작동 원리
Uncoder AI는 탐지를 위해 설계된 Sigma 규칙을 읽습니다 Katz Stealer 악성코드가 사용하는 악의적인 인프라에 대한 DNS 쿼리, 그리고 이를 즉시 Palo Alto Cortex XSIAM의 고유 문법으로 번역합니다.
좌측 패널 – Sigma 탐지:
- 특정 Katz Stealer 도메인(e.g.,
katz-panel.com,katzstealer.com) - Sigma의 추상 탐지 모델 사용:
logsource로 설정dnsquery|contains도메인 지표 검색
MITRE ATT&CK 기법 태그 T1071.004 (DNS를 통한 명령 및 제어)
우측 패널 – XSIAM 번역:
Uncoder AI는 Cortex XSIAM 호환 규칙을 생성합니다:
filter (xdm.network.dns.dns_question.name 에 "katz-panel.com" 포함 또는 ...)
It:
- 를 Cortex의
query|contains로 매핑xdm.network.dns.dns_question.name - 탐지 충실도와 컨텍스트 보존
- 메타데이터와 문서 정보를 인라인으로 추가(name, author, license)
왜 혁신적인가
XSIAM에 대한 탐지 로직을 수동으로 작성하는 것은:
- Palo Alto의 복잡한 데이터 모델로 인한 시간 소모
(xdm.*) - 필드 매핑에 대한 완전한 문서가 없을 시 오류 발생 가능
- Cortex XQL(XSIAM 쿼리 언어)에 익숙하지 않은 분석가들에게 접근성 부족
Uncoder AI는 다음을 통해 이러한 문제를 해결합니다:
- Sigma에서 XSIAM으로의 필드 번역 자동화
- 쿼리 의도 및 IOC 범위 유지
- 인라인 문서 및 라이선스 메타데이터 자동 추가
이를 플랫폼에 특화된 엔지니어링을 원클릭 작업으로 바꿉니다.
운영 가치
탐지 엔지니어와 SOC 팀을 위해:
- 멀티 플랫폼 커버리지 가속화 오픈 Sigma 콘텐츠 사용
- 벤더 특정 쿼리 지식에 대한 의존 감소
- 충실도 향상 Cortex XSIAM에서의 DNS 기반 탐지
- 위협 인텔을 더 빠르게 운영화, 예를 들어 Katz Stealer와 같은 새로운 악성코드에 대해
Uncoder AI는 추상 탐지 콘텐츠와 복잡하고 구조화된 Cortex XSIAM 데이터셋의 현실 사이의 격차를 메웁니다.
