Comment ça fonctionne La logique de détection ici est construite autour de la surveillance de l’utilisation du mknod syscall, qui est rarement utilisé dans les flux de travail légitimes mais peut être exploité par des attaquants pour : Créer de faux périphériques blocs ou caractères Interagir avec les interfaces du noyau Contourner les contrôles du […]
Comment ça fonctionne La règle Sigma présentée est conçue pour détecter l’ouverture par Notepad de fichiers aux noms suggérant le stockage de mots de passe, ce qui peut indiquer un accès non autorisé aux identifiants ou un comportement suspect sur les systèmes Windows. Panneau de gauche – Règle Sigma : Recherche des événements de création […]
Comment ça fonctionne Uncoder AI lit une règle Sigma conçue pour détecter les requêtes DNS vers l’infrastructure malveillante utilisée par le malware Katz Stealer, et la traduit instantanément en syntaxe native Palo Alto Cortex XSIAM. Panneau de gauche – Détection Sigma : Cible les requêtes DNS vers des domaines spécifiques de Katz Stealer (par exemple, katz-panel.com […]
Comment ça fonctionne Cette fonctionnalité permet aux ingénieurs de détection de convertir sans effort les règles Sigma en Langage de requête Google SecOps (UDM). Dans la capture d’écran, la règle Sigma originale est conçue pour détecter les requêtes DNS vers des domaines connus de Katz Stealer — une famille de malwares associée à l’exfiltration de […]
Comment ça fonctionne Uncoder AI prend du contenu de détection structuré écrit en Sigma, un format de règle de détection ouvert populaire, et le convertit automatiquement en une logique spécifique à la plateforme — dans ce cas, syntaxe de recherche Endpoint de CrowdStrike. La règle Sigma décrit une technique où Deno (un runtime JavaScript sécurisé) […]
Comment cela fonctionne Cette fonctionnalité d’Uncoder AI analyse et valide automatiquement les requêtes de détection écrites pour Microsoft Sentinel en utilisant le Kusto Query Language (KQL). Dans cet exemple, l’entrée est une requête multi-conditions de recherche conçue pour identifier les noms de domaine liés à la campagne SmokeLoader (références CERT-UA montrées). Le panneau de gauche […]
Comment ça fonctionne Cette fonctionnalité d’Uncoder AI traite les rapports de menaces structurés, tels que ceux au format IOC (Indicateurs de compromission), et les transforme automatiquement en logique de détection exploitable. La capture d’écran illustre : Panneau de gauche: Un rapport classique de renseignement sur les menaces sous la campagne « COOKBOX », montrant les […]
Comment ça marche Cette fonctionnalité dans Uncoder AI traduit des renseignements sur les menaces complexes en CSQL (CrowdStrike Search Query Language) structuré, permettant une utilisation instantanée dans Falcon Endpoint Search. Dans cet exemple, des indicateurs de CERT-UA#13738 décrivent une campagne Gamaredon (UAC-0173 / LITENKODER) exploitant des fichiers ZIP et des charges utiles hébergées dans le […]
Comment ça marche Cette fonctionnalité d’Uncoder AI démontre sa capacité à analyser et valider les requêtes UDM de Chronicle impliquant plusieurs conditions basées sur les domaines. Dans cet exemple, Uncoder AI traite une requête de chasse aux menaces associée à Sandworm (UAC-0133) activité, qui cible un ensemble de .sh and .so domaines. La plateforme identifie […]
Comment ça fonctionne Cette fonctionnalité d’Uncoder AI permet la création instantanée de requêtes de détection pour VMware Carbon Black Cloud en utilisant des renseignements structurés sur les menaces, tels que ceux du CERT-UA#12463. Dans ce cas, Uncoder AI traite les indicateurs associés à l’activité UAC-0099 et les formate en une requête de domaine syntaxiquement correcte. […]