교차 플랫폼 규칙 변환: Uncoder AI로 Sigma에서 CrowdStrike로

작동 방식

Uncoder AI는 구조화된 탐지 콘텐츠를 Sigma라는 인기 있는 개방형 탐지 규칙 형식으로 작성 및 자동으로 플랫폼별 논리로 변환합니다 — 이 경우, CrowdStrike 엔드포인트 검색 문법.

Sigma 규칙은 Deno (보안 JavaScript 런타임)이 잠재적으로 악성인 DLL 파일을 HTTP(S)를 통해 다운로드 및 디렉토리, 예를 들어 AppData or Users.

왼쪽 패널 – Sigma 탐지 규칙:

규칙은 다음을 지정합니다:

• Logsource: Windows 파일 이벤트
  
• TargetFileName 조건: 파일 경로와 같이 일치 \deno\gen, \deno\remote\https, \Users\, 또는 \AppData\
  

MITRE 태그: 실행, 명령 및 제어 (T1059.007, T1105)

Uncoder AI 탐색

오른쪽 패널 – CrowdStrike 쿼리 결과:

Uncoder AI는 CrowdStrike 쿼리 문법을 사용하여 동일한 논리(수상한 Deno 파일 경로)를 유지하면서 변환합니다:

• YAML 필드를 CrowdStrike 호환 필드로 TemporaryFileName and TargetFileName
  
• 논리적 중첩 (or , and) 및 정규식 스타일의 경로 매칭
  
• 탐지 의도와 구조의 완전한 보존
  

왜 혁신적인가

플랫폼 간 규칙 변환은 지루하고 오류가 발생하기 쉬우며 종종 벤더별 심층 지식이 필요합니다. Uncoder AI를 사용하면:

• 크로스-SIEM 탐지 논리가 자동으로 표준화되고 변환됩니다
  
• 정규식, 파일 경로 의미 및 논리적 조건이 정확히 보존됩니다
  
• 배포 시간은 몇 시간에서 몇 초로 단축됩니다
  

플랫폼 문법 규칙을 학습한 LLM은 변환된 출력이 각 벤더의 쿼리 제약을 준수하면서 원래 탐지 동작과 일치하도록 보장합니다.

운영 가치

탐지 엔지니어와 SOC 팀을 위해, 이 기능은 다음을 제공합니다:

• 신속한 콘텐츠 재사용 이종 보안 스택 (예: Sigma와 CrowdStrike 모두를 사용하는 SOC)에서.
  
• 보존된 탐지 품질 의미 중심 AI 번역 덕분입니다.
  
• 확장 가능한 위협 범위 플랫폼별로 엔지니어링 노력을 중복하지 않고도.
  
• 더 낮은 온보딩 곡선 CrowdStrike의 문법에 익숙하지 않은 주니어 분석가를 위한.
  

Uncoder AI는 조직이 Sigma 콘텐츠를 CrowdStrike 환경에서 즉시 운영화할 수 있도록 지원하여 Deno 기반 원격 실행과 같은 적대적 기술에 발 맞추어 나갑니다.

Uncoder AI 탐색