Détection de domaine Gamaredon avec IOC-to-CSQL

Comment ça marche

Cette fonctionnalité dans Uncoder AI traduit des renseignements sur les menaces complexes en CSQL (CrowdStrike Search Query Language) structuré, permettant une utilisation instantanée dans Falcon Endpoint Search.

Dans cet exemple, des indicateurs de CERT-UA#13738 décrivent une campagne Gamaredon (UAC-0173 / LITENKODER) exploitant des fichiers ZIP et des charges utiles hébergées dans le cloud. Uncoder AI traite le rapport et génère une requête de détection valide et spécifique à la plateforme.

Explorez Uncoder AI

Du rapport au CSQL

Le moteur AI extrait les IOCs pertinents, notamment :

• Domaines de mise en scène tels que upnow-prod.ff45e40d1a...r2.cloudflarestorage.com
• Indicateurs DNS obfusqués (047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
  

Ceux-ci sont ensuite intégrés dans une requête syntaxiquement correcte :

(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"

 OR DomainName="bestank.ph"

 OR DomainName="i.ibb.co"

 Cette requête correspond directement à la télémétrie des points de terminaison dans CrowdStrike en utilisant le champ DomainName .

Pourquoi c’est innovant

Génération de règles pilotée par l’IA

Plutôt que de se reposer sur des modèles prédéfinis, Uncoder AI construit dynamiquement des requêtes spécifiques au fournisseur en utilisant une compréhension approfondie de :

• La cartographie des champs (par exemple, choisir champ DomainName en CSQL)
  
• Les attentes syntaxiques pour chaque langage de détection
  
• La structure logique pour une performance optimale et une clarté
  

Validation intégrée de la syntaxe et de la structure

Au fur et à mesure que la requête est générée, Uncoder AI effectue également une validation syntaxique en temps réel:

• Assure que les parenthèses et les chaînes OR sont correctement groupées
  
• Vérifie l’utilisation des opérateurs pris en charge (=, , OR)
  
• Confirme que les délimiteurs champs-valeurs respectent les règles de schéma (par exemple, chaînes entre guillemets en CSQL)
  
• Signale tout caractère spécial ou anomalie (par exemple, erreurs typographiques dans les noms d’hôtes)
  

Ces vérifications sont alimentées par un validateur de règles IA intégré, qui émule des vérifications de grammaire spécifiques à la plateforme — aidant les analystes à éviter les erreurs d’exécution et la logique mal formée.

Ce système à double couche — génération et validation — garantit que les requêtes ne sont pas seulement complètes mais aussi sûres pour le déploiement en production sans ajustement manuel.

Valeur opérationnelle

En un seul clic, les ingénieurs de détection et les chasseurs de menaces peuvent :

• Déployer des requêtes ciblées pour identifier l’utilisation de domaine Gamaredon
  
• Valider la justesse avant de les déployer dans des environnements de production
  
• Éviter les faux négatifs causés par une incompatibilité de champs ou des lacunes logiques
  

En automatisant la structure, la syntaxe et la correction sémantique, Uncoder AI élimine les approximations de la création de logiques de détection haute-fidélité.

Explorez Uncoder AI