SOC Prime 플랫폼

작동 방식 여기서 탐지 논리는 모니터링을 중심으로 구축됩니다 사용 mknod 시스템 콜, 이는 정당한 워크플로에서는 드물게 사용되지만 공격자에 의해 악용될 수 있습니다: 가짜 블록 또는 문자 장치 생성 커널 인터페이스와 상호 작용 파일 시스템 제어나 백도어 설치를 우회 왼쪽 패널 – Sigma 규칙: 로그 소스: auditd on Linux 초점: syscall: mknod MITRE 기술로 태그됨 T1543.003 […]

작동 원리 보여지는 Sigma 규칙은 탐지하도록 설계되었습니다 암호 저장을 시사하는 이름의 파일을 여는 메모장, 이는 Windows 시스템에서 무단 자격 증명 액세스 또는 의심스러운 동작을 나타낼 수 있습니다. 왼쪽 패널 – Sigma 규칙: 다음 경우의 프로세스 생성 이벤트를 찾습니다: 상위 프로세스가 explorer.exe 하위 프로세스가 notepad.exe 명령줄에 다음과 같은 문자열이 포함되어 있습니다 password*.txt, password*.csv, 등. MITRE 기법 […]

작동 원리 Uncoder AI는 탐지를 위해 설계된 Sigma 규칙을 읽습니다 Katz Stealer 악성코드가 사용하는 악의적인 인프라에 대한 DNS 쿼리, 그리고 이를 즉시 Palo Alto Cortex XSIAM의 고유 문법으로 번역합니다. 좌측 패널 – Sigma 탐지: 특정 Katz Stealer 도메인(e.g., katz-panel.com , katzstealer.com) Sigma의 추상 탐지 모델 사용: logsource 로 설정 dns query|contains 도메인 지표 검색 MITRE […]

작동 방식 이 기능은 탐지 엔지니어가 Sigma 규칙을 원활하게 변환할 수 있도록 합니다 Google SecOps 쿼리 언어 (UDM)로, 스크린샷에서 원래 Sigma 규칙은 알려진 DNS 쿼리를 탐지하도록 설계되었습니다 Katz Stealer 도메인 — 데이터 유출 및 명령-제어 활동과 관련된 멀웨어 가족입니다. 왼쪽 패널 – Sigma 규칙: Sigma 논리 포함: DNS 카테고리 로그소스 탐지 조건 Katz Stealer와 연관된 […]

작동 방식 Uncoder AI는 구조화된 탐지 콘텐츠를 Sigma라는 인기 있는 개방형 탐지 규칙 형식으로 작성 및 자동으로 플랫폼별 논리로 변환합니다 — 이 경우, CrowdStrike 엔드포인트 검색 문법. Sigma 규칙은 Deno (보안 JavaScript 런타임)이 잠재적으로 악성인 DLL 파일을 HTTP(S)를 통해 다운로드 및 디렉토리, 예를 들어 AppData or Users. 왼쪽 패널 – Sigma 탐지 규칙: 규칙은 다음을 […]

작동 원리 이 Uncoder AI 기능은 Microsoft Sentinel을 위한 Kusto Query Language (KQL)로 작성된 탐지 쿼리를 자동으로 분석하고 검증합니다. 이 예에서는 입력이 다중 조건 검색 쿼리로 SmokeLoader 캠페인과 관련된 도메인 이름을 식별하도록 설계되었습니다 (CERT-UA 참조 표시됨). 왼쪽 패널에는 탐지 로직이 표시됩니다: search (@”dipLombar.by” or @”dubelomber.ru” or @”iloveua.in” … ) 쿼리는 특정 위협 도메인을 감지하기 위해 […]

작동 방식 이 Uncoder AI 기능은 IOC(Indicators of Compromise) 형식과 같은 구조화된 위협 보고서를 처리하여 이를 실행 가능한 탐지 논리로 자동 변환합니다. 스크린샷에서는 다음을 보여줍니다: 왼쪽 패널: “COOKBOX” 캠페인에 대한 고전적인 위협 인텔리전스 보고서로, 악성 PowerShell 활동과 관련된 추출된 해시, 도메인, IP, URL 및 레지스트리 키를 표시합니다. 오른쪽 패널: Google SecOps (UDM) 문법에 맞춤화된 AI […]

작동 방식 이 기능은 Uncoder AI 복잡한 위협 정보를 구조화된 CrowdStrike CSQL (CrowdStrike Search Query Language)로 번역하여, Falcon Endpoint Search 내에서 즉시 사용할 수 있도록 합니다. 이 예에서는, 다음의 지표로부터 CERT-UA#13738 Gamaredon (UAC-0173 / LITENKODER) 캠페인이 ZIP 파일과 클라우드 호스팅 페이로드를 활용하는 방법을 설명합니다. Uncoder AI는 보고서를 처리하여 유효하고 플랫폼에 맞춘 탐지 쿼리를 산출합니다. Uncoder […]

작동 방식 이 Uncoder AI 기능은 그 능력을 보여줍니다 Chronicle UDM 쿼리를 분석하고 검증 여러 도메인 기반 조건을 포함하는. 이 예에서는 Uncoder AI가 관련된 위협 사냥 쿼리를 처리합니다 Sandworm (UAC-0133) 활동을 타겟으로 하는 .sh and .so 도메인 집합. 플랫폼은 자동으로 감지 로직이 필드 수준 비교를 사용한다는 점을 식별합니다 on target.hostname, 이는 Google SecOps (Chronicle) 스키마의 […]

작동 원리 이 Uncoder AI 기능은 즉각적인 탐지 쿼리 생성을 가능하게 합니다 VMware Carbon Black Cloud 구조화된 위협 인텔리전스를 사용하여, 예를 들어 CERT-UA#12463에서 제공된 정보를 활용합니다. 이 경우, Uncoder AI는 UAC-0099 활동과 관련된 지표를 처리하고 이를 문법적으로 올바른 도메인 쿼리로 형식화합니다. 구문 분석된 위협 데이터 출처 위협 보고서에는 악성 네트워크 연결에 사용된 도메인 이름이 포함되어 […]