Uncoder AI에서 Carbon Black을 위한 AI 지원 도메인 탐지 로직

작동 원리

이 Uncoder AI 기능은 즉각적인 탐지 쿼리 생성을 가능하게 합니다 VMware Carbon Black Cloud 구조화된 위협 인텔리전스를 사용하여, 예를 들어 CERT-UA#12463에서 제공된 정보를 활용합니다. 이 경우, Uncoder AI는 UAC-0099 활동과 관련된 지표를 처리하고 이를 문법적으로 올바른 도메인 쿼리로 형식화합니다.

구문 분석된 위협 데이터

출처 위협 보고서에는 악성 네트워크 연결에 사용된 도메인 이름이 포함되어 있습니다:

• update.win.app.com
  
• captcha-challenge.com
  
• webappapiservice.life
  
• newyorkttimes.life
  Uncoder AI는 이러한 지표를 유효한 Carbon Black 쿼리로 구조화합니다:

(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)

Uncoder AI 탐색

이 구문은 Carbon Black Cloud 플랫폼에서 엔드포인트에서 시작되는 악성 DNS 또는 HTTP/S 연결을 탐지하기 위해 즉시 사용하도록 설계되었습니다.

혁신적인 이유

AI 기반 쿼리 구조화

Uncoder AI는 IOC 추출 과 탐지 규칙 생성을 자동화합니다. AI는 Carbon Black에 필요한 스키마를 이해합니다 (예: netconn_domain 필드를 사용하여), 분석가가 위협 인텔리전스를 플랫폼 특정 구문에 수동으로 매핑할 필요를 제거합니다.

내장된 구문 검증

이 기능의 독특한 혁신은 실시간 AI 기반 검증 생성된 쿼리에 대한 검증입니다:

• 필드-값 쌍이 올바른 구분자를 사용해 구조화되었는지 확인합니다 (:)
  
• 논리 연산자의 사용을 검증합니다 (OR)
  
• Carbon Black Cloud 스키마에 맞아떨어지며 netconn_domain 유효하고 인덱싱된 필드임을 확인
  
• OR 체인이 길거나 데이터셋이 클 경우 발생할 수 있는 성능상의 고려사항을 강조
  

검증 과정은 Carbon Black Cloud가 쿼리를 구문 분석하는 방식을 모방하여, 잘못 구성될 가능성을 줄이고 배포에 대한 자신감을 높입니다.

운영 가치

이 기능은 SOC 팀과 탐지 엔지니어에게 다음과 같은 이점을 제공합니다:

• 알려진 적 인프라에 대한 쿼리 생성을 가속화 AI를 통한 구문, 논리, 스키마 정렬 검증을 통해 오류 감소
  
• 위협 사냥을 적극 지원 via AI validation of syntax, logic, and schema alignment
  
• Enabling proactive threat hunting, 특히 피싱과 악성코드 전달 도메인에 대해
  
• 분석가 및 팀 간 쿼리 형식의 일관성 향상 이 경우 생성된 쿼리를 통해 Carbon Black 사용자는
  

UAC-0099와 연결된 것으로 알려진 공격자 도메인에 대한 연결을 탐지하고 집행 또는 추가 조사에 적용할 수 있습니다. detect connections to known attacker domains tied to UAC-0099 and apply enforcement or further investigation.

Uncoder AI 탐색