Comment ça marche
Cette fonctionnalité d’Uncoder AI génère une requête de détection KQL à large spectre pour Microsoft Sentinel, basée sur des indicateurs de CERT-UA#14045 (DarkCrystal RAT). L’IA traite un rapport de menace et produit une requête pour rechercher dans les journaux des chaînes telles que :
-
"Розпорядження.zip"– un nom de fichier en ukrainien suspect utilisé pour déguiser des logiciels malveillants
-
"imgurl.ir"– un domaine malveillant connu associé à une infrastructure de commande et de contrôle
La syntaxe de la requête :
search (@"Розпорядження.zip" or @"imgurl.ir")
utilise l’opérateur search pour identifier toute mention de ces IOCs dans toutes les tables de données et champs disponibles dans Microsoft Sentinel.
La requête est construite en utilisant les littéraux de chaîne KQL verbatim (@ » ») pour garantir une correspondance exacte des motifs sans séquences d’échappement — crucial pour les noms de fichiers multilingues ou obfusqués.
Pourquoi c’est innovant
Plutôt que de s’appuyer sur une intégration manuelle des IOCs ou une logique spécifique au champ, Uncoder AI utilise le NLP et les LLMs pour extraire des indicateurs de haute confiance à partir de rapports de menace bruts. Il génère ensuite instantanément une requête en appliquant :
-
Une mise en forme KQL appropriée (par exemple, la syntaxe des chaînes verbatim)
-
Une structure logique utilisant l’opérateur or pour une couverture multi-indicateurs
-
Compatibilité syntaxique avec Microsoft Sentinel sans besoin d’intervention utilisateur
Cela réduit grandement la charge pour les analystes qui devaient auparavant traduire les renseignements sur les menaces en requêtes Sentinel valides eux-mêmes.
Valeur opérationnelle / Résultats / Avantages
Découverte large des IOCs
La requête permet un triage rapide pour les environnements potentiellement affectés par l’activité DarkCrystal RAT. Elle peut détecter des traces dans les journaux telles que :
-
Téléchargements d’archives et d’autres types d’événements contenant
"Розпорядження.zip"
-
Résolutions DNS ou trafic HTTP impliquant
"imgurl.ir"
Ingénierie de détection accélérée
Uncoder AI élimine les approximations dans l’assemblage des requêtes, garantissant :
-
La logique de détection est instantanément utilisable dans Microsoft Sentinel
-
Les indicateurs provenant de charges utiles multilingues ou obfusquées ne sont pas perdus dans la traduction
Efficacité améliorée du SOC
En permettant une capacité de collage direct dans les requêtes, la sortie pilotée par l’IA permet une réponse aux incidents, un enrichissement et une rédaction de logique de détection plus rapides.
