Comment ça fonctionne
Cette fonctionnalité d’Uncoder AI permet la création instantanée de requêtes de détection pour VMware Carbon Black Cloud en utilisant des renseignements structurés sur les menaces, tels que ceux du CERT-UA#12463. Dans ce cas, Uncoder AI traite les indicateurs associés à l’activité UAC-0099 et les formate en une requête de domaine syntaxiquement correcte.
Données des menaces analysées
Le rapport de menace source inclut des noms de domaine utilisés dans des connexions réseau malveillantes :
update.win.app.comcaptcha-challenge.comwebappapiservice.lifenewyorkttimes.life
Uncoder AI structure ces indicateurs dans une requête Carbon Black valide :
(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)
Cette syntaxe est conçue pour une utilisation immédiate dans la plateforme Carbon Black Cloud pour détecter les connexions DNS ou HTTP/S malveillantes provenant des endpoints.
Pourquoi c’est innovant
Structuration de requêtes basée sur l’IA
Uncoder AI automatise à la fois l’ extraction d’IOC et la génération de règles de détection. L’IA comprend le schéma requis pour Carbon Black (par exemple, en utilisant le champ netconn_domain ), éliminant la nécessité pour les analystes de mapper manuellement les renseignements sur les menaces dans une syntaxe spécifique à la plateforme.
Validation de syntaxe intégrée
Une innovation unique de cette fonctionnalité est la validation en direct pilotée par l’IA de la requête générée :
- Assure que les paires champ-valeur sont structurées en utilisant le bon délimiteur (:)
- Vérifie l’utilisation des opérateurs logiques (
OR) - S’aligne sur le schéma de Carbon Black Cloud, confirmant que
netconn_domainest un champ valide et indexé - Met en évidence les considérations de performance possibles si les chaînes OR sont longues ou si les ensembles de données sont vastes
Le processus de validation imite la façon dont Carbon Black Cloud analyse les requêtes — réduisant les risques de mauvaise configuration et améliorant la confiance lors du déploiement.
Valeur opérationnelle
Cette fonctionnalité bénéficie aux équipes SOC et aux ingénieurs de détection en :
- Accélérant la création de requêtes pour l’infrastructure d’adversaires connue
- Réduisant les erreurs via la validation par l’IA de la syntaxe, de la logique et de l’alignement des schémas
- Permettant la chasse proactive aux menaces, en particulier pour les domaines de hameçonnage et de livraison de logiciels malveillants
- Améliorant la cohérence du formatage des requêtes entre les analystes et les équipes
La requête générée dans ce cas permet aux utilisateurs de Carbon Black de détecter les connexions aux domaines d’attaquants connus liés à UAC-0099 et d’appliquer des mesures ou une enquête plus approfondie.
