Validation de l’IA pour les requêtes Sentinel : KQL plus intelligent avec Uncoder AI

Comment cela fonctionne

Cette fonctionnalité d’Uncoder AI analyse et valide automatiquement les requêtes de détection écrites pour Microsoft Sentinel en utilisant le Kusto Query Language (KQL). Dans cet exemple, l’entrée est une requête multi-conditions de recherche conçue pour identifier les noms de domaine liés à la campagne SmokeLoader (références CERT-UA montrées).

Le panneau de gauche montre la logique de détection :

search (@”dipLombar.by” or @”dubelomber.ru” or @”iloveua.in” … )

La requête utilise la correspondance de chaînes littérales pour détecter des domaines de menaces spécifiques.

Le panneau de droite affiche le résultat de validation généré par l’IA, où Uncoder AI dissèque la requête en ses composants syntaxiques et sémantiques :

• Utilisation correcte de la syntaxe KQL (search , @ pour les littéraux, or les opérateurs).
  
• Implications sur la performance (par exemple, grand nombre de OR conditions, pas d’utilisation de joker).
  
• Conseils de correspondance de schéma pour un meilleur alignement des données.
  

Suggestions pour la maintenabilité (par exemple, utiliser in l’opérateur ou rejoindre à partir d’une table de correspondance).

Explorer Uncoder AI

Pourquoi c’est innovant

Les ingénieurs en sécurité travaillent souvent sous pression et manquent de temps ou de contexte pour revoir en profondeur les aspects techniques et de performance de chaque requête. Traditionnellement, les requêtes de détection sont :

• Écrites ad hoc sans optimisation.
  
• Rarement documentées ou optimisées pour la performance.
  

Uncoder AI résout cela en :

• Parcourant la structure des requêtes avec des LLM formés sur le KQL et les meilleures pratiques de l’ingénierie de détection.
  
• Fournissant des suggestions claires et exploitables — pas seulement la correction des règles, mais de meilleures façons de requêter basées sur le volume de données et le cas d’utilisation.
  

Cela élève Uncoder AI au-delà de la simple génération de code — il devient un assistant expert intégré dans le pipeline de détection.

Valeur opérationnelle

Pour les équipes SOC et les ingénieurs de détection, les avantages sont immédiats :

• Réduction des essais-erreurs: La validation garantit que la logique fonctionne comme prévu avant le déploiement.
  
• Performance améliorée: La syntaxe optimisée améliore l’efficacité à grande échelle.
  
• Activation inter-compétences: Même les analystes juniors obtiennent des insights de niveau expert sur l’utilisation de KQL.
  
• Affinement rapide: Les conseils de l’IA accélèrent les cycles d’amélioration de la détection dans tous les environnements.
  

En essence, Uncoder AI ne se contente pas d’écrire des requêtes — il réfléchit avec vous, valide en temps réel et permet une ingénierie de détection précise sur des plateformes comme Microsoft Sentinel.

Explorer Uncoder AI