Google SecOps에서 DNS 위협 탐지: Uncoder AI를 활용한 Katz Stealer 규칙 변환

작동 방식

이 기능은 탐지 엔지니어가 Sigma 규칙을 원활하게 변환할 수 있도록 합니다 Google SecOps 쿼리 언어 (UDM)로, 스크린샷에서 원래 Sigma 규칙은 알려진 DNS 쿼리를 탐지하도록 설계되었습니다 Katz Stealer 도메인 — 데이터 유출 및 명령-제어 활동과 관련된 멀웨어 가족입니다.

왼쪽 패널 – Sigma 규칙:

Sigma 논리 포함:

• DNS 카테고리 로그소스
  
• 탐지 조건 Katz Stealer와 연관된 네 개의 알려진 도메인과 일치함 (katz-panel.com , katzstealer.com, 등)
  
• A 높은 심각도 수준, 악성 행위로 간주될 가능성이 높음을 의미함

Uncoder AI 탐색

오른쪽 패널 – Google SecOps 출력:

Uncoder AI는 등가의 UDM 쿼리를 자동 생성하여 Sigma 탐지 논리를 플랫폼 특정 구문으로 번역합니다:

{target.url=/.*katz-panel\.com.*/ nocase or ...}

이 패턴은 nocase 수정자를 사용하여 Google의 UDM 스키마에 맞게 도메인 전반에 레지엑스 매칭을 사용합니다. 변환은 원래 탐지 의도를 구글 SecOps에서 즉시 사용할 수 있는 구문으로 보존합니다.

혁신적인 이유

전통적으로, 탐지 콘텐츠는 각 SIEM/XDR 플랫폼에 대해 수작업으로 다시 작성해야 했습니다 — 특히 DNS 가시와 정규 표현식을 처리할 때 번거롭고 오류가 발생하기 쉬운 과정입니다.

Uncoder AI는 이에 대한 해결책을 제공합니다:

• Sigma 필드를 UDM 필드 이름과 자동 매핑 (예: query|contains → target.url)
  
• 올바른 레지엑스 구조와 대소문자 규칙으로 매칭 논리 적응
  
• 플랫폼 상에서 탐지 커버리지 충실 보장
  

이를 통해 위협 탐지가 벤더 특정 코드 노력을 들이지 않고도 빠르게 확장될 수 있습니다.

운영적 가치

SOC 팀과 탐지 엔지니어에게:

• 시간 절약: 재사용 가능한 Sigma 탐지를 UDM 구문으로 즉시 변환.
  
• 위협 커버리지: 클라우드 네이티브 구글 환경 전반에 Katz Stealer에 대한 DNS 기반 탐지를 배포.
  
• 정확성과 일관성: 탐지 논리의 무결성을 유지하면서 번역 정확성을 보장.
  
• 플랫폼 확장성: 한 번 탐지를 구축하고 어디에서나 운영화.
  

이 기능은 보안 팀이 오픈 소스 탐지 콘텐츠를 실행 가능한 UDM 쿼리로 변환할 수 있게 하여 응답 시간을 줄이고 Google SecOps 배포 환경 전반에 가시성을 높입니다.

Uncoder AI 탐색