작동 방식
이 Uncoder AI 기능은 IOC(Indicators of Compromise) 형식과 같은 구조화된 위협 보고서를 처리하여 이를 실행 가능한 탐지 논리로 자동 변환합니다. 스크린샷에서는 다음을 보여줍니다:
- 왼쪽 패널: “COOKBOX” 캠페인에 대한 고전적인 위협 인텔리전스 보고서로, 악성 PowerShell 활동과 관련된 추출된 해시, 도메인, IP, URL 및 레지스트리 키를 표시합니다.
- 오른쪽 패널: Google SecOps (UDM) 문법에 맞춤화된 AI 생성 탐지 규칙입니다. 이 규칙은 의심스러운
target.hostname값을 필터링하여 COOKBOX와 관련된 위협 인프라, 예컨대shorturl.at,github.com, 그리고bom02.gotdns.ch.
Uncoder AI는 자연어 처리(NLP)와 구조화된 파싱을 사용하여:
- 주요 IOC 요소(IP, 도메인, URI, 레지스트리 경로)를 식별합니다.
- 캠페인 행동을 맥락적으로 이해하고(예: 모호하게 실행된 PowerShell).
관련 속성을 지원되는 탐지 언어(여기서는 Google SecOps Query)에 매핑합니다.
왜 혁신적인가
전통적인 IOC 수집은 수동 서식 지정, 맥락적 태그 지정 및 SIEM 특정 번역을 요구하는데, 이는 인적 오류가 발생하기 쉬운 시간 소모적인 과정입니다. Uncoder AI는 다음과 같은 문제를 해결합니다:
- 관련 관찰 항목을 자동으로 추출 하여 사람이 읽을 수 있는 보고서나 원시 IOC 피드에서 가져옵니다.
- 위협을 맥락 설정 하여 탐지 엔지니어링 의미에 대해 훈련된 LLM을 사용합니다.
- 탐지 논리를 번역 하여 여러 플랫폼(이 예에서는 Google SecOps/UDM)에서 구문 및 의미 정확성을 유지합니다.
이것은 단순한 템플릿 채우기가 아닌, AI가 위협 행동과 탐지 언어의 제약에 따라 논리를 조정하는 것입니다.
운영적 가치
탐지 엔지니어 및 SOC 팀에게 즉각적인 혜택은 다음과 같습니다:
- 규칙 생성 가속화: IOC에서 배포 준비 완료 탐지까지 초 단위로 이동.
- 크로스 플랫폼 호환성: SIEM 특정 형식으로의 신속한 변환이 벤더 종속을 제거합니다.
- 인지 부하 감소: 분석가들이 서식 지정이 아니라 조사에 집중할 수 있습니다.
- 탐지 커버리지 개선: 높은 충실도 논리는 IOC가 단순히 기록되는 것이 아니라 실제로 원격 탐지되도록 보장합니다.
정적인 위협 정보가 동적인 탐지 콘텐츠로 변환되면서, Uncoder AI는 정보 수집과 실제 방어 간의 격차를 메웁니다.
