Come Funziona
Questa caratteristica di Uncoder AI genera una query di rilevamento KQL a spettro ampio per Microsoft Sentinel, basata su indicatori da CERT-UA#14045 (DarkCrystal RAT). L’AI elabora un report di minaccia e produce una query per cercare nei log stringhe come:
-
"Розпорядження.zip"– un nome di file in ucraino sospetto usato per camuffare malware
-
"imgurl.ir"– un dominio malevolo noto associato all’infrastruttura di comando e controllo
La sintassi della query:
search (@"Розпорядження.zip" or @"imgurl.ir")
utilizza l’operatore search per identificare qualsiasi menzione di questi IOC in tutte le tabelle e campi dati disponibili in Microsoft Sentinel.
La query è costruita utilizzando letterali di stringhe KQL verbatim (@””) per garantire il matching esatto dei pattern senza sequenze di escape — cruciale per i nomi file multilingue o offuscati.
Perché è Innovativo
Invece di affidarsi all’integrazione manuale degli IOC o alla creazione di logiche specifiche dei campi, Uncoder AI utilizza NLP e LLM per estrarre indicatori ad alta confidenza dai report di minaccia grezzi. Genera quindi immediatamente una query applicando:
-
Formattazione KQL corretta (es. sintassi di stringa verbatim)
-
Struttura logica utilizzando l’operatore or per copertura multi-indicatore
-
Compatibilità della sintassi di Microsoft Sentinel senza necessità di intervento dell’utente
Questo riduce notevolmente il carico di lavoro per gli analisti che in precedenza dovevano tradurre da soli l’intelligence sulle minacce in query valide per Sentinel.
Valore Operativo / Risultati / Benefici
Scoperta IOC Ampia
La query consente una rapida triage per ambienti potenzialmente colpiti dall’attività di DarkCrystal RAT. Può rilevare tracce di log di:
-
Download di archivi e altri tipi di eventi contenenti
"Розпорядження.zip"
-
Risoluzioni DNS o traffico HTTP coinvolgente
"imgurl.ir"
Ingegneria della Rilevazione Accelerata
Uncoder AI elimina le supposizioni nell’assemblaggio delle query, garantendo che:
-
La logica di rilevamento sia immediatamente utilizzabile all’interno di Microsoft Sentinel
-
Gli indicatori di payload multilingue o offuscati non vadano persi nella traduzione
Efficienza SOC Migliorata
Consentendo la capacità di incollare direttamente nella query, il risultato guidato dall’AI consente una risposta agli incidenti più veloce, arricchimento e redazione della logica di rilevamento.
