機能の仕組み
Uncoder AIのこの機能は、脅威レポートから構造化されたIOCを取り込みます。このケースでは、資格情報フィッシングに関連付けられた多数の悪意のあるドメイン(例:偽のGoogle、Microsoft、Telegramのログインポータル)が取り込まれます。ツールはデータを処理・構造化し、自動的にSplunk互換の検出クエリを出力します。
ドメインベースのフィルタリング dest_host
出力クエリは、次のフィールドに対するOR条件のシーケンスを使用します: dest_host フィールド:
( dest_host = "Main.zip" OR dest_host = "device.redirecl.com" OR dest_host = "mail.outoloc.com" …)
各値は、CERT-UA#1241調査から抽出された攻撃者が制御する既知のドメインに対応します。
クエリはSplunk SPLに対して構文的に正しく、次の目的で導入する準備が整っています:
-
疑わしいアウトバウンドトラフィックを探索する
-
侵害の証拠を求めて履歴ログを一致させる
- フィッシングインフラへの接続試行を検出する
革新性の理由
主要な革新は、 大規模IOCリストの自動構造化にあります 実運用に対応したクエリ構文への変換。従来の検出エンジニアリングワークフローは手動での作業を必要とします:
-
レポートからのドメインIOCの抽出
-
Splunkクエリの構文フォーマット
-
重複削除とワイルドカード管理
Uncoder AIは、これらすべてを次の方法で取り除きます:
-
解決可能で有効なFQDNのみを抽出するNLPを使用
-
それらを直ちに検出ロジックにマッピング(例:
dest_host)
-
Splunkでのフィールド互換性のために最適化されたクエリを出力
提供されたスクリーンショットでは、 telegram-account.site or cloudviewer.world などの複雑なホスト名を含め、50以上のホスト名が即座に解析・統合されます。
運用価値/結果
セキュリティアナリストが享受する利点:
-
スピード:数十のフィッシングドメインをカバーするクエリが数秒で生成される
-
正確性:悪意のあるドメインのみが含まれ、フォーマットエラーはない
-
再利用性:クエリは適応させることができ、スケジュールや検出パイプラインに統合できます
SOCチームは出力を直接Webプロキシ、DNS、ファイアウォールのログと実行し、未発見のビーコニング試行や偽装ポータルでのユーザークリックを発見できます。
