작동 원리
이 Uncoder AI 기능은 즉각적인 탐지 쿼리 생성을 가능하게 합니다 VMware Carbon Black Cloud 구조화된 위협 인텔리전스를 사용하여, 예를 들어 CERT-UA#12463에서 제공된 정보를 활용합니다. 이 경우, Uncoder AI는 UAC-0099 활동과 관련된 지표를 처리하고 이를 문법적으로 올바른 도메인 쿼리로 형식화합니다.
구문 분석된 위협 데이터
출처 위협 보고서에는 악성 네트워크 연결에 사용된 도메인 이름이 포함되어 있습니다:
update.win.app.comcaptcha-challenge.comwebappapiservice.lifenewyorkttimes.life
Uncoder AI는 이러한 지표를 유효한 Carbon Black 쿼리로 구조화합니다:
(netconn_domain:update.win.app.com OR netconn_domain:ukr.net OR netconn_domain:captcha-challenge.com OR netconn_domain:newyorkttimes.life OR netconn_domain:webappapiservice.life)
이 구문은 Carbon Black Cloud 플랫폼에서 엔드포인트에서 시작되는 악성 DNS 또는 HTTP/S 연결을 탐지하기 위해 즉시 사용하도록 설계되었습니다.
혁신적인 이유
AI 기반 쿼리 구조화
Uncoder AI는 IOC 추출 과 탐지 규칙 생성을 자동화합니다. AI는 Carbon Black에 필요한 스키마를 이해합니다 (예: netconn_domain 필드를 사용하여), 분석가가 위협 인텔리전스를 플랫폼 특정 구문에 수동으로 매핑할 필요를 제거합니다.
내장된 구문 검증
이 기능의 독특한 혁신은 실시간 AI 기반 검증 생성된 쿼리에 대한 검증입니다:
- 필드-값 쌍이 올바른 구분자를 사용해 구조화되었는지 확인합니다 (:)
- 논리 연산자의 사용을 검증합니다 (
OR) - Carbon Black Cloud 스키마에 맞아떨어지며
netconn_domain유효하고 인덱싱된 필드임을 확인 - OR 체인이 길거나 데이터셋이 클 경우 발생할 수 있는 성능상의 고려사항을 강조
검증 과정은 Carbon Black Cloud가 쿼리를 구문 분석하는 방식을 모방하여, 잘못 구성될 가능성을 줄이고 배포에 대한 자신감을 높입니다.
운영 가치
이 기능은 SOC 팀과 탐지 엔지니어에게 다음과 같은 이점을 제공합니다:
- 알려진 적 인프라에 대한 쿼리 생성을 가속화 AI를 통한 구문, 논리, 스키마 정렬 검증을 통해 오류 감소
- 위협 사냥을 적극 지원 via AI validation of syntax, logic, and schema alignment
- Enabling proactive threat hunting, 특히 피싱과 악성코드 전달 도메인에 대해
- 분석가 및 팀 간 쿼리 형식의 일관성 향상 이 경우 생성된 쿼리를 통해 Carbon Black 사용자는
UAC-0099와 연결된 것으로 알려진 공격자 도메인에 대한 연결을 탐지하고 집행 또는 추가 조사에 적용할 수 있습니다. detect connections to known attacker domains tied to UAC-0099 and apply enforcement or further investigation.
