Logique de détection de domaine assistée par l’IA pour Carbon Black dans Uncoder AI

Comment ça fonctionne

Cette fonctionnalité d’Uncoder AI permet la création instantanée de requêtes de détection pour VMware Carbon Black Cloud en utilisant des renseignements structurés sur les menaces, tels que ceux du CERT-UA#12463. Dans ce cas, Uncoder AI traite les indicateurs associés à l’activité UAC-0099 et les formate en une requête de domaine syntaxiquement correcte.

Données des menaces analysées

Le rapport de menace source inclut des noms de domaine utilisés dans des connexions réseau malveillantes :

• update.win.app.com
  
• captcha-challenge.com
  
• webappapiservice.life
  
• newyorkttimes.life
  Uncoder AI structure ces indicateurs dans une requête Carbon Black valide :

(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)

Explorer Uncoder AI

Cette syntaxe est conçue pour une utilisation immédiate dans la plateforme Carbon Black Cloud pour détecter les connexions DNS ou HTTP/S malveillantes provenant des endpoints.

Pourquoi c’est innovant

Structuration de requêtes basée sur l’IA

Uncoder AI automatise à la fois l’ extraction d’IOC et la génération de règles de détection. L’IA comprend le schéma requis pour Carbon Black (par exemple, en utilisant le champ netconn_domain ), éliminant la nécessité pour les analystes de mapper manuellement les renseignements sur les menaces dans une syntaxe spécifique à la plateforme.

Validation de syntaxe intégrée

Une innovation unique de cette fonctionnalité est la validation en direct pilotée par l’IA de la requête générée :

• Assure que les paires champ-valeur sont structurées en utilisant le bon délimiteur (:)
  
• Vérifie l’utilisation des opérateurs logiques (OR)
  
• S’aligne sur le schéma de Carbon Black Cloud, confirmant que netconn_domain est un champ valide et indexé
  
• Met en évidence les considérations de performance possibles si les chaînes OR sont longues ou si les ensembles de données sont vastes
  

Le processus de validation imite la façon dont Carbon Black Cloud analyse les requêtes — réduisant les risques de mauvaise configuration et améliorant la confiance lors du déploiement.

Valeur opérationnelle

Cette fonctionnalité bénéficie aux équipes SOC et aux ingénieurs de détection en :

• Accélérant la création de requêtes pour l’infrastructure d’adversaires connue
  
• Réduisant les erreurs via la validation par l’IA de la syntaxe, de la logique et de l’alignement des schémas
  
• Permettant la chasse proactive aux menaces, en particulier pour les domaines de hameçonnage et de livraison de logiciels malveillants
  
• Améliorant la cohérence du formatage des requêtes entre les analystes et les équipes
  

La requête générée dans ce cas permet aux utilisateurs de Carbon Black de détecter les connexions aux domaines d’attaquants connus liés à UAC-0099 et d’appliquer des mesures ou une enquête plus approfondie.

Explorer Uncoder AI