Détecter les Menaces DNS dans Google SecOps : Conversion de la Règle Katz Stealer avec Uncoder AI

Comment ça fonctionne

Cette fonctionnalité permet aux ingénieurs de détection de convertir sans effort les règles Sigma en Langage de requête Google SecOps (UDM). Dans la capture d’écran, la règle Sigma originale est conçue pour détecter les requêtes DNS vers des domaines connus de Katz Stealer — une famille de malwares associée à l’exfiltration de données et aux activités de commande et de contrôle.

Panneau de gauche – Règle Sigma :

La logique Sigma comprend :

• logsource de catégorie DNS
  
• Conditions de détection correspondant à quatre domaines connus liés à Katz Stealer (katz-panel.com , katzstealer.com, etc.)
  
• A niveau de gravité élevé, indiquant un comportement probablement malveillant

Explorer Uncoder AI

Panneau de droite – Sortie Google SecOps :

Uncoder AI génère automatiquement un requête UDM, traduisant la logique de détection Sigma dans une syntaxe spécifique à la plateforme :

{target.url=/.*katz-panel\.com.*/ nocase or ...}

Ce modèle utilise une correspondance regex avec des modificateurs nocase à travers les domaines identifiés, adaptés au schéma UDM de Google. La transformation garantit que l’intention de détection originale est préservée avec une syntaxe immédiatement utilisable dans Google SecOps.

Pourquoi c’est innovant

Traditionnellement, le contenu de détection doit être réécrit manuellement pour chaque plateforme SIEM/XDR — un processus fastidieux et sujet aux erreurs, surtout lorsqu’il s’agit de gérer des observables DNS et des expressions régulières.

Uncoder AI résout ce problème en :

• Mappe automatiquement les champs Sigma aux noms de champs UDM (par exemple, query|contains → target.url)
  
• Adaptation de la logique de correspondance avec des structures regex correctes et des règles de mise en majuscules
  
• Assurer la fidélité de la couverture de détection sur toutes les plateformes
  

Cela permet à la détection des menaces de se développer rapidement sans effort de codage spécifique au fournisseur.

Valeur opérationnelle

Pour les équipes SOC et les ingénieurs de détection :

• Gain de temps: Convertir instantanément les détections Sigma réutilisables en syntaxe UDM.
  
• Couverture des menaces: Déployer des détections basées sur le DNS pour Katz Stealer dans des environnements natifs du cloud de Google.
  
• Précision et cohérence: Assurer la précision de la traduction tout en maintenant l’intégrité de la logique de détection.
  
• Extensibilité de la plateforme: Construire des détections une fois, opérationnaliser partout.
  

Cette fonctionnalité permet aux équipes de sécurité de transformer le contenu de détection open-source en requêtes UDM actionnables — réduisant le temps de réponse et améliorant la visibilité dans les déploiements Google SecOps.

Explorer Uncoder AI