Uncoder AI의 전체 요약 기능이 위협 사냥꾼을 위한 Kusto 쿼리 분석을 어떻게 향상시키는가

[post-views]
4월 23, 2025 · 4 분 읽기
Uncoder AI의 전체 요약 기능이 위협 사냥꾼을 위한 Kusto 쿼리 분석을 어떻게 향상시키는가

Microsoft Sentinel을 다루다 보면 미묘한 공격자 행동을 추적할 때 복잡한 Kusto 쿼리를 해부해야 하는 경우가 많습니다. 이러한 쿼리에는 중첩된 논리, 생소한 파일 경로 검사, 깊은 이해가 필요한 드문 시스템 이벤트가 포함될 수 있습니다. 바로 그럴 때 Uncoder AI의 전체 요약 기능이 빛을 발합니다.

이 AI 기반 향상 기능은 복잡한 Microsoft Sentinel (Kusto) 감지 로직을 구조화된 평문 설명으로 자동 변환하여 복잡한 규칙을 몇 초 만에 실행 가능한 인텔리전스로 전환합니다.

Uncoder AI 탐색하기

실제 사례: 의심스러운 사용자 경로에서 로드된 Clfs.sys

스크린샷의 예를 보십시오: 탐지 규칙이 있는 인스턴스를 모니터링합니다. clfs.sys, 합법적인 시스템 드라이버로, 표준적이지 않거나 의심스러운 디렉터리에서 로드됩니다. \Users\Public, \Temp, \Pictures, \Contacts

이러한 행동은 공격자가 탐지를 피하거나 감지되지 않는 상태로 지속하기 위해 사용자 공간 경로에서 모듈을 배치하거나 사이드로드했음을 나타낼 수 있습니다. clfs.sys module from user-space paths to evade detection or persist under the radar.

하지만 원래 쿼리의 경우? 중첩 조건, Image contains 문, 해석하는 데 시간이 필요한 디렉터리 논리로 가득합니다.

우리가 사용한 입력값 (클릭하여 텍스트 표시)
SysmonEvent | where EventID == 7 | where (ImageLoaded endswith @’\clfs.sys’ and ((Image contains @’:\Perflogs\’ or Image contains @’:\Users\Public\’ or Image contains @’\Temporary Internet’ or Image contains @’\Windows\Temp\’) or (Image contains @’:\Users\’ and Image contains @’\Favorites\’) or (Image contains @’:\Users\’ and Image contains @’\Favourites\’) or (Image contains @’:\Users\’ and Image contains @’\Contacts\’) or (Image contains @’:\Users\’ and Image contains @’\Pictures\’)))
AI 출력 결과 (클릭하여 텍스트 표시)

제공된 Microsoft Sentinel 쿼리는 시스템 모니터(Sysmon) 이벤트 로그에서 캡처된 특정 시스템 활동을 탐지하도록 설계되었습니다. 이 쿼리가 달성하고자 하는 목표에 대한 간단한 설명은 다음과 같습니다:

