Logica di Rilevamento dei Domini Assistita dall’AI per Carbon Black in Uncoder AI

Come Funziona

Questa funzione di Uncoder AI consente la creazione istantanea di query di rilevamento per VMware Carbon Black Cloud utilizzando informazioni strutturate sulla minaccia, come quelle da CERT-UA#12463. In questo caso, Uncoder AI elabora indicatori associati all’attività UAC-0099 e li formatta in una query di dominio sintatticamente corretta.

Dati della Minaccia Analizzati

Il report di minaccia sorgente include nomi di dominio utilizzati in connessioni di rete malevole:

• update.win.app.com
  
• captcha-challenge.com
  
• webappapiservice.life
  
• newyorkttimes.life
  Uncoder AI struttura questi indicatori in una query Carbon Black valida:

(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)

Esplora Uncoder AI

Questa sintassi è progettata per l’uso immediato nella piattaforma Carbon Black Cloud per rilevare connessioni DNS o HTTP/S malevole provenienti da endpoint.

Perché è Innovativo

Strutturazione delle Query Basata su AI

Uncoder AI automatizza sia l’ estrazione degli IOC che la generazione della regola di rilevamento. L’AI comprende lo schema richiesto per Carbon Black (ad esempio, utilizzando il campo netconn_domain ), eliminando la necessità per gli analisti di mappare manualmente le informazioni sulle minacce nella sintassi specifica della piattaforma.

Validazione della Sintassi Incorporata

Un’innovazione unica di questa funzione è la validazione in tempo reale guidata dall’AI della query generata:

• Garantisce che le coppie campo-valore siano strutturate utilizzando il delimitatore corretto (:)
  
• Verifica l’uso degli operatori logici (OR)
  
• Si allinea allo schema di Carbon Black Cloud, confermando che netconn_domain è un campo valido e indicizzato
  
• Evidenzia possibili considerazioni sulle prestazioni se le catene OR sono lunghe o se i dataset sono grandi
  

Il processo di validazione imita il modo in cui Carbon Black Cloud interpreta le query, riducendo le possibilità di configurazioni errate e migliorando la fiducia nell’implementazione.

Valore Operativo

Questa funzione avvantaggia i team SOC e gli ingegneri della rilevazione:

• Accelerando la creazione di query per infrastrutture avversarie conosciute
  
• Riducendo gli errori tramite la validazione AI della sintassi, della logica e dell’allineamento dello schema
  
• Permettendo una caccia alle minacce proattiva, specialmente per domini di phishing e distribuzione malware
  
• Migliorando la coerenza del formato delle query tra analisti e team
  

La query generata in questo caso consente agli utenti di Carbon Black di rilevare connessioni a domini di attaccanti conosciuti collegati a UAC-0099 e applicare misure di controllo o ulteriori indagini.

Esplora Uncoder AI