Filtrage de noms d'hôte validé par l'IA pour les requêtes Chronicle

Filtrage de noms d’hôte validé par l’IA pour les requêtes Chronicle

Steven Edwards Rédacteur Technique

Suivre

Add to my AI research

Comment ça marche

Cette fonctionnalité d’Uncoder AI démontre sa capacité à analyser et valider les requêtes UDM de Chronicle impliquant plusieurs conditions basées sur les domaines. Dans cet exemple, Uncoder AI traite une requête de chasse aux menaces associée à Sandworm (UAC-0133) activité, qui cible un ensemble de .sh and .so domaines.

La plateforme identifie automatiquement que la logique de détection utilise une comparaison au niveau du champ on target.hostname, un champ standard dans le schéma Google SecOps (Chronicle). La requête utilise des opérateurs OR répétés pour vérifier les correspondances sur une liste de noms d’hôte suspects — tels que opf.sh, zjk.sh, et env.so.

Dans le panneau de droite, Uncoder AI effectue une validation générée par AI, décomposant la structure pour :

Logique de requête (chaînage OR)
Formatage champ/valeur
Alignement du schéma
Impact sur la performance

Il confirme que la syntaxe est valide tout en recommandant des améliorations telles que l’utilisation d’un IN opérateur pour de meilleures performances.

Explorez Uncoder AI

Pourquoi c’est innovant

La validation traditionnelle des requêtes Chronicle nécessite une révision manuelle de la syntaxe, de la logique et de l’exactitude du schéma — une tâche chronophage et sujette aux erreurs. Uncoder AI remplace cela par une validation et une optimisation en temps réel, alimentées par l’IA, pilotées par le traitement du langage naturel (NLP) et l’analyse logique.

Les principales contributions de l’IA comprennent :

Reconnaissance automatique du schéma of target.hostname
Suggestions tenant compte des performances basées sur la complexité des requêtes
Signalement des entrées anormales, comme ”3}.sh”, qui peuvent indiquer des valeurs IOC mal formatées ou mal formées
Auto-génération d’une syntaxe améliorée, recommandant un IN bloc condensé et lisible pour remplacer des dizaines de OR répétitifs

Cela réduit la surcharge de l’écriture et du débogage des requêtes pour les ingénieurs de détection tout en maintenant une compatibilité totale avec la structure de requête UDM de Google Chronicle.

Valeur opérationnelle

Pour les équipes de sécurité travaillant dans les environnements Google SecOps, cette fonctionnalité permet :

Une ingénierie de détection plus rapide

Les analystes en sécurité peuvent convertir instantanément les listes de domaines en requêtes Chronicle validées, évitant le formatage manuel.

Une plus grande confiance dans la qualité des requêtes

La logique de validation intégrée garantit que tous les champs utilisés sont conformes au schéma, et le formatage suspect (par exemple, domaines mal formatés) est signalé pour révision.

Meilleure préparation aux performances

Recommandations pour utiliser IN des opérateurs au lieu de longues chaînes OR réduisent le temps d’exécution des requêtes et facilitent la maintenance des détections à grande échelle.