작동 원리
보여지는 Sigma 규칙은 탐지하도록 설계되었습니다 암호 저장을 시사하는 이름의 파일을 여는 메모장, 이는 Windows 시스템에서 무단 자격 증명 액세스 또는 의심스러운 동작을 나타낼 수 있습니다.
왼쪽 패널 – Sigma 규칙:
- 다음 경우의 프로세스 생성 이벤트를 찾습니다:
- 상위 프로세스가
explorer.exe - 하위 프로세스가
notepad.exe - 명령줄에 다음과 같은 문자열이 포함되어 있습니다
password*.txt,password*.csv, 등.
- 상위 프로세스가
- MITRE 기법 아래에 태그 됨
T1083(파일 및 디렉토리 검색) - 사용합니다
process_creationWindows의 원격 감지
오른쪽 패널 – SentinelOne 쿼리:
Uncoder AI는 탐지를 자동으로 변환합니다 SentinelOne 이벤트 쿼리 구문:
(SrcProcImagePath ContainsCIS "explorer.exe" AND
TgtProcImagePath ContainsCIS "notepad.exe" AND
(TgtProcCmdLine ContainsCIS "password.txt" OR ...))
매핑합니다:
- 상위/하위 프로세스 관계
- 명령줄 패턴 매칭 (대소문자 구분 없는 문자열 매칭을 통한
ContainsCIS) - 와일드카드와 여러 확장자
이 번역은 SentinelOne에서 위협 사냥 또는 실시간 경고용으로 배포할 준비가 되어 있습니다.
왜 혁신적 인가
SentinelOne을 위한 탐지 로직을 수동으로 작성하려면 필요합니다:
- SentinelOne의 스키마와 구문 이해
- 프로세스 관계 및 CLI 내용 관련 복잡한 논리 복제
- 다중 매칭 조건을 효율적으로 처리
Uncoder AI가 이를 해결합니다:
- Sigma YAML 기반 규칙을 자동으로 구문 분석
- SentinelOne의 쿼리 구조에 필드와 논리 매핑
- 의미적 의도 유지 (프로세스 계층 + 키워드 매칭)
이를 통해 보안 팀은 강력한 행위 탐지를 SentinelOne에 수동 스크립팅 없이 도입할 수 있습니다.
운영 가치
이 기능은 탐지 엔지니어에게 즉각적인 이점을 제공합니다:
- SentinelOne 환경 간 Sigma 규칙의 신속한 재사용
- 무단 또는 위험한 자격 증명 액세스 활동의 탐지
- 정확한 크로스 플랫폼 논리로 엔지니어링 오버헤드 감소
- 파일 액세스 패턴에 대한 더 나은 가시성 민감한 키워드를 포함하는
Uncoder AI는 추상적인 탐지를 실행 가능한 엔드포인트 쿼리로 변환하여 SentinelOne에서 능동적인 위협 사냥을 가능하게 합니다.
