仕組み
このUncoder AI機能は、検出クエリを即座に作成することを可能にします VMware Carbon Black Cloud CERT-UA#12463などの構造化された脅威インテリジェンスを使用して。この場合、Uncoder AIはUAC-0099活動に関連するインジケータを処理し、文法的に正しいドメインクエリにフォーマットします。
解析済み脅威データ
ソース脅威レポートには、悪意のあるネットワーク接続で使用されたドメイン名が含まれています:
update.win.app.comcaptcha-challenge.comwebappapiservice.lifenewyorkttimes.life
Uncoder AIはこれらのインジケータを有効なCarbon Blackクエリに構造化します:
(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)
このシンタックスは、Carbon Black Cloudプラットフォームでの即時使用を念頭に設計されており、エンドポイントからの悪意のあるDNSまたはHTTP/S接続を検出します。
革新的な理由
AI駆動のクエリ構造
Uncoder AIは両方を自動化します IOC抽出 と 検出ルール生成。AIは、Carbon Blackに必要なスキーマを理解しており(例: netconn_domain フィールドの使用)、アナリストが脅威インテリジェンスをプラットフォーム固有のシンタックスに手動でマッピングする必要がありません。
組み込みのシンタックス検証
この機能の独自の革新点は、 ライブAI駆動の検証 による生成クエリの検証です:
- フィールド-値ペアが正しい区切り文字を使用して構造化されていることを保証します(:)
- 論理演算子の使用を検証します(
OR) - Carbon Black Cloudスキーマに準拠し、
netconn_domainが有効でインデックス化されたフィールドであることを確認します - ORチェーンが長い場合やデータセットが大きい場合のパフォーマンスについて考慮する可能性を示します
検証プロセスはCarbon Black Cloudがクエリを解析する方法を模倣しており、ミスコンフィギュレーションの可能性を減らし、デプロイメント時の信頼性を向上させます。
運用上の価値
この機能は、SOCチームや検出エンジニアに次の利点をもたらします:
- 既知の敵対インフラストラクチャに対するクエリ作成の加速 エラーの削減
- Reducing errors AIによるシンタックス、論理、スキーマアライメントの検証を通じて
- 脅威ハンティングのプロアクティブ化を可能にする、特にフィッシングやマルウェア配信ドメインにおいて
- アナリストやチーム間でのクエリフォーマットの一貫性を向上させる この場合に生成されたクエリは、Carbon Blackユーザーが
既知の攻撃者ドメインへの接続を検出し 、UAC-0099に関連付けられたもので、強制適用やさらなる調査を行うことができます。 tied to UAC-0099 and apply enforcement or further investigation.
