작동 방식 Uncoder AI의 이 기능은 위협 보고서에서 구조화된 IOC를 수집합니다. 이 경우 자격 증명 피싱과 관련된 수십 개의 악성 도메인(예: 가짜 Google, Microsoft 및 Telegram 로그인 포털)을 처리합니다. 이 도구는 데이터를 처리 및 구조화하여 Splunk 호환 탐지 쿼리를 자동으로 출력합니다. 도메인 기반 필터링 dest_host 출력 쿼리는 다음에 대한 OR 조건의 시퀀스를 사용합니다 dest_host 필드: […]
작동 방식 Uncoder AI는 Sigma 규칙을 48개의 다양한 플랫폼에서 사용되는 탐지 형식으로 쉽게 변환할 수 있게 해 줍니다. 사용자는 Splunk, Sentinel, 또는 CrowdStrike Falcon과 같은 원하는 출력 언어를 단순히 선택하면 Uncoder AI가 즉시 선택한 형식으로 구문적으로 유효한 탐지를 생성합니다. 변환은 SOC Prime 인프라 내에서 완전히 이루어져 프라이버시와 보안을 보장합니다. 변환된 탐지 규칙은 사용 준비가 완료되며, […]
작동 원리 위협 보고서는 종종 유용한 침해 지표 (IOCs) — 해시, IP 주소, 도메인 이름 — 보안 팀이 빠르게 운영화해야 하는 요소들을 포함하고 있습니다. 그러나 이를 수동으로 복사하고 Microsoft Sentinel과 같은 플랫폼에 맞게 쿼리로 변환하는 것은 느리고 오류가 발생할 수 있으며 실제 대응에서 주의를 산만하게 만듭니다. Uncoder AI는 이 병목 현상을 제거합니다 비구조화된 텍스트에서 자동으로 […]
작동 방식 탐지 규칙 작성은 종종 질문으로 시작합니다: 무엇을 찾으려 하고 있으며, 어떤 조건 하에서인가? 하지만 최고의 위협 정보 보고서도 플랫폼 지원 문법으로 미리 패키징되지는 않습니다. Uncoder AI의 맞춤 프롬프트 생성 그 간극을 메워줍니다. 이 기능은 사용자가 감지하고자 하는 행동에 대한 자연어 설명을 입력하고 — 자동으로 플랫폼별 쿼리 논리를 받을 수 있게 해줍니다. 제공된 예제에서 […]
Splunk 탐지를 처리하는 현대 SOC 팀은 SPL로 작성된 대량의 탐지 로직을 처리해야 합니다. 문제는? 외부 소스에서 가져온 Splunk 콘텐츠나 Sigma 기반 규칙을 Splunk 형식으로 변환할 때 대부분의 로직이 복잡하고, 장황하며 이해하는 데 시간이 많이 걸린다는 점입니다. Uncoder AI의 전체 AI 생성 요약 는 탐지 규칙이 무엇을 하고 왜 그런지 분석하여 엔지니어가 쿼리를 수동으로 작업하지 않도록 […]
SPL에서 필드를 작업할 때, 필드 내에서 발견된 텍스트의 일부를 검색하고 교체하는 것이 유용할 수 있습니다. 이를 수행하는 몇 가지 이유는 다음과 같습니다:– 필드 크기를 줄이기 위해 공백 제거– 보기 좋게 보이는 문자로 필드 구분자를 교체– 더 적절한 순서로 필드의 값을 재배열하기 (예: 이름을 성, 이름 형태로 표시하거나 반대로) 필드의 텍스트를 교체하려면, 다음 구문을 사용하여 rex […]
이전 기사에서는 Splunk에서 소스 접근성을 모니터링하는 간단한 대시보드를 만드는 방법을 시연했습니다. 오늘은 대시보드의 모든 표를 더욱 명확하고 편리하게 만드는 방법을 시연하고자 합니다. 다음의 내용을 살펴보겠습니다. 제 마지막 기사 그리고 색상 표 행을 사용하여 결과로 얻은 표의 기능을 계속 개선하겠습니다. 셀의 색상 표 행 만들기 더욱 명확하게 하기 위해 ‘Minutes_ago’ 열의 결과에 따라 셀을 꾸미고자 합니다: […]
이전 기사에서는 대시보드에서 편리한 시각화를 만들기 위해 의존 패널을 사용하는 방법을 살펴보았습니다. 놓친 경우, 다음 링크를 따르세요: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunk를 연구하기 시작한 많은 사람들은 수신 데이터의 가용성을 모니터링하는 것에 대해 질문합니다: 특정 소스로부터 마지막으로 데이터를 수신한 시점, 데이터가 더 이상 도착하지 않는 시점이나 현재 사용 불가능한 소스는 무엇인지. 따라서 오늘 우리는 Splunk 내에서 소스의 가용성에 대한 정보를 […]
이전 기사에서는 드릴다운을 사용하여 외부 웹 리소스와의 간단한 통합을 살펴보았습니다. 놓쳤다면 링크를 따라가세요: https://socprime.com/en/blog/simple-virus-total-integration-with-splunk-dashboards/오늘 우리는 Splunk에서 드릴다운의 또 다른 흥미로운 변형인 종속 패널을 알아볼 것입니다. Splunk의 종속 패널: 대시보드에서 드릴다운을 사용하는 흥미로운 방법 대시보드 테이블에서 이벤트에 대한 더 자세한 정보를 얻기 위해 다른 이벤트로 드릴다운해야 할 때가 자주 있습니다. 예를 들어, 우리는 서비스에 대한 잠재적인 […]
단순 통합은 악성 프로세스를 검색하는 데 도움이 됩니다. 안녕하세요 여러분! Splunk를 다목적 도구로 계속 변모시켜 어떤 위협도 신속하게 탐지할 수 있도록 하겠습니다. 제 마지막 기사에서는 경고를 사용하여 상관 이벤트를 생성하는 방법을 설명했습니다. 이제 Virus Total 기반과 간단한 통합을 하는 방법을 알려드리겠습니다. 우리 중 많은 사람들이 네트워크 연결을 모니터링하고, 프로세스를 생성하며, 파일 생성 시간의 변경 사항을 […]