso conhecido associado à infraestrutura de comando e controle

A sintaxe da consulta:

search (@"Розпорядження.zip" or @"imgurl.ir")

usa o operador search para identificar qualquer menção a esses IOCs em todas as tabelas de dados e campos disponíveis no Microsoft Sentinel.

A consulta é construída usando literais de string KQL verbatim (@””) para garantir a correspondência exata de padrões sem sequências de escape — crucial para nomes de arquivos multilíngues ou ofuscados.

Explore o Uncoder AI

Por Que É Inovador

Ao invés de depender da integração manual de IOCs ou de criar lógica específica para campos, o Uncoder AI utiliza NLP e LLMs para extrair indicadores de alta confiança de relatórios de ameaças brutos. Em seguida, gera instantaneamente uma consulta aplicando:

  • Formatação KQL adequada (por exemplo, sintaxe de string verbatim)
  • Estrutura lógica usando o operador or para cobertura de múltiplos indicadores
  • Compatibilidade com a sintaxe do Microsoft Sentinel sem necessidade de intervenção do usuário

Isso reduz significativamente o esforço para analistas que anteriormente tinham que traduzir informações de ameaças em consultas válidas no Sentinel por conta própria.

Valor Operacional / Resultados / Benefícios

Descoberta Ampla de IOC

A consulta permite triagem rápida para ambientes possivelmente afetados pela atividade do DarkCrystal RAT. Ela pode detectar rastros de logs de:

  • Downloads de arquivos compactados e outros tipos de eventos contendo "Розпорядження.zip"
  • Resoluções DNS ou tráfego HTTP envolvendo "imgurl.ir"

Engenharia de Detecção Acelerada

O Uncoder AI elimina suposições na montagem de consultas, garantindo:

  • A lógica de detecção é instantaneamente utilizável no Microsoft Sentinel
  • Os indicadores de payloads multilíngues ou ofuscados não são perdidos na tradução

Eficiência Aprimorada do SOC

Ao permitir a capacidade de colar diretamente em consultas, a saída gerada pela IA possibilita uma resposta rápida a incidentes, enriquecimento e autoria de lógica de detecção.

Explore o Uncoder AI

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas