Detecção de Arquivo Zip e Domínio C2 no Microsoft Sentinel via Uncoder AI

Blog

Junho 04, 2025

2 min de leitura

Detecção de Arquivo Zip e Domínio C2 no Microsoft Sentinel via Uncoder AI

Steven Edwards
Steven Edwards Analista de Detecção de Ameaças

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabela de Conteúdos

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Como Funciona

Esta funcionalidade do Uncoder AI gera uma consulta de detecção KQL de amplo espectro para Microsoft Sentinel, com base em indicadores de CERT-UA#14045 (DarkCrystal RAT). A IA processa um relatório de ameaça e gera uma consulta para pesquisar logs por strings como:

  • "Розпорядження.zip" – um nome de arquivo em ucraniano suspeito usado para disfarçar malware
  • "imgurl.ir" – um domínio malicioso conhecido associado à infraestrutura de comando e controle

A sintaxe da consulta:

search (@"Розпорядження.zip" or @"imgurl.ir")

usa o operador search para identificar qualquer menção a esses IOCs em todas as tabelas de dados e campos disponíveis no Microsoft Sentinel.

A consulta é construída usando literais de string KQL verbatim (@””) para garantir a correspondência exata de padrões sem sequências de escape — crucial para nomes de arquivos multilíngues ou ofuscados.

Explore o Uncoder AI

Por Que É Inovador

Ao invés de depender da integração manual de IOCs ou de criar lógica específica para campos, o Uncoder AI utiliza NLP e LLMs para extrair indicadores de alta confiança de relatórios de ameaças brutos. Em seguida, gera instantaneamente uma consulta aplicando:

  • Formatação KQL adequada (por exemplo, sintaxe de string verbatim)
  • Estrutura lógica usando o operador or para cobertura de múltiplos indicadores
  • Compatibilidade com a sintaxe do Microsoft Sentinel sem necessidade de intervenção do usuário

Isso reduz significativamente o esforço para analistas que anteriormente tinham que traduzir informações de ameaças em consultas válidas no Sentinel por conta própria.

Valor Operacional / Resultados / Benefícios

Descoberta Ampla de IOC

A consulta permite triagem rápida para ambientes possivelmente afetados pela atividade do DarkCrystal RAT. Ela pode detectar rastros de logs de:

  • Downloads de arquivos compactados e outros tipos de eventos contendo "Розпорядження.zip"
  • Resoluções DNS ou tráfego HTTP envolvendo "imgurl.ir"

Engenharia de Detecção Acelerada

O Uncoder AI elimina suposições na montagem de consultas, garantindo:

  • A lógica de detecção é instantaneamente utilizável no Microsoft Sentinel
  • Os indicadores de payloads multilíngues ou ofuscados não são perdidos na tradução

Eficiência Aprimorada do SOC

Ao permitir a capacidade de colar diretamente em consultas, a saída gerada pela IA possibilita uma resposta rápida a incidentes, enriquecimento e autoria de lógica de detecção.

Explore o Uncoder AI

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Blog Articles

Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações 19 min de leitura Plataforma SOC Prime Protocolo de Contexto do Modelo: Riscos de Segurança e Mitigações by Daryna Olyniychuk Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Zahorulko Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI 2 min de leitura Plataforma SOC Prime Detecção de Ameaças em Syscall Linux no Splunk com Uncoder AI by Steven Edwards