Comment ça marche
Les requêtes complexes de détection de menaces peuvent souvent devenir difficiles à interpréter et à maintenir, surtout lorsqu’elles sont superposées avec des logiques imbriquées, des conditionnels et de multiples filtres. Uncoder AI introduit la synthèse d’arbres de décision automatisée pour résoudre cela.
En utilisant Elastic Stack Query (EQL) comme exemple, Uncoder AI ingère la règle et l’explique en anglais structuré. La synthèse montre :
-
Filtrage initial :
Fenêtre de temps, système d’exploitation, type d’événement et action—par exemple, filtrage pour event.action == « exec » sur les hôtes Linux.
-
Détection de processus spécifiques :
Correspond aux noms de processus et aux arguments liés au décodage base64 dans des langages comme Python, Perl, Ruby, et OpenSSL.
La sortie AI met en évidence les branches logiques et explique les conditions intégrées, y compris les indicateurs de décodage ( -d , -base64 ) et les modèles de ligne de commande.
Pourquoi c’est innovant
Contrairement aux validateurs de règles traditionnels, cette fonctionnalité ne se contente pas de vérifier la syntaxe, elle interprète la logique. Avec un modèle personnalisé Llama 3.3 entraîné sur des données d’ingénierie de détection, Uncoder AI délivre un contexte lisible par l’homme :
-
Identifie les étapes de filtrage et les logiques intégrées
-
Explique l’utilisation d’opérateurs complexes comme eval, regex, et branching logique
-
Synthétise la logique de décision dans des paragraphes structurés pour une révision plus facile
Ceci est particulièrement utile pour les équipes SOC qui ont besoin de clarté sans analyser manuellement des structures de requêtes denses.
Valeur opérationnelle
-
Accélère la validation des règles :
Réduit le temps nécessaire pour comprendre et déboguer les règles, en particulier celles rédigées par d’autres.
-
Améliore la précision de détection :
Met en évidence les clauses redondantes ou les filtres trop larges qui peuvent affecter la précision.
-
Intègre plus rapidement les analystes :
Les ingénieurs moins expérimentés peuvent rapidement comprendre la logique de détection et l’améliorer en toute confiance.
-
Améliore la collaboration interfonctionnelle :
La logique résumée aide les chasseurs de menaces, les ingénieurs et les managers à rester alignés sans avoir à décoder la syntaxe brute.
-
Supporte les environnements multi-SIEM :
Avec 48 langues prises en charge, les équipes peuvent appliquer cette fonctionnalité à une grande variété de formats de requêtes.
Du code complexe à une intention claire
Uncoder AI transforme les requêtes de détection denses en résumés compréhensibles. Cela comble le fossé entre la logique des règles et la compréhension des analystes, apportant une validation plus rapide, une meilleure harmonisation et une collaboration accrue au sein du SOC.
