AI Validation for Sentinel Queries: Smarter KQL with Uncoder AI

작동 원리

이 Uncoder AI 기능은 Microsoft Sentinel을 위한 Kusto Query Language (KQL)로 작성된 탐지 쿼리를 자동으로 분석하고 검증합니다. 이 예에서는 입력이 다중 조건 검색 쿼리로 SmokeLoader 캠페인과 관련된 도메인 이름을 식별하도록 설계되었습니다 (CERT-UA 참조 표시됨).

왼쪽 패널에는 탐지 로직이 표시됩니다:

search (@”dipLombar.by” or @”dubelomber.ru” or @”iloveua.in” … )

쿼리는 특정 위협 도메인을 감지하기 위해 리터럴 문자열 매칭을 사용합니다.

오른쪽 패널에는 AI 생성 검증 출력이 표시되며, Uncoder AI는 쿼리를 구문 및 의미 구성 요소로 해부합니다:

• KQL 구문 사용의 올바름 (search , @ 리터럴의 경우, or 연산자).
  
• 성능 영향 (예: 많은 수의 OR 조건, 와일드카드 사용 없음).
  
• 더 나은 데이터 정렬을 위한 스키마 일치 조언.
  

유지보수성을 위한 제안 (예: in 연산자 사용 또는 조회 테이블의 조인).

Uncoder AI 탐색하기

혁신적인 이유

보안 엔지니어는 종종 압박 속에서 일하며, 모든 쿼리의 기술적 및 성능적 측면을 깊이 검토할 시간이나 맥락이 부족합니다. 전통적으로, 탐지 쿼리는:

• 최적화 없이 즉석에서 작성됨.
  
• 거의 문서화되지 않거나 성능 조정이 이루어지지 않음.
  

Uncoder AI는 다음과 같이 해결합니다:

• KQL 및 탐지 엔지니어링 모범 사례로 훈련된 LLM으로 쿼리 구조 분석.
  
• 명확하고 실행 가능한 제안 제공 — 룰의 올바름뿐만 아니라 데이터 볼륨 및 사용 사례에 기반한 더 나은 쿼리 방법.
  

이로써 Uncoder AI는 코드 생성 이상의 역할을 하고 — 탐지 파이프라인에 내장된 전문가 어시스턴트가 됩니다.

운영 가치

SOC 팀과 탐지 엔지니어를 위한 즉각적인 이점:

• 시행착오 감소: 검증은 배포 전에 로직이 예상대로 작동하도록 보장합니다.
  
• 더 높은 성능: 최적화된 구문은 대규모에서 효율성을 향상시킵니다.
  
• 교차 기술 가능: 주니어 분석가조차도 KQL 사용에 대한 전문가 수준의 통찰력을 얻습니다.
  
• 더 빠른 튜닝: AI 조언은 환경 전반에 걸친 탐지 조정 주기를 가속화합니다.
  

본질적으로, Uncoder AI는 단순히 쿼리를 작성하는 것이 아니라, 여러분과 함께 생각하고, 실시간으로 검증하며, Microsoft Sentinel과 같은 플랫폼에서 정밀 탐지를 가능하게 합니다.

Uncoder AI 탐색하기