Gamaredonドメインに対するIOCからCSQLへの検出手法

仕組み

この機能は Uncoder AI 複雑な脅威インテリジェンスを構造化されたCrowdStrike CSQL（CrowdStrike検索クエリ言語）に翻訳し、Falcon Endpoint Searchで即時使用を可能にします。

この例では、 CERT-UA#13738 の指標がZIPファイルとクラウドホスティングされたペイロードを活用するGamaredon（UAC-0173 / LITENKODER）キャンペーンを記述しています。Uncoder AIはレポートを処理し、有効なプラットフォーム固有の検出クエリを出力します。

Uncoder AIを探索する

レポートからCSQLへ

AIエンジンは以下を含む関連IOCを抽出します：

• 開始ドメイン例えば upnow-prod.ff45e40d1a...r2.cloudflarestorage.com
• 難読化されたDNS指標 (047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
  

これらは文法的に正しいクエリに埋め込まれます：

(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"

 OR DomainName="bestank.ph"

 OR DomainName="i.ibb.co"

 このクエリはCrowdStrikeでのエンドポイントテレメトリーに直接一致し、使用する DomainName フィールド。

革新的な理由

AI駆動のルール生成

事前定義されたテンプレートに依存するのではなく、Uncoder AIは次の深い理解を利用してベンダー固有のクエリを動的に構築します：

• フィールドマッピング（例：選択 DomainName CSQLで）
  
• 各検出言語の文法期待
  
• 最適なパフォーマンスと明確さのための論理構造
  

組み込みの文法と構造の検証

クエリが生成されると、Uncoder AIはまた リアルタイムの文法検証:

• かっこやORチェーンが正しくグループ化されていることを確認
  
• サポートされている演算子（＝）の使用を検証 , OR)
  
• フィールド値区切りがスキーマルールに従っているか確認（例：CSQLの引用文字列）
  
• 特別な文字や異常（例：ホスト名の誤字）をフラグ付け
  

これらのチェックは埋め込みの AIルールバリデーターによって動かされ、プラットフォーム固有の文法チェックをエミュレートし、アナリストが実行時エラーや不正なロジックを回避するのを助けます。

この二層システム—生成と検証—は、クエリが完全であるだけでなく 本番環境で安全に展開可能 であることを保証します。

運用上の価値

クリック一つで、検出エンジニアと脅威ハンターは以下を行うことができます：

• Gamaredonのドメイン使用を識別する対象クエリを展開
  
• 本番環境に投入する前に正しさを検証
  
• フィールドの不一致やロジックの隙間による偽陽性を防ぐ
  

構造、構文、意味の正確性を自動化することで、Uncoder AIは高精度な検出ロジックの構築から推測を排除します。

Uncoder AIを探索する