  1. Event ID 7 필터링:
    이 쿼리는 EventID == 7 인 Sysmon 이벤트를 필터링하는 것부터 시작합니다. Sysmon에서 Event ID 7Image Loaded 이벤트를 의미하며, 이는 시스템이 새로운 모듈(DLL 등)을 메모리에 로드했음을 나타냅니다.
    이 이벤트는 일반적으로 자주 발생하지만, 비정상적이거나 예기치 않은 모듈이 로드되는 경우 악성 활동을 식별하는 데 중요한 단서가 될 수 있습니다.
  2. clfs.sys 필터링:
    이 쿼리는 로드된 이미지(ImageLoaded)가 \clfs.sys로 끝나는 경우를 찾아 Image Loaded 이벤트를 더욱 좁혀 나갑니다.
    clfs.sys 파일은 Common Log File System (CLFS) 과 관련된 Windows 시스템 드라이버로, Windows 내에서 특정 로그 기록 및 데이터베이스 작업에 필수적인 요소입니다.
    이 특정 드라이버가 주목받는 이유는, 악성코드나 기타 비인가된 프로세스에 의해 악용될 가능성 때문일 수 있습니다.
  3. 특정 디렉터리 필터: 쿼리는 로드되는 이미지의 경로에 따라 여러 필터를 적용합니다 (Image). 이러한 필터는 특정 디렉터리를 포함하거나 그 경로가 포함된 이미지를 찾고 있습니다. 특히, 다음을 찾고 있습니다:
  • 포함된 경로 \Perflogs\는 성능 로깅과 관련된 활동을 나타낼 수 있습니다.
  • 포함된 경로 \Users\Public\는 공용 사용자 디렉터리가 연관되어 있음을 제안합니다.
  • 포함된 경로 \Temporary Internet템포러리 인터넷 파일을 의미합니다.
  • 끝나는 경로 \Windows\Temp\를 가리키며 Windows 임시 폴더이며 맬웨어 또는 비인가된 활동이 흔히 있는 장소입니다.
  • 사용자 디렉터리 내에서 보다 구체적인 필터가 적용됩니다 (:\Users\), 다음과 같은 하위 디렉터리에 중점을 둡니다:\Favourites\ (다른 지역 맞춤법을 고려)\Contacts\
    \Pictures\

이러한 특정 디렉터리 필터는 clfs.sys 또는 이와 유사한 시스템 모듈이 사용자의 저장 공간 내에서 비정상적인 또는 잠재적으로 손상된 위치에서 로드되고 있는지를 식별하고자 하는 관심을 암시하며, 이는 악의적인 활동을 나타낼 수 있습니다. 이러한 특정 디렉터리 및 하위 디렉터리에 대한 집중은 데이터의 무결성, 개인 정보 보호 또는 네트워크 내에서의 잠재적 측면 이동에 대한 관심을 내포합니다.

본질적으로, 이 Microsoft Sentinel 쿼리는 비표준 경로, 특히 사용자 데이터, 임시 저장소 또는 시스템 수준 작업에 일반적으로 관여하지 않는 기타 영역에서의 Windows 시스템 드라이버의 의심스러운 로딩을 밝히도록 설계되었습니다. 이는 보안팀이 민감한 데이터에 대한 비인가 접근 또는 정당한 시스템 활동에 융합하려는 악성 소프트웨어와 같은 잠재적 위협을 식별하고 대응하는 데 도움을 줄 수 있습니다.

전체 요약 기능을 통해 제공된 사항

논리를 수작업으로 파싱하는 대신, Uncoder AI는 즉시 명확하고 구조화된 설명을 생성했습니다:

  • Why Event ID 7 중요한 점: 로드된 모듈(ImageLoaded)을 반영하며, 이는 악성 활동이나 무해 상태를 신호할 수 있습니다.
  • Why Clfs.sys 이 타겟으로 설정됨: 적법하나, 그 오용은 측면 이동 또는 권한 상승을 나타낼 수 있습니다.
  • 왜 사용자 디렉터리가 의심스러운가: 이러한 위치는 시스템 수준 드라이버에 일반적이지 않으며 비인가 접근 시도나 유지 기술을 신호할 수 있습니다.

작전적 영향: 검토에서 실행까지

이 기능은 분석가의 조사 시간을 획기적으로 줄였습니다—복잡한 논리 검토를 단일 요약로 변환했습니다. 이는 빠른 분류, 위협 검증에 대한 더 나은 맥락 제공, 저장된 로그에 대한 즉각적인 후퇴 수색을 가능하게 했습니다.

간단히 말해, Uncoder AI의 전체 요약은 복잡한 탐지 엔지니어링과 신속한 운영적 대응 사이의 격차를 메웠습니다.

Uncoder AI 탐색하기

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물