動作原理
Splunk、Sentinel、その他のサポートされた形式で書かれたプラットフォーム固有のルールやクエリは、Uncoder AI を使用して Roota 形式に自動変換されます。これは単なる形式の切り替えではなく、運用上の成功に不可欠なメタデータを重ねたコンテキスト豊富な変換プロセスです。
ユーザーがスーパーチャージボタンをクリックすると、Uncoder AI は SOC Prime の安全なプライベートクラウドにホストされた専用モデルを通じてルールを処理します。結果の出力には以下が含まれます:
- 誤検知の考慮事項: 検出ロジックをトリガーする可能性のある誤検知活動に関する AI 生成の分析。
- トリアージの推奨: 分析者がアラートを効果的に調査するための実用的な指針。
- ログソースの強化: 元のコンテンツに定義されていない場合に必要なログソースを自動的に提案し、監査設定およびそれを有効にする方法を含む。
- ATT&CK タグ予測: 機械学習モデルを使用して関連する MITRE ATT&CK テクニックおよびサブテクニックを推測。
これらはすべて、SOC Prime のインフラ外ではルール内容が全く露出しない状態で行われます。
革新的な理由
SOC チームは検出ロジックを実用的なものに変換するために常に圧力を受けています。ほとんどの検出形式はコンテキストを欠き、これによりアラート疲れや脅威の見逃しを引き起こす可能性があります。Roota 形式はこのギャップを埋めることを目的としており、AI による強化でこれが容易になります:
- 手動での強化は不要
- コンテキストの喪失なし
- 運用準備の遅延なし
かつてシニア検出エンジニアが数時間かけてまとめていたものが、今では数秒で、検出エンジニアリングワークフローに接続される構造化フィールドと共に提供されます。
運用価値
- アナリストの効率を向上: アナリストは各検出に対して「なぜ」「どのように」「次に何をすべきか」を推測なしで受け取ります。
- メタデータの一貫化: トリアージ、監査、およびコンテキストフィールドが一貫して埋められます。
- MITRE アライメントを加速: 各検出が機械で解釈可能な形式で敵対者の行動にマッピングされます。
- コンテンツの再利用性をサポート: Roota メタデータで強化されたルールは、環境全体で容易に適応、スケール、再利用できます。
クエリからコンテキスト豊富なRootaへワンクリックで変換
Uncoder AI と Roota によって強化されたメタデータ、調査コンテキスト、運用上の明確さで検出ロジックを強化します。余計な記述も待ち時間もありません。ただより良い検出を、より迅速に。
