仕組み
この機能は Uncoder AI 複雑な脅威インテリジェンスを構造化されたCrowdStrike CSQL(CrowdStrike検索クエリ言語)に翻訳し、Falcon Endpoint Searchで即時使用を可能にします。
この例では、 CERT-UA#13738 の指標がZIPファイルとクラウドホスティングされたペイロードを活用するGamaredon(UAC-0173 / LITENKODER)キャンペーンを記述しています。Uncoder AIはレポートを処理し、有効なプラットフォーム固有の検出クエリを出力します。
レポートからCSQLへ
AIエンジンは以下を含む関連IOCを抽出します:
-
開始ドメイン例えば
upnow-prod.ff45e40d1a...r2.cloudflarestorage.com -
難読化されたDNS指標
(047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
これらは文法的に正しいクエリに埋め込まれます:
(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"
OR DomainName="bestank.ph"
OR DomainName="i.ibb.co"
このクエリはCrowdStrikeでのエンドポイントテレメトリーに直接一致し、使用する DomainName フィールド。
革新的な理由
AI駆動のルール生成
事前定義されたテンプレートに依存するのではなく、Uncoder AIは次の深い理解を利用してベンダー固有のクエリを動的に構築します:
-
フィールドマッピング(例:選択
DomainNameCSQLで)
-
各検出言語の文法期待
-
最適なパフォーマンスと明確さのための論理構造
組み込みの文法と構造の検証
クエリが生成されると、Uncoder AIはまた リアルタイムの文法検証:
-
かっこやORチェーンが正しくグループ化されていることを確認
-
サポートされている演算子(=)の使用を検証 ,
OR)
-
フィールド値区切りがスキーマルールに従っているか確認(例:CSQLの引用文字列)
-
特別な文字や異常(例:ホスト名の誤字)をフラグ付け
これらのチェックは埋め込みの AIルールバリデーターによって動かされ、プラットフォーム固有の文法チェックをエミュレートし、アナリストが実行時エラーや不正なロジックを回避するのを助けます。
この二層システム—生成と検証—は、クエリが完全であるだけでなく 本番環境で安全に展開可能 であることを保証します。
運用上の価値
クリック一つで、検出エンジニアと脅威ハンターは以下を行うことができます:
-
Gamaredonのドメイン使用を識別する対象クエリを展開
-
本番環境に投入する前に正しさを検証
-
フィールドの不一致やロジックの隙間による偽陽性を防ぐ
構造、構文、意味の正確性を自動化することで、Uncoder AIは高精度な検出ロジックの構築から推測を排除します。
