Come Funziona
Questa funzione di Uncoder AI consente la creazione istantanea di query di rilevamento per VMware Carbon Black Cloud utilizzando informazioni strutturate sulla minaccia, come quelle da CERT-UA#12463. In questo caso, Uncoder AI elabora indicatori associati all’attività UAC-0099 e li formatta in una query di dominio sintatticamente corretta.
Dati della Minaccia Analizzati
Il report di minaccia sorgente include nomi di dominio utilizzati in connessioni di rete malevole:
update.win.app.comcaptcha-challenge.comwebappapiservice.lifenewyorkttimes.life
Uncoder AI struttura questi indicatori in una query Carbon Black valida:
(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)
Questa sintassi è progettata per l’uso immediato nella piattaforma Carbon Black Cloud per rilevare connessioni DNS o HTTP/S malevole provenienti da endpoint.
Perché è Innovativo
Strutturazione delle Query Basata su AI
Uncoder AI automatizza sia l’ estrazione degli IOC che la generazione della regola di rilevamento. L’AI comprende lo schema richiesto per Carbon Black (ad esempio, utilizzando il campo netconn_domain ), eliminando la necessità per gli analisti di mappare manualmente le informazioni sulle minacce nella sintassi specifica della piattaforma.
Validazione della Sintassi Incorporata
Un’innovazione unica di questa funzione è la validazione in tempo reale guidata dall’AI della query generata:
- Garantisce che le coppie campo-valore siano strutturate utilizzando il delimitatore corretto (:)
- Verifica l’uso degli operatori logici (
OR) - Si allinea allo schema di Carbon Black Cloud, confermando che
netconn_domainè un campo valido e indicizzato - Evidenzia possibili considerazioni sulle prestazioni se le catene OR sono lunghe o se i dataset sono grandi
Il processo di validazione imita il modo in cui Carbon Black Cloud interpreta le query, riducendo le possibilità di configurazioni errate e migliorando la fiducia nell’implementazione.
Valore Operativo
Questa funzione avvantaggia i team SOC e gli ingegneri della rilevazione:
- Accelerando la creazione di query per infrastrutture avversarie conosciute
- Riducendo gli errori tramite la validazione AI della sintassi, della logica e dell’allineamento dello schema
- Permettendo una caccia alle minacce proattiva, specialmente per domini di phishing e distribuzione malware
- Migliorando la coerenza del formato delle query tra analisti e team
La query generata in questo caso consente agli utenti di Carbon Black di rilevare connessioni a domini di attaccanti conosciuti collegati a UAC-0099 e applicare misure di controllo o ulteriori indagini.
