Comment ça fonctionne
Cette fonctionnalité d’Uncoder AI traite les rapports de menaces structurés, tels que ceux au format IOC (Indicateurs de compromission), et les transforme automatiquement en logique de détection exploitable. La capture d’écran illustre :
- Panneau de gauche: Un rapport classique de renseignement sur les menaces sous la campagne « COOKBOX », montrant les hachages extraits, les domaines, les IPs, les URLs et les clés de registre associées à des activités PowerShell malveillantes.
- Panneau de droite: Une règle de détection générée par l’IA adaptée à la syntaxe Google SecOps (UDM). La règle filtre les
target.hostnamequi correspondent à l’infrastructure de menace liée à COOKBOX, telle queshorturl.at,github.com, etbom02.gotdns.ch.
Uncoder AI utilise le traitement du langage naturel (NLP) et le parsing structuré pour :
- Identifier les éléments clés des IOC (IPs, domaines, URIs, chemins de registre).
- Comprendre contextuellement le comportement de la campagne (par exemple, exécution PowerShell obscurcie).
Mapper les attributs pertinents à un langage de détection supporté — ici, Google SecOps Query.
Pourquoi c’est innovant
L’ingestion traditionnelle des IOC nécessite une mise en forme manuelle, un étiquetage contextuel et une traduction spécifique au SIEM — un processus chronophage sujet aux erreurs humaines. Uncoder AI élimine ces défis en :
- Extrayant automatiquement les observables pertinents à partir de rapports lisibles par l’homme ou de flux IOC bruts.
- Contextualisant les menaces en utilisant des LLMs formés sur les sémantiques de l’ingénierie de détection.
- Traduisant la logique de détection en plusieurs plateformes (dans cet exemple, Google SecOps/UDM) avec précision syntaxique et sémantique.
Ce n’est pas un simple remplissage de modèle — l’IA adapte la logique en fonction du comportement de la menace et des contraintes du langage de détection.
Valeur opérationnelle
Pour les ingénieurs de détection et les équipes SOC, les avantages sont immédiats :
- Création de règles accélérée: Des IOC à la détection prête à déployer en quelques secondes.
- Compatibilité multiplateforme: La conversion rapide en formats spécifiques au SIEM élimine le verrouillage des fournisseurs.
- Réduction de la charge cognitive: Les analystes peuvent se concentrer sur l’enquête plutôt que sur le formatage.
- Couverture de détection améliorée: Une logique de haute fidélité garantit que les IOC ne sont pas seulement enregistrés mais activement détectés dans les télémétries.
En transformant le renseignement sur les menaces statique en contenu de détection dynamique, Uncoder AI comble le fossé entre le rassemblement d’informations et la défense réelle.
