Uncoder AI에서 Carbon Black을 위한 AI 지원 도메인 탐지 로직

[post-views]
6월 05, 2025 · 2 분 읽기
Uncoder AI에서 Carbon Black을 위한 AI 지원 도메인 탐지 로직

작동 원리

이 Uncoder AI 기능은 즉각적인 탐지 쿼리 생성을 가능하게 합니다 VMware Carbon Black Cloud 구조화된 위협 인텔리전스를 사용하여, 예를 들어 CERT-UA#12463에서 제공된 정보를 활용합니다. 이 경우, Uncoder AI는 UAC-0099 활동과 관련된 지표를 처리하고 이를 문법적으로 올바른 도메인 쿼리로 형식화합니다.

구문 분석된 위협 데이터

출처 위협 보고서에는 악성 네트워크 연결에 사용된 도메인 이름이 포함되어 있습니다:

  • update.win.app.com
  • captcha-challenge.com
  • webappapiservice.life
  • newyorkttimes.life
    Uncoder AI는 이러한 지표를 유효한 Carbon Black 쿼리로 구조화합니다:

(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)

Uncoder AI 탐색

이 구문은 Carbon Black Cloud 플랫폼에서 엔드포인트에서 시작되는 악성 DNS 또는 HTTP/S 연결을 탐지하기 위해 즉시 사용하도록 설계되었습니다.

혁신적인 이유

AI 기반 쿼리 구조화

Uncoder AI는 IOC 추출탐지 규칙 생성을 자동화합니다. AI는 Carbon Black에 필요한 스키마를 이해합니다 (예: netconn_domain 필드를 사용하여), 분석가가 위협 인텔리전스를 플랫폼 특정 구문에 수동으로 매핑할 필요를 제거합니다.

내장된 구문 검증

이 기능의 독특한 혁신은 실시간 AI 기반 검증 생성된 쿼리에 대한 검증입니다:

  • 필드-값 쌍이 올바른 구분자를 사용해 구조화되었는지 확인합니다 (:)
  • 논리 연산자의 사용을 검증합니다 (OR)
  • Carbon Black Cloud 스키마에 맞아떨어지며 netconn_domain 유효하고 인덱싱된 필드임을 확인
  • OR 체인이 길거나 데이터셋이 클 경우 발생할 수 있는 성능상의 고려사항을 강조

검증 과정은 Carbon Black Cloud가 쿼리를 구문 분석하는 방식을 모방하여, 잘못 구성될 가능성을 줄이고 배포에 대한 자신감을 높입니다.

운영 가치

이 기능은 SOC 팀과 탐지 엔지니어에게 다음과 같은 이점을 제공합니다:

  • 알려진 적 인프라에 대한 쿼리 생성을 가속화 AI를 통한 구문, 논리, 스키마 정렬 검증을 통해 오류 감소
  • 위협 사냥을 적극 지원 via AI validation of syntax, logic, and schema alignment
  • Enabling proactive threat hunting, 특히 피싱과 악성코드 전달 도메인에 대해
  • 분석가 및 팀 간 쿼리 형식의 일관성 향상 이 경우 생성된 쿼리를 통해 Carbon Black 사용자는

UAC-0099와 연결된 것으로 알려진 공격자 도메인에 대한 연결을 탐지하고 집행 또는 추가 조사에 적용할 수 있습니다. detect connections to known attacker domains tied to UAC-0099 and apply enforcement or further investigation.

Uncoder AI 탐색

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물