Uncoder AIでのカスタムAIプロンプトがオンデマンド検出生成を実現

仕組み

検出ルールの作成はしばしば次の質問から始まります： 何を見つけようとしているのか、その条件は何か？ しかし、最高の脅威インテリジェンスレポートでさえ、プラットフォーム対応の構文として事前に用意されているわけではありません。

Uncoder AIのカスタムプロンプト生成 そのギャップを埋めます。この機能を使用すると、ユーザーは検出したい動作の自然言語による説明を入力し、プラットフォーム固有のクエリロジックを自動的に受け取ることができます。

提供された例では、ユーザーが求めます 3つのSplunkクエリ を検出するために APT29関連の活動 を、環境で Windowsのログがデフォルトに限られる場合に。Uncoder AIは次のように応答します：

• PowerShellの悪用を対象とした検出ロジック (Invoke-Command, Invoke-Expression)
• 資格情報アクセス試行 (lsass.exe)
• ドメイン関連の列挙および操作

各クエリは Splunk SPLで書かれており、フィルタリングロジック、正規表現の使用、イベント数のしきい値、ユーザーフレンドリーな注釈を完全に含んでいます。

Uncoder AIを探る

なぜ革新的なのか

ライブラリから事前構築されたルールを選択するのではなく、アナリストは自分が必要とするものを正確に説明することで新たな検出コンテンツを生成できます。これは以下によって可能となっています：

• LLM対応の処理（Llama 3.3） 検出エンジニアリングと脅威行動モデリングに特化したチューニング
• にホスティングされています SOC PrimeのSOC 2 Type IIプライベートクラウド、最大のIP保護と外部API依存なしを実現
• 処理可能な コンテキスト豊かなプロンプト — 制限された環境、特定のアクタープロファイル、または既知のイベントログ制限にクエリを適応させる

堅く固定されたルールテンプレートとは異なり、これらのプロンプトは現実に適応します。

運用価値

• オンデマンド検出生成：特にリアクティブまたはインシデント駆動のワークフローにおいて、手動でルールを書く時間を節約します。
• コンテキストに合わせて調整：プロンプトは実際のインフラストラクチャ制限や調査固有のニーズを反映できます。
• 構文を習得する必要なし：アナリストが結果を説明し、Uncoder AIがロジックを書きます。

デザインによる安全性とプライバシー：データと指示はSOC Primeのインフラストラクチャ内に留まります。

プロンプトから精度へとワンクリックで移行

Uncoder AIは、SOCsが検出を作成する方法を変革します。ルールリポジトリを探したり、定型テンプレートを微調整する代わりに、アナリストはただ探しているものを説明するだけで、Uncoder AIがクエリを作成します。脅威レポートに応答する場合でも、TTPを再現する場合でも、環境固有のルールを作成する場合でも、結果は同じです：

高忠実度で高コンテキストの検出ロジック。即座に。プライベートに。規模で。

Uncoder AIを探る