Como Funciona
Uncoder AI lê uma regra Sigma projetada para detectar Consultas DNS para infraestrutura maliciosa usada pelo malware Katz Stealer, e a traduz instantaneamente para a sintaxe nativa do Palo Alto Cortex XSIAM.
Painel Esquerdo – Detecção Sigma:
- Aponta consultas DNS para domínios específicos do Katz Stealer (por exemplo,
katz-panel.com,katzstealer.com) - Usa o modelo de detecção abstrata do Sigma com:
logsourcedefinido paradnsquery|containspara indicadores de domínio
Marcado com a técnica MITRE ATT&CK T1071.004 (Comando e Controle sobre DNS)
Painel Direito – Tradução XSIAM:
Uncoder AI produz uma regra compatível com Cortex XSIAM:
filter (xdm.network.dns.dns_question.name contains "katz-panel.com" or ...)
It:
- Mapeia
query|containspara oxdm.network.dns.dns_question.name - Preserva a fidelidade e o contexto da detecção
- Adiciona metadados e documentação em linha (nome, autor, licença)
Por Que É Inovador
Escrever lógica de detecção para XSIAM manualmente pode ser:
- Demorado devido ao modelo de dados complexo do Palo Alto
(xdm.*) - Propenso a erros sem documentação completa dos mapeamentos de campo
- Inacessível para analistas não familiarizados com Cortex XQL (Linguagem de Consulta XSIAM)
Uncoder AI elimina esses desafios ao:
- Automatizar a tradução de campos de Sigma para XSIAM
- Manter a intenção da consulta e cobertura de IOC
- Adicionar documentação em linha e metadados de licenciamento automaticamente
Isso transforma a engenharia específica da plataforma em uma tarefa de um clique.
Valor Operacional
Para engenheiros de detecção e equipes SOC:
- Acelera a cobertura multiplataforma usando conteúdo Sigma aberto
- Reduz a dependência do conhecimento específico de consultas de fornecedores
- Melhora a fidelidade das detecções baseadas em DNS no Cortex XSIAM
- Torna operacional a inteligência de ameaças mais rapidamente, por exemplo, para malwares emergentes como Katz Stealer
O Uncoder AI faz a ponte entre o conteúdo de detecção abstrato e a complexa realidade estruturada dos datasets do Cortex XSIAM.
