Uncoder AIを介したSplunk用のインスタントドメインマッチングロジック

[post-views]
6月 04, 2025 · 3 分で読めます
Uncoder AIを介したSplunk用のインスタントドメインマッチングロジック

機能の仕組み

Uncoder AIのこの機能は、脅威レポートから構造化されたIOCを取り込みます。このケースでは、資格情報フィッシングに関連付けられた多数の悪意のあるドメイン(例:偽のGoogle、Microsoft、Telegramのログインポータル)が取り込まれます。ツールはデータを処理・構造化し、自動的にSplunk互換の検出クエリを出力します。

ドメインベースのフィルタリング dest_host

出力クエリは、次のフィールドに対するOR条件のシーケンスを使用します: dest_host フィールド:

( dest_host = "Main.zip" OR dest_host = "device.redirecl.com" OR dest_host = "mail.outoloc.com" …)

各値は、CERT-UA#1241調査から抽出された攻撃者が制御する既知のドメインに対応します。

クエリはSplunk SPLに対して構文的に正しく、次の目的で導入する準備が整っています:

  • 疑わしいアウトバウンドトラフィックを探索する
  • 侵害の証拠を求めて履歴ログを一致させる
  • フィッシングインフラへの接続試行を検出する

Uncoder AIを探索する

革新性の理由

主要な革新は、 大規模IOCリストの自動構造化にあります 実運用に対応したクエリ構文への変換。従来の検出エンジニアリングワークフローは手動での作業を必要とします:

  • レポートからのドメインIOCの抽出
  • Splunkクエリの構文フォーマット
  • 重複削除とワイルドカード管理

Uncoder AIは、これらすべてを次の方法で取り除きます:

  • 解決可能で有効なFQDNのみを抽出するNLPを使用
  • それらを直ちに検出ロジックにマッピング(例: dest_host)
  • Splunkでのフィールド互換性のために最適化されたクエリを出力

提供されたスクリーンショットでは、 telegram-account.site or cloudviewer.world などの複雑なホスト名を含め、50以上のホスト名が即座に解析・統合されます。

運用価値/結果

セキュリティアナリストが享受する利点:

  • スピード:数十のフィッシングドメインをカバーするクエリが数秒で生成される
  • 正確性:悪意のあるドメインのみが含まれ、フォーマットエラーはない
  • 再利用性:クエリは適応させることができ、スケジュールや検出パイプラインに統合できます

SOCチームは出力を直接Webプロキシ、DNS、ファイアウォールのログと実行し、未発見のビーコニング試行や偽装ポータルでのユーザークリックを発見できます。

Uncoder AIを探索する

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事