작동 방식
이 기능은 Uncoder AI 복잡한 위협 정보를 구조화된 CrowdStrike CSQL (CrowdStrike Search Query Language)로 번역하여, Falcon Endpoint Search 내에서 즉시 사용할 수 있도록 합니다.
이 예에서는, 다음의 지표로부터 CERT-UA#13738 Gamaredon (UAC-0173 / LITENKODER) 캠페인이 ZIP 파일과 클라우드 호스팅 페이로드를 활용하는 방법을 설명합니다. Uncoder AI는 보고서를 처리하여 유효하고 플랫폼에 맞춘 탐지 쿼리를 산출합니다.
보고서에서 CSQL로
AI 엔진은 관련 IOCs를 추출합니다:
-
스토리징 도메인 예시
upnow-prod.ff45e40d1a...r2.cloudflarestorage.com -
난독화된 DNS 지표
(047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
이들은 구문에 맞는 쿼리에 삽입됩니다:
(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"
OR DomainName="bestank.ph"
OR DomainName="i.ibb.co"
이 쿼리는 CrowdStrike에서 DomainName 필드를 통해 직접 엔드포인트 원격 측정과 일치합니다.
혁신적인 이유
AI 기반 규칙 생성
사전 정의된 템플릿에 의존하지 않고, Uncoder AI는 다음을 깊이 이해하여 벤더별 쿼리를 동적으로 구성합니다:
-
필드 매핑 (예: 선택
DomainNameCSQL에서)
-
각 탐지 언어에 대한 구문 기대치
-
최적의 성능과 명료성을 위한 논리 구조
내장 구문 및 구조 검증
쿼리가 생성됨에 따라 Uncoder AI는 또한 실시간 구문 검증:
-
괄호와 OR 체인이 올바르게 그룹화되었음을 보장
-
지원되는 연산자의 사용을 검증 ,
OR)
-
필드-값 구분자가 스키마 규칙을 따르는지 확인 (예: CSQL에서 인용된 문자열)
-
특수 문자나 이상 현상(예: 호스트명 오타)을 플래그 처리
이 검사들은 포함된 AI 규칙 검증기에 의해 구동되며, 플랫폼별 문법 검사를 에뮬레이트하여 분석가들이 런타임 오류와 잘못된 논리를 피할 수 있도록 돕습니다.
이 두 겹의 시스템 — 생성과 검증 — 은 쿼리가 완전할 뿐만 아니라 운영 환경에 안전하게 배포 할 수 있도록 보장합니다.
운영 가치
단 한 번의 클릭으로, 탐지 엔지니어와 위협 헌터들은 다음을 할 수 있습니다:
-
Gamaredon 도메인 사용을 식별하기 위한 타겟 쿼리 배포
-
운영 환경으로 배포하기 전 올바름 검증
-
필드 불일치나 논리 결함으로 인한 False Negative(거짓 부정) 방지
구조, 구문, 의미적 정확성을 자동화하여 Uncoder AI는 높은 충성도를 가진 탐지 논리 구축에서 추측을 제거합니다.
