Detectar Amenazas DNS en Google SecOps: Conversión de Reglas de Katz Stealer con Uncoder AI

Cómo Funciona

Esta función permite a los ingenieros de detección convertir sin problemas las reglas Sigma en Google SecOps Query Language (UDM). En la captura de pantalla, la regla Sigma original está diseñada para detectar consultas DNS a Katz Stealer dominios conocidos, una familia de malware asociada con la exfiltración de datos y actividades de comando y control.

Panel Izquierdo – Regla Sigma:

La lógica Sigma incluye:

• Categoría de logsource DNS
  
• Condiciones de detección que coinciden con cuatro dominios conocidos vinculados a Katz Stealer (katz-panel.com , katzstealer.com, etc.)
  
• A nivel de alta severidad, indicando comportamiento probablemente malicioso

Explorar Uncoder AI

Panel Derecho – Salida de Google SecOps:

Uncoder AI genera automáticamente una consulta UDMequivalente, traduciendo la lógica de detección Sigma en una sintaxis específica de la plataforma:

{target.url=/.*katz-panel\.com.*/ nocase or ...}

Este patrón utiliza coincidencias de expresiones regulares con modificadores nocase a través de los dominios identificados, adaptados al esquema UDM de Google. La transformación asegura que la intención original de detección se preserve con una sintaxis que es inmediatamente utilizable en Google SecOps.

Por Qué Es Innovador

Tradicionalmente, el contenido de detección debe reescribirse manualmente para cada plataforma SIEM/XDR, un proceso tedioso y propenso a errores, especialmente cuando se manejan observables DNS y expresiones regulares.

Uncoder AI soluciona esto mediante:

• Mapeo automático de campos Sigma a nombres de campos UDM (por ejemplo, query|contains → target.url)
  
• Adaptación de la lógica de coincidencia con estructuras correctas de regex y reglas de mayúsculas
  
• Asegurando la fidelidad de la cobertura de detección en todas las plataformas
  

Esto permite que la detección de amenazas se escale rápidamente sin esfuerzo de codificación específico del proveedor.

Valor Operacional

Para equipos SOC e ingenieros de detección:

• Ahorro de tiempo: Convierte instantáneamente detecciones Sigma reutilizables en sintaxis UDM.
  
• Cobertura de amenazas: Despliega detecciones basadas en DNS para Katz Stealer en entornos nativos de la nube de Google.
  
• Precisión y consistencia: Asegura la precisión de la traducción mientras mantiene la integridad de la lógica de detección.
  
• Extensibilidad de la plataforma: Construye detecciones una vez, operacionaliza en todas partes.
  

Esta función permite que los equipos de seguridad conviertan contenido de detección de código abierto en consultas UDM accionables, reduciendo el tiempo de respuesta y mejorando la visibilidad en los despliegues de Google SecOps.

Explorar Uncoder AI