Sigma DNS 규칙을 Uncoder AI로 Cortex XSIAM에 변환하기

작동 원리

Uncoder AI는 탐지를 위해 설계된 Sigma 규칙을 읽습니다 Katz Stealer 악성코드가 사용하는 악의적인 인프라에 대한 DNS 쿼리, 그리고 이를 즉시 Palo Alto Cortex XSIAM의 고유 문법으로 번역합니다.

좌측 패널 – Sigma 탐지:

• 특정 Katz Stealer 도메인(e.g., katz-panel.com , katzstealer.com)
  
• Sigma의 추상 탐지 모델 사용:
  
  • logsource 로 설정 dns
    
  • query|contains 도메인 지표 검색
    

MITRE ATT&CK 기법 태그 T1071.004 (DNS를 통한 명령 및 제어)

Uncoder AI 탐색

우측 패널 – XSIAM 번역:

Uncoder AI는 Cortex XSIAM 호환 규칙을 생성합니다:

filter (xdm.network.dns.dns_question.name 에 "katz-panel.com" 포함 또는 ...)

It:

• 를 Cortex의 query|contains 로 매핑 xdm.network.dns.dns_question.name
  
• 탐지 충실도와 컨텍스트 보존
  
• 메타데이터와 문서 정보를 인라인으로 추가(name, author, license)
  

왜 혁신적인가

XSIAM에 대한 탐지 로직을 수동으로 작성하는 것은:

• Palo Alto의 복잡한 데이터 모델로 인한 시간 소모 (xdm.*)
  
• 필드 매핑에 대한 완전한 문서가 없을 시 오류 발생 가능
  
• Cortex XQL(XSIAM 쿼리 언어)에 익숙하지 않은 분석가들에게 접근성 부족
  

Uncoder AI는 다음을 통해 이러한 문제를 해결합니다:

• Sigma에서 XSIAM으로의 필드 번역 자동화
  
• 쿼리 의도 및 IOC 범위 유지
  
• 인라인 문서 및 라이선스 메타데이터 자동 추가
  

이를 플랫폼에 특화된 엔지니어링을 원클릭 작업으로 바꿉니다.

운영 가치

탐지 엔지니어와 SOC 팀을 위해:

• 멀티 플랫폼 커버리지 가속화 오픈 Sigma 콘텐츠 사용
  
• 벤더 특정 쿼리 지식에 대한 의존 감소
  
• 충실도 향상 Cortex XSIAM에서의 DNS 기반 탐지
  
• 위협 인텔을 더 빠르게 운영화, 예를 들어 Katz Stealer와 같은 새로운 악성코드에 대해
  

Uncoder AI는 추상 탐지 콘텐츠와 복잡하고 구조화된 Cortex XSIAM 데이터셋의 현실 사이의 격차를 메웁니다.

Uncoder AI 탐색