작동 원리
이 Uncoder AI 기능은 Microsoft Sentinel을 위한 Kusto Query Language (KQL)로 작성된 탐지 쿼리를 자동으로 분석하고 검증합니다. 이 예에서는 입력이 다중 조건 검색 쿼리로 SmokeLoader 캠페인과 관련된 도메인 이름을 식별하도록 설계되었습니다 (CERT-UA 참조 표시됨).
왼쪽 패널에는 탐지 로직이 표시됩니다:
search (@”dipLombar.by” or @”dubelomber.ru” or @”iloveua.in” … )
쿼리는 특정 위협 도메인을 감지하기 위해 리터럴 문자열 매칭을 사용합니다.
오른쪽 패널에는 AI 생성 검증 출력이 표시되며, Uncoder AI는 쿼리를 구문 및 의미 구성 요소로 해부합니다:
- KQL 구문 사용의 올바름 (
search, @ 리터럴의 경우,or연산자). - 성능 영향 (예: 많은 수의
OR조건, 와일드카드 사용 없음). - 더 나은 데이터 정렬을 위한 스키마 일치 조언.
유지보수성을 위한 제안 (예: in 연산자 사용 또는 조회 테이블의 조인).
혁신적인 이유
보안 엔지니어는 종종 압박 속에서 일하며, 모든 쿼리의 기술적 및 성능적 측면을 깊이 검토할 시간이나 맥락이 부족합니다. 전통적으로, 탐지 쿼리는:
- 최적화 없이 즉석에서 작성됨.
- 거의 문서화되지 않거나 성능 조정이 이루어지지 않음.
Uncoder AI는 다음과 같이 해결합니다:
- KQL 및 탐지 엔지니어링 모범 사례로 훈련된 LLM으로 쿼리 구조 분석.
- 명확하고 실행 가능한 제안 제공 — 룰의 올바름뿐만 아니라 데이터 볼륨 및 사용 사례에 기반한 더 나은 쿼리 방법.
이로써 Uncoder AI는 코드 생성 이상의 역할을 하고 — 탐지 파이프라인에 내장된 전문가 어시스턴트가 됩니다.
운영 가치
SOC 팀과 탐지 엔지니어를 위한 즉각적인 이점:
- 시행착오 감소: 검증은 배포 전에 로직이 예상대로 작동하도록 보장합니다.
- 더 높은 성능: 최적화된 구문은 대규모에서 효율성을 향상시킵니다.
- 교차 기술 가능: 주니어 분석가조차도 KQL 사용에 대한 전문가 수준의 통찰력을 얻습니다.
- 더 빠른 튜닝: AI 조언은 환경 전반에 걸친 탐지 조정 주기를 가속화합니다.
본질적으로, Uncoder AI는 단순히 쿼리를 작성하는 것이 아니라, 여러분과 함께 생각하고, 실시간으로 검증하며, Microsoft Sentinel과 같은 플랫폼에서 정밀 탐지를 가능하게 합니다.
