Uncoder AIのフルサマリーが脅威ハンターのためのKustoクエリアナリシスをどう強化するか

Steven Edwards 脅威検出アナリスト

Add to my AI research

Microsoft Sentinelを使って作業することは、特に攻撃者の微妙な行動を追跡する際に、複雑なKustoクエリを詳細に検討することを意味します。これらのクエリには、ネストされたロジック、不明瞭なファイルパスのチェック、深い理解が必要な珍しいシステムイベントが含まれることがあります。そのような場合に正に役立つのが Uncoder AIのフルサマリー 機能です。

このAI駆動の機能強化は、複雑なMicrosoft Sentinel (Kusto)の検出ロジックを構造化された平易な言葉へと自動的に翻訳し、数秒で貴重なインテリジェンスに変換します。

Uncoder AIを探る

実例: Clfs.sysが疑わしいユーザーパスからロードされたケース

スクリーンショットの例を考えると、 clfs.sysという正当なシステムドライバーが 非標準または疑わしい ディレクトリからロードされるインスタンスを監視する検出ルールがあります。たとえば、 \Users\Public, \Temp, \Pictures, \Contactsなど。

この動作は、攻撃者がユーザースペースのパスからモジュールを配置またはサイドロードして検出を回避するか、目視に入らずに持続するためのものかもしれません。 clfs.sys module from user-space paths to evade detection or persist under the radar.

しかし、元のクエリはネストされた条件がいっぱいで、 Image contains ステートメントや、時間を要するディレクトリロジックが含まれています。

使用した入力内容（クリックしてテキストを表示

SysmonEvent | where EventID == 7 | where (ImageLoaded endswith @’\clfs.sys’ and ((Image contains @’:\Perflogs\’ or Image contains @’:\Users\Public\’ or Image contains @’\Temporary Internet’ or Image contains @’\Windows\Temp\’) or (Image contains @’:\Users\’ and Image contains @’\Favorites\’) or (Image contains @’:\Users\’ and Image contains @’\Favourites\’) or (Image contains @’:\Users\’ and Image contains @’\Contacts\’) or (Image contains @’:\Users\’ and Image contains @’\Pictures\’)))

AIの出力（クリックしてテキストを表示

提供されたMicrosoft Sentinelクエリは、システムモニター（Sysmon）イベントログによって捕捉された特定のシステム活動を検出するために設計されています。このクエリが達成しようとしていることの内訳は以下の通りです。

フィルタリングのために Event ID 7：クエリは、 EventID == 7となっているSysmonイベントをフィルタリングすることから始まります。Sysmonでは、 Event ID 7 が Image Loaded イベントに対応しており、システムが新しいモジュール（DLLのような）をメモリにロードしたことを意味します。これは一般的なイベントですが、珍しいか予期しないモジュールがロードされている場合には悪意を指摘する要因となり得ます。
clfs.sys のフィルタリング：
このクエリは、ロードされたイメージ（ImageLoaded）が \clfs.sys で終わるケースを対象に、Image Loaded イベントをさらに絞り込みます。
このファイル clfs.sys は、Common Log File System（CLFS）に関連する Windows のシステムドライバーであり、Windows 内部での一部のログ記録やデータベース処理に不可欠な存在です。
この特定のドライバーが注目される理由は、マルウェアや他の不正なプロセスによって悪用される可能性があるためと考えられます。
特定のディレクトリフィルタ：クエリは、ロードされた画像のパスに基づいていくつかのフィルタを適用します（Image）。これらのフィルタは、特定のディレクトリに位置するか、パスがそれを含む画像を探しています。具体的には、以下を探しています：

以下を含むパス \Perflogs\、これがパフォーマンスログに関連する活動を示している可能性があります。
以下を含むパス \Users\Public\、一般ユーザーディレクトリの関与を示唆しています。
を含むパス \Temporary Internet、一時インターネットファイルを示します。
で終わるパス \Windows\Temp\、Windowsの一時フォルダを指し、マルウェアや許可されていない活動が一般的に行われる場所です。
ユーザーディレクトリ内でさらに具体化されたフィルタが適用されます（:\Users\）、次のサブディレクトリに焦点を当てています：\Favourites\ （異なる地域のスペリングに対応）\Contacts\
\Pictures\

これらの特定のディレクトリフィルタが示唆するのは、 clfs.sys または類似のシステムモジュールがユーザースペースの通常ではない、または潜在的に侵害された場所からロードされているのではないかと疑っていることです。これは悪意のある活動を示している可能性があり、この特定のディレクトリとサブディレクトリへの関心は、データの整合性、プライバシー、またはネットワーク内での潜在的な横移動への懸念を意味します。

本質的には、このMicrosoft Sentinelクエリは、標準外のパスからWindowsシステムドライバが疑わしくロードされるのを発見するのを目指して設計されています。特にユーザーデータ、テンポラリストレージ、または通常システムレベルの操作に関与していないかもしれない他の領域に関連しています。これにより、セキュリティチームが敏感なデータへの無断アクセスや、正当なシステム活動に紛れ込もうとする悪意のあるソフトウェアの発見および対応を助けることができます。

フルサマリーの成果

ロジックを手動で解析する代わりに、Uncoder AIが瞬時に明確で構造化された説明を生成しました：

Event ID 7 が重要な理由：これはモジュール（ImageLoaded）が読み込まれたことを示しており、無害な場合もあれば、悪意のある活動を示唆する場合もあります。
Clfs.sys が標的とされる理由：正規のファイルであるものの、不正に使用されると、ラテラルムーブメントや権限昇格の兆候となる可能性があります。
なぜユーザーディレクトリが疑わしいのか：これらの場所はシステムレベルのドライバには通常ありません。無許可のアクセスや持続技術を示す可能性があります。

運用への影響：レビューから行動へ

この機能はアナリストの調査時間を大幅に短縮し、複数ステップのロジックレビューを 一度の要約に変えました。それにより、迅速なトリアージ、脅威の検証のためのより良いコンテキスト、および保存されたログに対する即時のレトロハンティングを可能にしました。

要するに、 Uncoder AIのフルサマリーは、複雑な検出エンジニアリングと迅速な運用対応の間のギャップを埋めました。.

Uncoder AIを探る

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加ミーティングを予約

More ブログ Articles

6月 12/2025 4 分で読めます SOCプライムプラットフォーム SentinelクエリのためのAIバリデーション: Uncoder AIによるスマートなKQL by Steven Edwards

Microsoft Sentinel における Uncoder AI を使用した Zip アーカイブと C2 ドメインの検出

5月 23/2025 3 分で読めます SOCプライムプラットフォーム Uncoder AIによるMicrosoft SentinelのIOCクエリ生成 by Steven Edwards