Detectar Ameaças DNS no Google SecOps: Conversão da Regra Katz Stealer com Uncoder AI

Como Funciona

Este recurso permite que os engenheiros de detecção convertam perfeitamente regras Sigma em Google SecOps Query Language (UDM). Na captura de tela, a regra Sigma original é projetada para detectar consultas DNS a Katz Stealer — uma família de malware associada à exfiltração de dados e atividade de comando e controle.

Painel Esquerdo – Regra Sigma:

A lógica Sigma inclui:

• Logsource categoria DNS
  
• Condições de detecção correspondendo a quatro domínios conhecidos associados ao Katz Stealer (katz-panel.com , katzstealer.com, etc.)
  
• A nível de severidade alto, indicando comportamento possivelmente malicioso

Explore Uncoder AI

Painel Direito – Saída Google SecOps:

O Uncoder AI gera automaticamente um UDM query, traduzindo a lógica de detecção Sigma para a sintaxe específica da plataforma:

{target.url=/.*katz-panel\.com.*/ nocase or ...}

Esse padrão usa regex matching com modificadores nocase nos domínios identificados, adaptado para o esquema UDM da Google. A transformação assegura que a intenção original de detecção seja preservada com uma sintaxe que é imediatamente utilizável no Google SecOps.

Por que é Inovador

Tradicionalmente, o conteúdo de detecção precisa ser reescrito manualmente para cada plataforma SIEM/XDR — um processo tedioso e propenso a erros, especialmente ao lidar com observáveis DNS e expressões regulares.

O Uncoder AI resolve isso ao:

• Mapear automaticamente os campos Sigma para nomes de campos UDM (ex. query|contains → target.url)
  
• Adaptação da lógica de correspondência com estruturas regex corretas e regras de casing
  
• Garantindo fidelidade de cobertura de detecção entre plataformas
  

Isso permite que a detecção de ameaças escale rapidamente sem esforço de codificação específico de fornecedor.

Valor Operacional

Para equipes SOC e engenheiros de detecção:

• Economia de tempo: Converta detecções Sigma reutilizáveis para a sintaxe UDM instantaneamente.
  
• Cobertura de ameaças: Implante detecções baseadas em DNS para o Katz Stealer em ambientes nativos da nuvem Google.
  
• Precisão e consistência: Garanta a precisão da tradução enquanto mantém a integridade da lógica de detecção.
  
• Extensibilidade da plataforma: Construa detecções uma vez, operacionalize em qualquer lugar.
  

Este recurso permite que as equipes de segurança transformem conteúdo de detecção de código aberto em consultas UDM acionáveis — reduzindo o tempo de resposta e melhorando a visibilidade em implantações do Google SecOps.

Explore Uncoder AI