작동 방식
Uncoder AI는 구조화된 탐지 콘텐츠를 Sigma라는 인기 있는 개방형 탐지 규칙 형식으로 작성 및 자동으로 플랫폼별 논리로 변환합니다 — 이 경우, CrowdStrike 엔드포인트 검색 문법.
Sigma 규칙은 Deno (보안 JavaScript 런타임)이 잠재적으로 악성인 DLL 파일을 HTTP(S)를 통해 다운로드 및 디렉토리, 예를 들어 AppData or Users.
왼쪽 패널 – Sigma 탐지 규칙:
규칙은 다음을 지정합니다:
- Logsource: Windows 파일 이벤트
- TargetFileName 조건: 파일 경로와 같이 일치
\deno\gen,\deno\remote\https,\Users\, 또는\AppData\
MITRE 태그: 실행, 명령 및 제어 (T1059.007, T1105)
오른쪽 패널 – CrowdStrike 쿼리 결과:
Uncoder AI는 CrowdStrike 쿼리 문법을 사용하여 동일한 논리(수상한 Deno 파일 경로)를 유지하면서 변환합니다:
- YAML 필드를 CrowdStrike 호환 필드로
TemporaryFileNameandTargetFileName - 논리적 중첩 (
or,and) 및 정규식 스타일의 경로 매칭 - 탐지 의도와 구조의 완전한 보존
왜 혁신적인가
플랫폼 간 규칙 변환은 지루하고 오류가 발생하기 쉬우며 종종 벤더별 심층 지식이 필요합니다. Uncoder AI를 사용하면:
- 크로스-SIEM 탐지 논리가 자동으로 표준화되고 변환됩니다
- 정규식, 파일 경로 의미 및 논리적 조건이 정확히 보존됩니다
- 배포 시간은 몇 시간에서 몇 초로 단축됩니다
플랫폼 문법 규칙을 학습한 LLM은 변환된 출력이 각 벤더의 쿼리 제약을 준수하면서 원래 탐지 동작과 일치하도록 보장합니다.
운영 가치
탐지 엔지니어와 SOC 팀을 위해, 이 기능은 다음을 제공합니다:
- 신속한 콘텐츠 재사용 이종 보안 스택 (예: Sigma와 CrowdStrike 모두를 사용하는 SOC)에서.
- 보존된 탐지 품질 의미 중심 AI 번역 덕분입니다.
- 확장 가능한 위협 범위 플랫폼별로 엔지니어링 노력을 중복하지 않고도.
- 더 낮은 온보딩 곡선 CrowdStrike의 문법에 익숙하지 않은 주니어 분석가를 위한.
Uncoder AI는 조직이 Sigma 콘텐츠를 CrowdStrike 환경에서 즉시 운영화할 수 있도록 지원하여 Deno 기반 원격 실행과 같은 적대적 기술에 발 맞추어 나갑니다.
