Cómo Funciona
Esta función en Uncoder AI traduce inteligencia de amenazas complejas en CSQL (CrowdStrike Search Query Language) estructurado de CrowdStrike, permitiendo su uso instantáneo dentro de Falcon Endpoint Search.
En este ejemplo, los indicadores de CERT-UA#13738 describen una campaña de Gamaredon (UAC-0173 / LITENKODER) que usa archivos ZIP y cargas útiles alojadas en la nube. Uncoder AI procesa el informe y ofrece una consulta de detección válida y específica para la plataforma.
Desde el Informe al CSQL
El motor AI extrae IOCs relevantes incluyendo:
-
Dominios de preparación como
upnow-prod.ff45e40d1a...r2.cloudflarestorage.com -
Indicadores de DNS ofuscados
(047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
Estos son entonces integrados en una consulta sintácticamente correcta:
(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"
OR DomainName="bestank.ph"
OR DomainName="i.ibb.co"
Esta consulta coincide directamente contra la telemetría del endpoint en CrowdStrike usando el campo DomainName .
Por Qué es Innovador
Generación de Reglas Impulsada por AI
En lugar de depender de plantillas predefinidas, Uncoder AI construye dinámicamente consultas específicas para cada proveedor utilizando una comprensión profunda de:
-
Mapeo de campos (por ejemplo, elegir
DomainNameen CSQL)
-
Expectativas de sintaxis para cada lenguaje de detección
-
Estructura lógica para un rendimiento óptimo y claridad
Validación de Sintaxis y Estructura Integrada
A medida que se genera la consulta, Uncoder AI también realiza validación de sintaxis en tiempo real:
-
Asegura que los paréntesis y las cadenas OR estén correctamente agrupados
-
Verifica el uso de operadores admitidos (= ,
OR)
-
Confirma que los delimitadores de campo-valor sigan las reglas del esquema (por ejemplo, cadenas citadas en CSQL)
-
Marca cualquier carácter especial o anomalías (por ejemplo, errores tipográficos en el nombre de host)
Estas verificaciones están impulsadas por un validador de reglas AI integrado, que emula verificaciones gramaticales específicas de la plataforma, ayudando a los analistas a evitar errores de ejecución y lógica malformada.
Este sistema de doble capa — generación y validación — asegura que las consultas no solo sean completas, sino también seguras para desplegar en producción sin necesidad de ajustes manuales.
Valor Operativo
Con solo un clic, ingenieros de detección y cazadores de amenazas pueden:
-
Desplegar consultas dirigidas para identificar el uso de dominios de Gamaredon
-
Validar la corrección antes de enviarlas a entornos de producción
-
Evitar falsos negativos causados por desajustes de campos o lagunas lógicas
Al automatizar la estructura, sintaxis y corrección semántica, Uncoder AI elimina las conjeturas de construir lógica de detección de alta fidelidad.
