Come Funziona
Questa funzione consente agli ingegneri della rilevazione di convertire senza soluzione di continuità le regole Sigma in Google SecOps Query Language (UDM). Nello screenshot, la regola Sigma originale è progettata per rilevare le query DNS verso Katz Stealer domini conosciuti — una famiglia di malware associata all’esfiltrazione di dati e all’attività di command-and-control.
Pannello Sinistra – Regola Sigma:
La logica Sigma include:
- logsource categoria DNS
- Condizioni di rilevamento che corrispondono a quattro domini noti collegati a Katz Stealer (
katz-panel.com,katzstealer.com, ecc.) - A livello di severità alto, indicando un comportamento probabilmente malevolo
Pannello Destro – Output Google SecOps:
Uncoder AI genera automaticamente un equivalente query UDM, traducendo la logica di rilevamento Sigma in sintassi specifica per la piattaforma:
{target.url=/.*katz-panel\.com.*/ nocase or ...}
Questo pattern utilizza il matching regex con modificatori nocase attraverso i domini identificati, adattati per lo schema UDM di Google. La trasformazione garantisce che l’intento originale del rilevamento sia preservato con una sintassi immediatamente utilizzabile in Google SecOps.
Perché è Innovativo
Tradizionalmente, il contenuto di rilevamento deve essere riscritto manualmente per ogni piattaforma SIEM/XDR — un processo noioso e soggetto a errori, specialmente quando si gestiscono osservabili DNS ed espressioni regolari.
Uncoder AI risolve questo problema:
- Mappando automaticamente i campi Sigma sui nomi dei campi UDM (ad es.,
query|contains→target.url) - Adattando la logica di matching con strutture regex corrette e regole di capitalizzazione
- Garantendo la fedeltà della copertura di rilevamento su tutte le piattaforme
Questo permette alla rilevazione delle minacce di scalare rapidamente senza sforzi di codifica specifici per fornitore.
Valore Operativo
Per i team SOC e gli ingegneri della rilevazione:
- Risparmio di tempo: Convertire le rilevazioni Sigma riutilizzabili in sintassi UDM istantaneamente.
- Copertura delle minacce: Distribuire rilevamenti basati su DNS per Katz Stealer negli ambienti cloud nativi di Google.
- Precisione e coerenza: Garantire l’accuratezza della traduzione mantenendo l’integrità della logica di rilevamento.
- Estensibilità della piattaforma: Costruire rilevamenti una volta, operazionalizzarli ovunque.
Questa funzione consente ai team di sicurezza di trasformare il contenuto di rilevamento open-source in query UDM attuabili — riducendo i tempi di risposta e migliorando la visibilità attraverso le implementazioni di Google SecOps.
