ChronicleクエリのためのAI検証済みホスト名フィルタリング

仕組み

このUncoder AI機能は、その能力を示しています Chronicle UDMクエリを分析して検証する 複数のドメインベースの条件を含む。本例では、Uncoder AIが関連する脅威狩りクエリを処理します Sandworm (UAC-0133) の活動で、これがターゲットとなるドメインのセットを指す .sh and .so ドメイン。

プラットフォームは自動的に、検出ロジックが フィールドレベルの比較 on target.hostnameを使用している標準的なフィールドであると識別します。クエリは疑わしいホスト名リストに対する一致をチェックするために繰り返しOR演算子を使用しています — 例えば opf.sh, zjk.sh、および env.so.

右パネルで、Uncoder AIが実行する AI生成の検証で、次の構造を分解します：

• クエリロジック（ORの連鎖）
  
• フィールド/値のフォーマット
  
• スキーマ整合性
  
• パフォーマンスへの影響
  

のような改善を推奨しつつ、構文が有効であることを確認します IN 演算子を使用して性能を向上させます。

Uncoder AIを探る

革新的な理由

従来のChronicleクエリ検証は、構文、ロジック、およびスキーマの正確性を手動で確認する必要があり、時間がかかりミスが発生しやすいタスクです。 Uncoder AIはこれを、リアルタイムのAI駆動の検証と最適化に置き換えます自然言語処理（NLP）とロジック解析に促進されています。

主なAIによる寄与は次の通りです：

• 自動スキーマ認識 of target.hostname
  
• パフォーマンス意識した提案 クエリの複雑さに基づいて
  
• 異常エントリの特定例えば “3}.sh”誤ってフォーマットされたまたは不完全なIOC値を示す可能性があります
  
• 改善された構文の自動生成繰り返しのORを多数置き換えるために、短くて読みやすい IN ブロックの推奨
  

これにより、検出エンジニアのためのクエリライティングとデバッグの負担が軽減され、GoogleのChronicle UDMクエリ構造との完全な互換性を維持します。

業務上の価値

で働くセキュリティチームにとって Google SecOps環境この機能は次を可能にします：

より迅速な検出エンジニアリング

セキュリティアナリストは、ドメインリストを即座に検証済みのChronicleクエリに変換し、手動フォーマットを飛ばせます。

クエリ品質への自信の向上

組み込みの検証ロジックは、使用されるすべてのフィールドがスキーマに準拠していることを確認し、不審なフォーマット（例：不完全なドメイン）がレビューのためにフラグされます。

パフォーマンスの改善準備

を使用することを推奨します IN 長いORチェーンの代わりに演算子を使用することで、クエリの実行時間を短縮し、大規模で検出をより維持しやすくします。

Uncoder AIを探る