Cómo funciona
Esta característica de Uncoder AI muestra su capacidad para analizar y validar consultas UDM de Chronicle que involucran múltiples condiciones basadas en dominios. En este ejemplo, Uncoder AI procesa una consulta de caza de amenazas asociada con Sandworm (UAC-0133) actividad, que apunta a un conjunto de .sh and .so dominios.
La plataforma identifica automáticamente que la lógica de detección utiliza una comparación a nivel de campo on target.hostname, un campo estándar en el esquema de Google SecOps (Chronicle). La consulta emplea operadores OR repetidos para verificar coincidencias en una lista de hostnames sospechosos, como opf.sh, zjk.sh, y env.so.
En el panel derecho, Uncoder AI realiza una validación generada por IA, desglosando la estructura para:
-
Lógica de consulta (encadenamiento OR)
-
Formato de campo/valor
-
Alineación de esquema
-
Impacto en el rendimiento
Confirma que la sintaxis es válida mientras recomienda mejoras como el uso de un IN operador para un mejor rendimiento.
Por qué es innovador
La validación tradicional de consultas de Chronicle requiere una revisión manual de la sintaxis, lógica y precisión del esquema, una tarea que consume tiempo y es propensa a errores. Uncoder AI reemplaza esto con validación y optimización en tiempo real, impulsadas por IA, guiadas por procesamiento de lenguaje natural (NLP) y análisis lógico.
Contribuciones clave de IA incluyen:
-
Reconocimiento automático de esquemas of
target.hostname
-
Sugerencias conscientes del rendimiento basadas en la complejidad de la consulta
-
Marcado de entradas anómalas, como
“3}.sh”, que pueden indicar valores IOC mal formateados o malformados
-
Autogeneración de sintaxis mejorada, recomendando un IN bloque condensado y legible para reemplazar docenas de ORs repetitivos
Esto reduce la sobrecarga de escritura y depuración de consultas para ingenieros de detección mientras se mantiene la compatibilidad total con la estructura de consultas UDM de Google Chronicle.
Valor operativo
Para equipos de seguridad que trabajan en entornos de Google SecOps, esta característica permite:
Ingeniería de detección más rápida
Los analistas de seguridad pueden convertir listas de dominios en consultas validadas de Chronicle al instante, evitando el formato manual.
Mayor confianza en la calidad de las consultas
La lógica de validación incorporada asegura que todos los campos utilizados cumplan con el esquema, y el formato sospechoso (por ejemplo, dominios malformados) se marca para revisión.
Preparación para un mejor rendimiento
Las recomendaciones para usar IN operadores en lugar de cadenas largas de OR reducen el tiempo de ejecución de las consultas y facilitan el mantenimiento de las detecciones a escala.
