Uncoder AI의 결정 트리를 사용하여 Google SecOps에서 민감한 파일 검색 시각화

metadata.event_type = “PROCESS_LAUNCH” and principal.process.file.full_path = /.*\\explorer\.exe$/ nocase and target.process.file.full_path = /.*\\notepad\.exe$/ nocase and (target.process.command_line = /.*password*\.txt$/ nocase or target.process.command_line = /.*password*\.csv$/ nocase or target.process.command_line = /.*password*\.doc$/ nocase or target.process.command_line = /.*password*\.xls$/ nocase)

이 Google SecOps 쿼리의 조건 부분은 다음과 같은 결정 트리 구조로 분해할 수 있습니다:

루트 노드: metadata.event_type = “PROCESS_LAUNCH”

이 필터는 프로세스 실행과 관련된 이벤트만을 대상으로 설정하는 초기 조건입니다.

첫 번째 분기 노드: principal.process.file.full_path = /.*\explorer.exe$/ nocase

실행된 프로세스 중에서, 시작 프로세스(principal)가 explorer.exe인 경우만을 필터링합니다.

nocase 플래그는 대소문자를 구분하지 않도록 설정합니다.

두 번째 분기 노드: target.process.file.full_path = /.*\notepad.exe$/ nocase

이 조건은 대상 프로세스(실제로 실행되는 프로세스)가 notepad.exe인 경우로 이벤트를 좁힙니다.

마찬가지로 nocase를 통해 대소문자 구분 없이 일치 여부를 확인합니다.

세 번째 분기 노드 (복합 조건):

(target.process.command_line = /.*password*.txt$/ nocase or target.process.command_line = /.*password*.csv$/ nocase or target.process.command_line = /.*password*.doc$/ nocase or target.process.command_line = /.*password*.xls$/ nocase)
  – 이 조건은 notepad.exe 프로세스의 커맨드라인에 “password”가 포함된 파일명이 있으며, 해당 파일이 .txt, .csv, .doc, .xls 중 하나의 확장자를 가지는지를 확인합니다 (대소문자 구분 없음).
  – OR 조건 목록:
    – target.process.command_line = /.*password*.txt$/ nocase
    – target.process.command_line = /.*password*.csv$/ nocase
    – target.process.command_line = /.*password*.doc$/ nocase
    – target.process.command_line = /.*password*.xls$/ nocase
  – 이 결정 트리는 논리적 OR 조건에 기반하며, 위 조건 중 하나라도 충족되면 전체 조건이 만족됩니다.

결정 트리 로직 요약
모든 프로세스 실행 이벤트에서 시작

explorer.exe가 시작한 프로세스만 필터링

그중에서 notepad.exe가 실행된 경우만 선별

마지막으로, 해당 notepad.exe 인스턴스가 “password”를 포함하고 .txt, .csv, .doc, .xls 확장자를 가진 파일을 열고 있는지 확인

결과 해석
이 쿼리는 explorer.exe를 통해 실행된 notepad.exe가 패스워드 관련 민감한 파일을 열고 있는 상황을 식별합니다. 이는 무단 접근이나 비인가 정보 취급의 징후일 수 있으며, 보안 위협으로 간주될 수 있습니다.