Wie es funktioniert
Dieses Uncoder AI-Feature generiert eine breit angelegte KQL-Detektionsabfrage für Microsoft Sentinel, basierend auf Indikatoren von CERT-UA#14045 (DarkCrystal RAT). Die KI verarbeitet einen Bedrohungsbericht und erstellt eine Abfrage, um Protokolle nach Zeichenfolgen wie z.B. zu durchsuchen:
-
"Розпорядження.zip"– ein verdächtiger Dateiname in ukrainischer Sprache, der zur Tarnung von Malware verwendet wird
-
"imgurl.ir"– eine bekannte bösartige Domain, die mit Kommando- und Kontrollinfrastrukturen in Verbindung steht
Die Abfragesyntax:
search (@"Розпорядження.zip" or @"imgurl.ir")
verwendet den search Operator, um Erwähnungen dieser IOCs in allen verfügbaren Datentabellen und Feldern in Microsoft Sentinel zu identifizieren.
Die Abfrage wird unter Verwendung von KQL-String-Literalen im Wortlaut (@““) erstellt, um ein genaues Muster-Matching ohne Escape-Sequenzen sicherzustellen — entscheidend für mehrsprachige oder verschleierte Dateinamen.
Warum es innovativ ist
Anstatt sich auf manuelle IOC-Integration oder die Erstellung feldspezifischer Logik zu verlassen, verwendet Uncoder AI NLP und LLMs um hochgradig vertrauenswürdige Indikatoren aus rohen Bedrohungsberichten zu extrahieren. Anschließend wird in kürzester Zeit eine Abfrage erstellt durch Anwendung von:
-
Korrekte KQL-Formatierung (z. B. wörtliche String-Syntax)
-
Logische Struktur unter Verwendung des or Operators für die Abdeckung mehrerer Indikatoren
-
Microsoft Sentinel Syntax-Kompatibilität ohne Benutzereingriff
Dies reduziert den Aufwand erheblich für Analysten, die vorher Bedrohungsinformationen selbst in gültige Sentinel-Abfragen umwandeln mussten.
Operationelle Wert / Ergebnisse / Vorteile
Breite IOC-Erkennung
Die Abfrage ermöglicht schnelles Triage für Umgebungen, die möglicherweise von DarkCrystal RAT-Aktivität betroffen sind. Sie kann Protokollspuren erkennen von:
-
Archivdownloads und anderen Ereignistypen, die
"Розпорядження.zip"
-
DNS-Auflösungen oder HTTP-Verkehr enthalten, die
"imgurl.ir"
Beschleunigte Detection-Engineering
Uncoder AI beseitigt die Unsicherheit bei der Abfrageerstellung und stellt sicher:
-
Detektionslogik ist sofort innerhalb von Microsoft Sentinel verwendbar
-
Indikatoren aus multilingualen oder verschleierten Nutzlasten gehen bei der Übersetzung nicht verloren
Verbesserung der Effizienz von SOCs
Durch die Möglichkeit, direkt kopieren und in die Abfrage einfügen zu können, ermöglicht es die KI-gesteuerte Ausgabe, die Reaktion auf Vorfälle, die Anreicherung und das Schreiben von Detektionslogik zu beschleunigen.
