작동 방식
현대 감지 규칙은 종종 복잡한 논리, 다중 필터 및 특정 검색 패턴을 포함하여 한눈에 해석하기 어렵습니다. Uncoder AI의 전체 요약 기능은 제공된 감지 규칙이나 쿼리를 자동으로 분석하여 사람이 읽을 수 있는 언어로 자세한 설명을 생성합니다.
예에서 볼 수 있듯이, 제약 없는 Kerberos 위임 지표를 대상으로 하는 Splunk 쿼리를 주요 구성 요소로 분해합니다:
- 인덱스 및 소스 필터링: 특정 로그 유형, 예를 들어 WinEventLog.
- ScriptBlockText 필터: 다양한 Kerberos 위임 속성에 대해 PowerShell 블록을 사용하여 스크립트 기반 조건을 식별합니다:
-
-
TrustedForDelegation
-
TrustedToAuthForDelegation
-
msDS-AllowedToDelegateTo
PrincipalsAllowedToDelegateToAccount-
LDAPFilter와 함께userAccountControl플래그
-
각 조건은 왜 중요한지, 어떤 종류의 잘못된 구성이나 오용을 나타낼 수 있는지에 대한 문맥이 주석으로 달려 있습니다.
왜 혁신적인가
긴 감지 로직의 수동 검토에 의존하는 대신, 전체 요약은 보안 엔지니어가 즉시 이해할 수 있게 합니다:
- 규칙이 감지하는 것
- 대상으로 삼는 속성이나 행동
- 데이터를 필터링하는 방법과 성공 조건을 정의하는 방법
- 48개 언어 지원
명확한 문서가 드물거나 최신이 아닌 고속의 SOC 환경에서 특히 유용합니다. Uncoder AI는 다음을 제공합니다:
- 정확한 분해
- 제목이 있는 구조적 요약
-
위협 관련성에 대한 문맥적 정보
SOC Prime의 프라이빗 클라우드에 호스팅된 Llama 3.3 모델에 의해 구동되어 이 기능은 개인정보 보호 및 성능을 보장합니다.
운영 가치
-
분석 시간 절약: 분석가는 더 이상 복잡한 감지 로직을 줄줄이 읽고 해독할 필요가 없습니다.
-
협업 개선: Tier 1–3 분석가와 감지 엔지니어가 공동 이해로 작업할 수 있도록 지원합니다.
- 온보딩 시간 단축: 주니어 팀원이 명확한 논리 요약으로 빠르게 적응할 수 있습니다.
- 문서화 향상: 전체 요약은 규칙과 함께 저장되어 미래의 감사, 검토 또는 최적화를 위해 사용할 수 있습니다.
복잡성에서 명료성으로
탐지 규칙을 조정하거나, 위협 논리를 검토하거나, 쿼리가 실제로 무엇을 하는지 문서화하려고 할 때—Uncoder AI의 전체 요약은 팀에 강력한 지원을 제공합니다. 감지 내용을 몇 초 만에 완전히 설명합니다.
