Das Laden legitimer Systemtreiber aus illegitimen oder verdächtigen Verzeichnissen ist eine bekannte Taktik von Gegnern zur Persistenz, Umgehung oder Ausführung. Ein hochrangiges Ziel in dieser Kategorie ist clfs.sys — ein legitimer Windows-Treiber, der mit dem Common Log File System verbunden ist. Um diese Aktivität zu erkennen, unterstützt Microsoft Defender for Endpoint eine fortschrittliche KQL-basierte Erkennungslogik. […]
Aufdeckung der Manipulation von Ereignisprotokollen mit Uncoder AI’s AI-Entscheidungsbaum für Splunk-Abfragen
Eine der fortschrittlicheren Taktiken in den Angriffsplaybooks ist das Manipulieren von Ereignisprotokollkonfigurationen, um Spuren eines Kompromisses zu löschen. Solche Versuche zu erkennen über Änderungen der Windows-Registry ist komplex – oft erfordern sie detaillierte Splunk-Abfragen, die nach Registrierungsschlüsseln und Berechtigungen filtern. Um diese Abfragen schnell zu verstehen, wenden sich Analysten an die KI-generierte Entscheidungsbaum-Funktion von Uncoder […]
Aufdecken verdächtiger Skripterstellung über CrushFTP mit Uncoder AI in Microsoft Defender
Dateiübertragungsdienste wie CrushFTP sind entscheidend für Geschäftsabläufe — aber sie können auch als verdeckte Ausgangspunkte für Aktivitäten nach einer Exploitation genutzt werden. Wenn ein Serverprozess wie crushftpservice.exe Befehlszeileninterpreter wie powershell.exe , cmd.exe , oder bash.exe erzeugt, kann dies darauf hinweisen, dass ein Angreifer Befehle ausführt oder Nutzlasten unbemerkt einsetzt. In Microsoft Defender für Endpoint, solch […]
Erkennung von NimScan-Aktivitäten in SentinelOne mit Uncoder AI
Potentiell unerwünschte Anwendungen (PUAs) wie NimScan.exe können unbemerkt in Unternehmensumgebungen operieren, interne Systeme ausloten oder laterale Bewegungen erleichtern. Die frühzeitige Erkennung dieser Tools ist entscheidend, um eine netzwerkweite Kompromittierung zu verhindern. Eine von SentinelOne kürzlich analysierte Erkennungsregel in SOC Primes Uncoder AI Plattform hebt diese Bedrohung hervor, indem sie Ereignisse identifiziert, bei denen der Zielprozesspfad […]
Aufdeckung von PUA: NimScan-Aktivitäten mit vollständiger Zusammenfassung in Uncoder AI
In der Bedrohungserkennung zählt jede Sekunde. Besonders beim Identifizieren von Werkzeugen wie NimScan—eine bekannte potenziell unerwünschte Anwendung (PUA) , die oft mit Aufklärungs- oder bösartigen Scanaktivitäten in Verbindung gebracht wird. Microsoft Sentinel stellt Erkennungsregeln für solche Bedrohungen bereit, die Kusto Query Language (KQL)nutzen, aber das vollständige Verständnis auf einen Blick kann zeitaufwendig sein. Hier kommt […]
Uncoder AI automatisiert die regelübergreifende Übersetzung mit Hybrid-KI
Wie es funktioniert Die Übersetzung von Erkennungslogik über Sicherheitsplattformen hinweg ist eine komplexe Aufgabe, die oft durch Syntaxunterschiede und Kontextverlust eingeschränkt wird. SOC Prime’s Uncoder AI löst dies, indem es ein hybrides Übersetzungsmodell einsetzt, das sowohl auf deterministischer Analyse als auch auf künstlicher Intelligenz basiert. In diesem Fall wird eine Erkennungsregel, die in Microsoft Sentinels […]
Umfassende Regel-/Abfrage-Zusammenfassung mit KI
Wie es funktioniert Moderne Erkennungsregeln beinhalten oft komplexe Logik, mehrere Filter und spezifische Suchmuster, die sie auf den ersten Blick schwer interpretierbar machen. Mit seiner Funktion ‚Vollständige Zusammenfassung‘ analysiert Uncoder AI automatisch eine bereitgestellte Erkennungsregel oder eine Abfrage und generiert eine detaillierte Erklärung in menschlich lesbarer Sprache. Wie im Beispiel gezeigt, wird eine Splunk-Abfrage, die […]
KI-gestützte Abfrageoptimierung in Uncoder AI
Wie es funktioniert Lange und komplexe Erkennungsabfragen — insbesondere solche, die mehrere Joins, Anreicherungen und Feldnachschläge beinhalten — werden häufig zu Engpässen in der Leistung. Dies gilt besonders für Abfragen in Microsoft Sentinel, wo nicht abgestimmte Joins oder eine schlechte Feldnutzung die Ergebnisse erheblich verzögern können. Um dies zu beheben, führt SOC Prime’s Uncoder AI […]
Kurze KI-Zusammenfassungen machen komplexe Erkennung sofort verständlich
Wie es funktioniert Erkennungsregeln werden immer komplexer – vollgepackt mit verschachtelter Logik, Ausnahmen, Dateipfadfiltern und äußerst spezifischen Verhaltensbedingungen. Das Lesen und Interpretieren dieser Regeln, insbesondere der von Dritthersteller-Teams geschriebenen, ist selbst für erfahrene Erkennungstechniker zeitaufwändig. Da kommt Uncoder AIs Kurz-Zusammenfassung ins Spiel. Diese Funktion erstellt automatisch für Menschen lesbare, einzeilige Erklärungen komplexer Erkennungsabfragen – und […]
Entscheidungsbaum-Zusammenfassung von Regeln/Abfragen mit KI
Wie es funktioniert Komplexe Bedrohungs-Erkennungsabfragen können häufig schwer interpretierbar und wartbar werden – besonders wenn sie mit verschachtelter Logik, Bedingungsausdrücken und mehreren Filtern versehen sind. Uncoder AI führt automatisierte Entscheidungsbaum-Zusammenfassungen ein, um dies zu lösen. Anhand des Beispiels Elastic Stack Query (EQL) liest Uncoder AI die Regel ein und erklärt sie in strukturiertem Englisch. Die […]