Comment ça marche
Cette fonctionnalité d’Uncoder AI démontre sa capacité à analyser et valider les requêtes UDM de Chronicle impliquant plusieurs conditions basées sur les domaines. Dans cet exemple, Uncoder AI traite une requête de chasse aux menaces associée à Sandworm (UAC-0133) activité, qui cible un ensemble de .sh and .so domaines.
La plateforme identifie automatiquement que la logique de détection utilise une comparaison au niveau du champ on target.hostname, un champ standard dans le schéma Google SecOps (Chronicle). La requête utilise des opérateurs OR répétés pour vérifier les correspondances sur une liste de noms d’hôte suspects — tels que opf.sh, zjk.sh, et env.so.
Dans le panneau de droite, Uncoder AI effectue une validation générée par AI, décomposant la structure pour :
-
Logique de requête (chaînage OR)
-
Formatage champ/valeur
-
Alignement du schéma
-
Impact sur la performance
Il confirme que la syntaxe est valide tout en recommandant des améliorations telles que l’utilisation d’un IN opérateur pour de meilleures performances.
Pourquoi c’est innovant
La validation traditionnelle des requêtes Chronicle nécessite une révision manuelle de la syntaxe, de la logique et de l’exactitude du schéma — une tâche chronophage et sujette aux erreurs. Uncoder AI remplace cela par une validation et une optimisation en temps réel, alimentées par l’IA, pilotées par le traitement du langage naturel (NLP) et l’analyse logique.
Les principales contributions de l’IA comprennent :
-
Reconnaissance automatique du schéma of
target.hostname
-
Suggestions tenant compte des performances basées sur la complexité des requêtes
-
Signalement des entrées anormales, comme
”3}.sh”, qui peuvent indiquer des valeurs IOC mal formatées ou mal formées
-
Auto-génération d’une syntaxe améliorée, recommandant un IN bloc condensé et lisible pour remplacer des dizaines de OR répétitifs
Cela réduit la surcharge de l’écriture et du débogage des requêtes pour les ingénieurs de détection tout en maintenant une compatibilité totale avec la structure de requête UDM de Google Chronicle.
Valeur opérationnelle
Pour les équipes de sécurité travaillant dans les environnements Google SecOps, cette fonctionnalité permet :
Une ingénierie de détection plus rapide
Les analystes en sécurité peuvent convertir instantanément les listes de domaines en requêtes Chronicle validées, évitant le formatage manuel.
Une plus grande confiance dans la qualité des requêtes
La logique de validation intégrée garantit que tous les champs utilisés sont conformes au schéma, et le formatage suspect (par exemple, domaines mal formatés) est signalé pour révision.
Meilleure préparation aux performances
Recommandations pour utiliser IN des opérateurs au lieu de longues chaînes OR réduisent le temps d’exécution des requêtes et facilitent la maintenance des détections à grande échelle.
