Convertir les règles Sigma DNS en Cortex XSIAM avec Uncoder AI

[post-views]
juin 13, 2025 · 2 min de lecture
Convertir les règles Sigma DNS en Cortex XSIAM avec Uncoder AI

Comment ça fonctionne

Uncoder AI lit une règle Sigma conçue pour détecter les requêtes DNS vers l’infrastructure malveillante utilisée par le malware Katz Stealer, et la traduit instantanément en syntaxe native Palo Alto Cortex XSIAM.

Panneau de gauche – Détection Sigma :

  • Cible les requêtes DNS vers des domaines spécifiques de Katz Stealer (par exemple, katz-panel.com , katzstealer.com)
  • Utilise le modèle de détection abstrait de Sigma avec :
    • logsource défini à dns
    • query|contains pour les indicateurs de domaine

Tagué avec la technique MITRE ATT&CK T1071.004 (Commandement et contrôle par DNS)

Explorer Uncoder AI

Panneau de droite – Traduction XSIAM :

Uncoder AI produit une règle compatible Cortex XSIAM :

filter (xdm.network.dns.dns_question.name contient "katz-panel.com" ou ...)

It:

  • Mappe query|contains à Cortex xdm.network.dns.dns_question.name
  • Préserve la fidélité et le contexte de la détection
  • Ajoute les métadonnées et la documentation en ligne (nom, auteur, licence)

Pourquoi c’est innovant

Écrire la logique de détection pour XSIAM manuellement peut être :

  • Chronophage en raison du modèle de données complexe de Palo Alto (xdm.*)
  • Sujet à des erreurs sans documentation complète des mappages de champs
  • Inaccessible pour les analystes non familiers avec Cortex XQL (XSIAM Query Language)

Uncoder AI élimine ces défis en :

  • Automatisant la traduction des champs de Sigma à XSIAM
  • Maintenant l’intention de la requête et la couverture des IOC
  • Ajoutant automatiquement la documentation en ligne et les métadonnées de licence

Cela transforme l’ingénierie spécifique à la plateforme en une tâche en un clic.

Valeur opérationnelle

Pour les ingénieurs de détection et les équipes SOC :

  • Accélère la couverture multi-plateforme en utilisant le contenu ouvert Sigma
  • Réduit la dépendance à la connaissance des requêtes spécifiques aux fournisseurs
  • Améliore la fidélité des détections basées sur DNS dans Cortex XSIAM
  • Opérationnalise plus rapidement le renseignement sur les menaces, par exemple, pour les malwares émergents comme Katz Stealer

Uncoder AI comble le fossé entre le contenu de détection abstrait et la réalité complexe et structurée des ensembles de données Cortex XSIAM.

Explorer Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes