급속한 발전과 광범위한 채택이 이루어지고 있는 생성 AI (GenAI)이 위협 인텔리전스 분야를 재구성하며 실시간 분석, 예측 모델링, 자동화된 위협 대응이 사이버 방어 전략에 필수가 되는 미래를 열어나가고 있습니다. Gartner의 2025년 핵심 사이버 보안 트렌드에서 강조한 바와 같이, GenAI는 조직이 더 확장 가능하고 적응력 있는 방어를 통해 사이버 보안 태세를 강화하는 새로운 가능성을 열고 있습니다. 방대한 […]
작동 방식 여기서 탐지 논리는 모니터링을 중심으로 구축됩니다 사용 mknod 시스템 콜, 이는 정당한 워크플로에서는 드물게 사용되지만 공격자에 의해 악용될 수 있습니다: 가짜 블록 또는 문자 장치 생성 커널 인터페이스와 상호 작용 파일 시스템 제어나 백도어 설치를 우회 왼쪽 패널 – Sigma 규칙: 로그 소스: auditd on Linux 초점: syscall: mknod MITRE 기술로 태그됨 T1543.003 […]
작동 원리 보여지는 Sigma 규칙은 탐지하도록 설계되었습니다 암호 저장을 시사하는 이름의 파일을 여는 메모장, 이는 Windows 시스템에서 무단 자격 증명 액세스 또는 의심스러운 동작을 나타낼 수 있습니다. 왼쪽 패널 – Sigma 규칙: 다음 경우의 프로세스 생성 이벤트를 찾습니다: 상위 프로세스가 explorer.exe 하위 프로세스가 notepad.exe 명령줄에 다음과 같은 문자열이 포함되어 있습니다 password*.txt, password*.csv, 등. MITRE 기법 […]
작동 원리 Uncoder AI는 탐지를 위해 설계된 Sigma 규칙을 읽습니다 Katz Stealer 악성코드가 사용하는 악의적인 인프라에 대한 DNS 쿼리, 그리고 이를 즉시 Palo Alto Cortex XSIAM의 고유 문법으로 번역합니다. 좌측 패널 – Sigma 탐지: 특정 Katz Stealer 도메인(e.g., katz-panel.com , katzstealer.com) Sigma의 추상 탐지 모델 사용: logsource 로 설정 dns query|contains 도메인 지표 검색 MITRE […]
작동 방식 이 기능은 탐지 엔지니어가 Sigma 규칙을 원활하게 변환할 수 있도록 합니다 Google SecOps 쿼리 언어 (UDM)로, 스크린샷에서 원래 Sigma 규칙은 알려진 DNS 쿼리를 탐지하도록 설계되었습니다 Katz Stealer 도메인 — 데이터 유출 및 명령-제어 활동과 관련된 멀웨어 가족입니다. 왼쪽 패널 – Sigma 규칙: Sigma 논리 포함: DNS 카테고리 로그소스 탐지 조건 Katz Stealer와 연관된 […]
작동 방식 Uncoder AI는 구조화된 탐지 콘텐츠를 Sigma라는 인기 있는 개방형 탐지 규칙 형식으로 작성 및 자동으로 플랫폼별 논리로 변환합니다 — 이 경우, CrowdStrike 엔드포인트 검색 문법. Sigma 규칙은 Deno (보안 JavaScript 런타임)이 잠재적으로 악성인 DLL 파일을 HTTP(S)를 통해 다운로드 및 디렉토리, 예를 들어 AppData or Users. 왼쪽 패널 – Sigma 탐지 규칙: 규칙은 다음을 […]
작동 원리 이 Uncoder AI 기능은 Microsoft Sentinel을 위한 Kusto Query Language (KQL)로 작성된 탐지 쿼리를 자동으로 분석하고 검증합니다. 이 예에서는 입력이 다중 조건 검색 쿼리로 SmokeLoader 캠페인과 관련된 도메인 이름을 식별하도록 설계되었습니다 (CERT-UA 참조 표시됨). 왼쪽 패널에는 탐지 로직이 표시됩니다: search (@”dipLombar.by” or @”dubelomber.ru” or @”iloveua.in” … ) 쿼리는 특정 위협 도메인을 감지하기 위해 […]
작동 방식 이 Uncoder AI 기능은 IOC(Indicators of Compromise) 형식과 같은 구조화된 위협 보고서를 처리하여 이를 실행 가능한 탐지 논리로 자동 변환합니다. 스크린샷에서는 다음을 보여줍니다: 왼쪽 패널: “COOKBOX” 캠페인에 대한 고전적인 위협 인텔리전스 보고서로, 악성 PowerShell 활동과 관련된 추출된 해시, 도메인, IP, URL 및 레지스트리 키를 표시합니다. 오른쪽 패널: Google SecOps (UDM) 문법에 맞춤화된 AI […]
작동 방식 이 기능은 Uncoder AI 복잡한 위협 정보를 구조화된 CrowdStrike CSQL (CrowdStrike Search Query Language)로 번역하여, Falcon Endpoint Search 내에서 즉시 사용할 수 있도록 합니다. 이 예에서는, 다음의 지표로부터 CERT-UA#13738 Gamaredon (UAC-0173 / LITENKODER) 캠페인이 ZIP 파일과 클라우드 호스팅 페이로드를 활용하는 방법을 설명합니다. Uncoder AI는 보고서를 처리하여 유효하고 플랫폼에 맞춘 탐지 쿼리를 산출합니다. Uncoder […]
작동 방식 이 Uncoder AI 기능은 그 능력을 보여줍니다 Chronicle UDM 쿼리를 분석하고 검증 여러 도메인 기반 조건을 포함하는. 이 예에서는 Uncoder AI가 관련된 위협 사냥 쿼리를 처리합니다 Sandworm (UAC-0133) 활동을 타겟으로 하는 .sh and .so 도메인 집합. 플랫폼은 자동으로 감지 로직이 필드 수준 비교를 사용한다는 점을 식별합니다 on target.hostname, 이는 Google SecOps (Chronicle) 스키마의 […]