Convertir les règles Sigma DNS en Cortex XSIAM avec Uncoder AI

Plateforme SOC Prime

juin 13, 2025

2 min de lecture

Convertir les règles Sigma DNS en Cortex XSIAM avec Uncoder AI

Steven Edwards
Steven Edwards Analyste de la Détection des Menaces

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Table des Matières

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Comment ça fonctionne

Uncoder AI lit une règle Sigma conçue pour détecter les requêtes DNS vers l’infrastructure malveillante utilisée par le malware Katz Stealer, et la traduit instantanément en syntaxe native Palo Alto Cortex XSIAM.

Panneau de gauche – Détection Sigma :

  • Cible les requêtes DNS vers des domaines spécifiques de Katz Stealer (par exemple, katz-panel.com , katzstealer.com)
  • Utilise le modèle de détection abstrait de Sigma avec :
    • logsource défini à dns
    • query|contains pour les indicateurs de domaine

Tagué avec la technique MITRE ATT&CK T1071.004 (Commandement et contrôle par DNS)

Explorer Uncoder AI

Panneau de droite – Traduction XSIAM :

Uncoder AI produit une règle compatible Cortex XSIAM :

filter (xdm.network.dns.dns_question.name contient "katz-panel.com" ou ...)

It:

  • Mappe query|contains à Cortex xdm.network.dns.dns_question.name
  • Préserve la fidélité et le contexte de la détection
  • Ajoute les métadonnées et la documentation en ligne (nom, auteur, licence)

Pourquoi c’est innovant

Écrire la logique de détection pour XSIAM manuellement peut être :

  • Chronophage en raison du modèle de données complexe de Palo Alto (xdm.*)
  • Sujet à des erreurs sans documentation complète des mappages de champs
  • Inaccessible pour les analystes non familiers avec Cortex XQL (XSIAM Query Language)

Uncoder AI élimine ces défis en :

  • Automatisant la traduction des champs de Sigma à XSIAM
  • Maintenant l’intention de la requête et la couverture des IOC
  • Ajoutant automatiquement la documentation en ligne et les métadonnées de licence

Cela transforme l’ingénierie spécifique à la plateforme en une tâche en un clic.

Valeur opérationnelle

Pour les ingénieurs de détection et les équipes SOC :

  • Accélère la couverture multi-plateforme en utilisant le contenu ouvert Sigma
  • Réduit la dépendance à la connaissance des requêtes spécifiques aux fournisseurs
  • Améliore la fidélité des détections basées sur DNS dans Cortex XSIAM
  • Opérationnalise plus rapidement le renseignement sur les menaces, par exemple, pour les malwares émergents comme Katz Stealer

Uncoder AI comble le fossé entre le contenu de détection abstrait et la réalité complexe et structurée des ensembles de données Cortex XSIAM.

Explorer Uncoder AI

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Plateforme SOC Prime Articles

Protocole de Contexte Modèle : Risques de Sécurité et Atténuations 20 min de lecture Plateforme SOC Prime Protocole de Contexte Modèle : Risques de Sécurité et Atténuations by Daryna Olyniychuk Détection des menaces des appels système Linux dans Splunk avec Uncoder AI 2 min de lecture Plateforme SOC Prime Détection des menaces des appels système Linux dans Splunk avec Uncoder AI by Steven Edwards De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI 2 min de lecture Plateforme SOC Prime De Sigma à SentinelOne : Détection de l’accès aux mots de passe via Notepad avec Uncoder AI by Steven Edwards