Rilevazione di Archivi Zip e Domini C2 in Microsoft Sentinel tramite Uncoder AI

Come Funziona

Questa caratteristica di Uncoder AI genera una query di rilevamento KQL a spettro ampio per Microsoft Sentinel, basata su indicatori da CERT-UA#14045 (DarkCrystal RAT). L’AI elabora un report di minaccia e produce una query per cercare nei log stringhe come:

• "Розпорядження.zip" – un nome di file in ucraino sospetto usato per camuffare malware
  
• "imgurl.ir" – un dominio malevolo noto associato all’infrastruttura di comando e controllo
  

La sintassi della query:

search (@"Розпорядження.zip" or @"imgurl.ir")

utilizza l’operatore search per identificare qualsiasi menzione di questi IOC in tutte le tabelle e campi dati disponibili in Microsoft Sentinel.

La query è costruita utilizzando letterali di stringhe KQL verbatim (@””) per garantire il matching esatto dei pattern senza sequenze di escape — cruciale per i nomi file multilingue o offuscati.

Esplora Uncoder AI

Perché è Innovativo

Invece di affidarsi all’integrazione manuale degli IOC o alla creazione di logiche specifiche dei campi, Uncoder AI utilizza NLP e LLM per estrarre indicatori ad alta confidenza dai report di minaccia grezzi. Genera quindi immediatamente una query applicando:

• Formattazione KQL corretta (es. sintassi di stringa verbatim)
  
• Struttura logica utilizzando l’operatore or per copertura multi-indicatore
  
• Compatibilità della sintassi di Microsoft Sentinel senza necessità di intervento dell’utente
  

Questo riduce notevolmente il carico di lavoro per gli analisti che in precedenza dovevano tradurre da soli l’intelligence sulle minacce in query valide per Sentinel.

Valore Operativo / Risultati / Benefici

Scoperta IOC Ampia

La query consente una rapida triage per ambienti potenzialmente colpiti dall’attività di DarkCrystal RAT. Può rilevare tracce di log di:

• Download di archivi e altri tipi di eventi contenenti "Розпорядження.zip"
  
• Risoluzioni DNS o traffico HTTP coinvolgente "imgurl.ir"
  

Ingegneria della Rilevazione Accelerata

Uncoder AI elimina le supposizioni nell’assemblaggio delle query, garantendo che:

• La logica di rilevamento sia immediatamente utilizzabile all’interno di Microsoft Sentinel
  
• Gli indicatori di payload multilingue o offuscati non vadano persi nella traduzione
  

Efficienza SOC Migliorata

Consentendo la capacità di incollare direttamente nella query, il risultato guidato dall’AI consente una risposta agli incidenti più veloce, arricchimento e redazione della logica di rilevamento.

Esplora Uncoder AI