Chronicle 쿼리를 위한 AI 검증 호스트네임 필터링

작동 방식

이 Uncoder AI 기능은 그 능력을 보여줍니다 Chronicle UDM 쿼리를 분석하고 검증 여러 도메인 기반 조건을 포함하는. 이 예에서는 Uncoder AI가 관련된 위협 사냥 쿼리를 처리합니다 Sandworm (UAC-0133) 활동을 타겟으로 하는 .sh and .so 도메인 집합.

플랫폼은 자동으로 감지 로직이 필드 수준 비교를 사용한다는 점을 식별합니다 on target.hostname, 이는 Google SecOps (Chronicle) 스키마의 표준 필드입니다. 쿼리는 의심스러운 호스트 이름 목록에서 일치를 확인하기 위해 반복되는 OR 연산자를 사용합니다 — 예를 들어 opf.sh, zjk.sh, 그리고 env.so.

오른쪽 패널에서 Uncoder AI는 AI 생성 검증을 수행하여 구조를 설명합니다:

• 쿼리 로직 (OR 체이닝)
  
• 필드/값 포맷
  
• 스키마 정렬
  
• 성능 영향
  

실행 구문이 유효함을 확인하며 성능 향상을 위해 IN 연산자 사용을 추천합니다.

Uncoder AI 탐색

혁신적인 이유

전통적인 Chronicle 쿼리 검증은 구문, 로직 및 스키마 정확성의 수작업 검토가 필요하며, 이는 시간 소모적이고 오류가 발생하기 쉽습니다. Uncoder AI는 이를 실시간 AI 기반 검증 및 최적화로 대체합니다, 자연어 처리(NLP)와 로직 파싱에 의해 구동됩니다.

주요 AI 기여 사항에는 다음이 포함됩니다:

• 자동 스키마 인식 of target.hostname
  
• 성능 인식 제안 쿼리 복잡성에 기반
  
• 이상한 항목 플래깅, 예를 들어 “3}.sh”, 이는 잘못 포맷되거나 형태가 잘못된 IOC 값을 나타낼 수 있습니다
  
• 개선된 구문 자동 생성, 수십 개의 반복되는 OR을 대체하는 간결하고 읽기 쉬운 IN 블록을 추천합니다
  

이를 통해 검출 엔지니어가 쿼리 작성 및 디버깅의 오버헤드를 줄이면서 Google의 Chronicle UDM 쿼리 구조와 완전한 호환성을 유지할 수 있습니다.

운영 가치

다음 기능을 가능하게 합니다. Google SecOps 환경보안 팀이 작업을 하는

더 빠른 검출 엔지니어링

보안 분석가는 도메인 목록을 즉시 검증된 Chronicle 쿼리로 변환하여 수동 포맷 작업을 건너뜁니다.

쿼리 품질에 대한 높은 신뢰성

내장된 검증 로직은 사용된 모든 필드가 스키마에 호환되고, 의심스러운 포맷(예: 잘못된 도메인)이 검토를 위해 플래그됨을 보장합니다.

향상된 성능 준비

긴 OR 체인을 대신하여 IN 연산자 사용을 추천하여 쿼리 실행 시간을 줄이고 감지가 대규모로 유지 관리하기 쉽게 합니다.

Uncoder AI 탐색