Détection d’Archives Zip et de Domaines C2 dans Microsoft Sentinel via Uncoder AI

Comment ça marche

Cette fonctionnalité d’Uncoder AI génère une requête de détection KQL à large spectre pour Microsoft Sentinel, basée sur des indicateurs de CERT-UA#14045 (DarkCrystal RAT). L’IA traite un rapport de menace et produit une requête pour rechercher dans les journaux des chaînes telles que :

• "Розпорядження.zip" – un nom de fichier en ukrainien suspect utilisé pour déguiser des logiciels malveillants
  
• "imgurl.ir" – un domaine malveillant connu associé à une infrastructure de commande et de contrôle
  

La syntaxe de la requête :

search (@"Розпорядження.zip" or @"imgurl.ir")

utilise l’opérateur search pour identifier toute mention de ces IOCs dans toutes les tables de données et champs disponibles dans Microsoft Sentinel.

La requête est construite en utilisant les littéraux de chaîne KQL verbatim (@ » ») pour garantir une correspondance exacte des motifs sans séquences d’échappement — crucial pour les noms de fichiers multilingues ou obfusqués.

Découvrez Uncoder AI

Pourquoi c’est innovant

Plutôt que de s’appuyer sur une intégration manuelle des IOCs ou une logique spécifique au champ, Uncoder AI utilise le NLP et les LLMs pour extraire des indicateurs de haute confiance à partir de rapports de menace bruts. Il génère ensuite instantanément une requête en appliquant :

• Une mise en forme KQL appropriée (par exemple, la syntaxe des chaînes verbatim)
  
• Une structure logique utilisant l’opérateur or pour une couverture multi-indicateurs
  
• Compatibilité syntaxique avec Microsoft Sentinel sans besoin d’intervention utilisateur
  

Cela réduit grandement la charge pour les analystes qui devaient auparavant traduire les renseignements sur les menaces en requêtes Sentinel valides eux-mêmes.

Valeur opérationnelle / Résultats / Avantages

Découverte large des IOCs

La requête permet un triage rapide pour les environnements potentiellement affectés par l’activité DarkCrystal RAT. Elle peut détecter des traces dans les journaux telles que :

• Téléchargements d’archives et d’autres types d’événements contenant "Розпорядження.zip"
  
• Résolutions DNS ou trafic HTTP impliquant "imgurl.ir"
  

Ingénierie de détection accélérée

Uncoder AI élimine les approximations dans l’assemblage des requêtes, garantissant :

• La logique de détection est instantanément utilisable dans Microsoft Sentinel
  
• Les indicateurs provenant de charges utiles multilingues ou obfusquées ne sont pas perdus dans la traduction
  

Efficacité améliorée du SOC

En permettant une capacité de collage direct dans les requêtes, la sortie pilotée par l’IA permet une réponse aux incidents, un enrichissement et une rédaction de logique de détection plus rapides.

Découvrez Uncoder AI