KQL Migrator com tecnologia Microsoft Security Copilot

As migrações de SIEM são sempre um processo desafiador que requer planejamento meticuloso e uma compreensão completa da configuração existente no SIEM herdado e do que precisa ser migrado para o SIEM moderno. Nosso principal ponto de discussão foi como podemos ajudar as organizações a traduzir com eficiência as regras de detecção de linguagens baseadas em consultas, como AQL (Ariel Query Languages) para KQL (Kusto Query Language) e ajudar as organizações, principalmente as equipes de SOC, a converter suas regras YARA, STIX II e OpenIOC intel para o formato KQL

Foram identificadas duas opções:

• Converter AQL para KQL;
• Converter YARA para KQL;
• Converta STIX II e OpenIOC intel para KQL.

Ambas as opções exigem habilidades especializadas e podem ser complicadas de concluir. Em primeiro lugar, o usuário precisaria entender precisamente como o AQL é mapeado para KQL e, em segundo lugar, exigir o conhecimento da sintaxe usada na geração do YARA. Ambas são habilidades de nicho.

Foi percebido que o AQL é semelhante ao SQL e, consequentemente, ao KQL.

Temos o seguinte código AQL:

Select sourceip, destinationip, “Process Name” FROM events WHERE “Process Name” IMATCHES ‘.*atbroker\.exe.*|.*bash\.exe.*|.*bitsadmin\.exe.*|.*certutil\.exe.*|.*cmdkey\.exe.*|.*cmstp\.exe.*|.*control\.exe.*|.*csc\.exe.*|.*cscript\.exe.*|.*dfsvc\.exe.*|.*diskshadow\.exe.*|.*dnscmd\.exe.*|.*esentutl\.exe.*|.*eventvwr\.exe.*|.*expand\.exe.*|.*extexport\.exe.*|.*extrac32\.exe.*|.*findstr\.exe.*|.*forfiles\.exe.*|.*ftp\.exe.*|.*gpscript\.exe.*|.*hh\.exe.*|.*ie4uinit\.exe.*|.*ieexec\.exe.*|.*infdefaultinstall\.exe.*|.*installutil\.exe.*|.*makecab\.exe.*|.*reg\.exe.*|.*print\.exe.*|.*presentationhost\.exe.*|.*pcwrun\.exe.*|.*pcalua\.exe.*|.*odbcconf\.exe.*|.*msiexec\.exe.*|.*mshta\.exe.*|.*msdt\.exe.*|.*msconfig\.exe.*|.*msbuild\.exe.*|.*mmc\.exe.*|.*microsoft.workflow.compiler\.exe.*|.*mavinject\.exe.*|.*vsjitdebugger\.exe.*|.*tracker\.exe.*|.*te\.exe.*|.*sqltoolsps\.exe.*|.*sqlps\.exe.*|.*sqldumper\.exe.*|.*rcsi\.exe.*|.*msxsl\.exe.*|.*msdeploy\.exe.*|.*mftrace\.exe.*|.*dxcap\.exe.*|.*dnx\.exe.*|.*csi\.exe.*|.*cdb\.exe.*|.*bginfo\.exe.*|.*appvlp\.exe.*|.*xwizard\.exe.*|.*wsreset\.exe.*|.*wscript\.exe.*|.*wmic\.exe.*|.*wab\.exe.*|.*verclsid\.exe.*|.*syncappvpublishingserver\.exe.*|.*scriptrunner\.exe.*|.*schtasks\.exe.*|.*sc\.exe.*|.*runscripthelper\.exe.*|.*runonce\.exe.*|.*rundll32\.exe.*|.*rpcping\.exe.*|.*replace\.exe.*|.*regsvr32\.exe.*|.*regsvcs\.exe.*|.*register-cimprovider\.exe.*|.*regedit\.exe.*|.*regasm\.exe.*|’ GROUP BY “Process Name”,sourceip LAST 3 DAYS

Essa consulta tem como objetivo rastrear o uso de executáveis específicos para atividades administrativas ou potencialmente mal-intencionadas. Ao agrupar os resultados por nome do processo e IP de origem, ele ajuda a detectar padrões ou anomalias que podem indicar incidentes de segurança ou violações de política.

Leia o artigo completo aqui.