Uncoder AIにおけるAI駆動のクエリ最適化

その仕組み

複数の結合、拡充、フィールド検索を含む長くて複雑な検出クエリは、しばしば性能のボトルネックとなります。これは、特に Microsoft Sentinelのクエリに当てはまります。誤った結合やフィールドの不適切な使用により、結果の取得が大幅に遅れる可能性があります。

これに対処するために、 SOC PrimeのUncoder AI は AI駆動のクエリ最適化を導入しました。このシステムは検出ルールを分析し、クエリが効率的かどうかを確認するか、または改善の提案を即座に提供します。これにより試行錯誤のデバッグが削減され、高性能のルール導入が加速します。

提供された例では、 Microsoft Defender for Office 365 に関連するKQLクエリがUncoder AIによって分析されます。このプラットフォームは:

• クエリの構造を解析し、潜在的な非効率性を特定します。
  
• 最適化された結合、より効率的なフィールドプロジェクション、洗練されたロジックによって 再構成されたバージョン を提案し、
  
• 機能的な目的を維持しながらより高速な実行を保証します。

Uncoder AIを探る

革新的な理由

静的リンティングやルールチェッカーとは異なり、Uncoder AIは カスタム訓練されたLLM（Llama 3.3） をSOC Primeのプライベートクラウドインフラに配置しています。これにより、検出ロジックを推論し、構造レベルでの最適化提案が可能になります — 具体的には:

• セキュリティ固有のデータスキーマに対するコンテクスト認識、
  
• サポートする 48の実稼働言語、SentinelやSplunkからCortex XDR、Elastic Stack、QRadar、Snowflakeまで幅広く。
  
• セキュアデザインのアーキテクチャ: 分析プロセス中にSOC Primeのクラウドを出るクエリはありません。

このアプローチにより可能になるのは、 言語に特化したSOC向けの最適化であり、一般的なフォーマットアドバイスではありません。

運用価値

• クエリ処理速度の向上: 最適化されたルールはより高速に実行され、検出の時間枠を改善し、SIEM環境の負荷を軽減します。
  
• エンジニアリング効率: アナリストは曖昧な文法アドバイスではなく、実際的で構造化された推奨を受け取れます。
  
• セキュアな最適化: AIはSOC PrimeのSOC 2準拠のクラウドで実行され、データはインフラを離れません。
  

プラットフォームに依存しない影響: ここではMicrosoft Sentinelと共に示されていますが、この機能はSplunk、Graylog、CrowdStrike Falcon LogScaleなどの数十のサポートツールで利用可能です。

クエリのオーバーヘッドから即効率へ

Uncoder AIは、性能チューニングを文法の専門家からAI層に移し、すべての結合、フィルタ、プロジェクションが速度と影響のために評価されるようにします。クラウドセキュアなLLMからの即時の推薦により、検出エンジニアは最適化の負債を心配せずに、高速かつ高忠実度な検出コンテンツを大規模に提供し始めることができます。

Uncoder AIは非効率性を検出するだけではありません。それを修正します。

Uncoder AIを探る