Sigma DNSルールをUncoder AIでCortex XSIAMに変換する

動作原理

Uncoder AIは、検出するために設計されたSigmaルールを読み取ります Katz Stealerマルウェアが使用する悪意のあるインフラストラクチャへのDNSクエリ、そしてそれをネイティブなPalo Alto Cortex XSIAM構文に即座に変換します。

左パネル – Sigma検出：

• 特定のKatz StealerドメインへのDNSクエリをターゲットにする（例： katz-panel.com , katzstealer.com)
  
• Sigmaの抽象検出モデルを使用：
  
  • logsource を設定 dns
    
  • query|contains ドメインインジケータのために
    

MITRE ATT&CK技術でタグ付け T1071.004 （DNSを介したコマンド＆コントロール）

Uncoder AIを探索する

右パネル – XSIAM翻訳：

Uncoder AIはCortex XSIAM互換のルールを生成します：

filter (xdm.network.dns.dns_question.nameに"katz-panel.com"を含む...)

It:

• をCortexの query|contains にマッピングします xdm.network.dns.dns_question.name
  
• 検出の忠実度とコンテキストを保持
  
• メタデータとドキュメントをインラインで追加（名前、作成者、ライセンス）
  

なぜ革新的なのか

XSIAMの検出ロジックを手作業で記述することは：

• Palo Altoの複雑なデータモデルのために時間がかかる (xdm.*)
  
• フィールドマッピングの完全なドキュメントを持たない場合、エラーが発生しやすい
  
• Cortex XQL (XSIAMクエリ言語)に精通していないアナリストにはアクセスしにくい
  

Uncoder AIはこれらの課題を解消します：

• SigmaからXSIAMへのフィールド変換を自動化
  
• クエリ意図とIOCカバレッジを維持
  
• インラインでドキュメンテーションとライセンスメタデータを自動で追加
  

これにより、プラットフォーム固有のエンジニアリングがワンクリックのタスクに変わります。

運用価値

検出エンジニアとSOCチームのために：

• オープンなSigmaコンテンツを使用してマルチプラットフォームカバレッジを加速 ベンダー固有のクエリ知識への依存を減少
  
• Cortex XSIAMにおけるDNSベースの検出の忠実度を改善
  
• 脅威インテルを迅速に運用化 of DNS-based detections in Cortex XSIAM
  
• 、例：Katz Stealerのような新たなマルウェアのためにUncoder AIは抽象的な検出コンテンツとCortex XSIAMデータセットの複雑で構造化された現実との間のギャップを埋めます。
  

Uncoder AI bridges the gap between abstract detection content and the complex, structured reality of Cortex XSIAM datasets.

Uncoder AIを探索する