Come Funziona
Questa funzionalità di Uncoder AI dimostra la sua capacità di analizzare e convalidare le query UDM di Chronicle coinvolgendo più condizioni basate su domini. In questo esempio, Uncoder AI elabora una query di caccia alle minacce associata a Sandworm (UAC-0133) attività, che prende di mira un insieme di .sh and .so domini.
La piattaforma identifica automaticamente che la logica di rilevamento utilizza un confronto a livello di campo on target.hostname, un campo standard nello schema Google SecOps (Chronicle). La query impiega operatori OR ripetuti per verificare corrispondenze su un elenco di nomi host sospetti, come opf.sh, zjk.sh, e env.so.
Nel pannello di destra, Uncoder AI esegue una convalida generata da AI, analizzando la struttura per:
-
Logica della query (concatenazione OR)
-
Formattazione campo/valore
-
Allineamento schema
-
Impatto sulle prestazioni
Conferma che la sintassi è valida mentre raccomanda miglioramenti come l’uso di un IN operatore per migliori prestazioni.
Perché è Innovativo
La validazione tradizionale delle query Chronicle richiede una revisione manuale della sintassi, della logica e dell’accuratezza dello schema — un compito che richiede tempo e inclina agli errori. Uncoder AI sostituisce questo con la convalida e ottimizzazione in tempo reale supportata dall’intelligenza artificiale, alimentata dall’elaborazione del linguaggio naturale (NLP) e dall’analisi logica.
I principali contributi di AI includono:
-
Riconoscimento automatico dello schema of
target.hostname
-
Suggerimenti consapevoli delle prestazioni basati sulla complessità della query
-
Segnalazione di voci anomale, come
“3}.sh”, che possono indicare valori IOC mal formattati o errati
-
Generazione automatica di sintassi migliorata, raccomandando un IN blocco condensato e leggibile per sostituire decine di OR ripetitivi
Ciò riduce il sovraccarico di scrittura e debug delle query per gli ingegneri di rilevamento, mantenendo la piena compatibilità con la struttura delle query UDM di Google Chronicle.
Valore Operativo
Per i team di sicurezza che lavorano negli ambienti Google SecOps, questa funzionalità consente:
Ingegneria Rilevamento più Veloce
Gli analisti di sicurezza possono convertire istantaneamente elenchi di domini in query Chronicle convalidate, evitando la formattazione manuale.
Maggiore Fiducia nella Qualità delle Query
La logica di convalida integrata garantisce che tutti i campi utilizzati siano conformi allo schema, e la formattazione sospetta (ad esempio, domini malformati) venga segnalata per la revisione.
Prontezza delle Prestazioni Migliorata
Raccomandazioni per l’uso di IN operatori anziché lunghe catene OR riducono il tempo di esecuzione delle query e rendono più facile mantenere le rilevazioni su larga scala.
