藍隊人員手中常會握有大量的惡意樣本，卻沒有時間能一一仔細分析；或者有感興趣的樣本族群，但手邊的樣本數量卻不夠充足。為了解決這些困擾，此次演講將會介紹一套完整的自動化流程，來協助藍隊人員能更有效率地將這些原始數據轉換成可利用的偵測規則，並進一步應用在實際場域中。

透過將從 VirusTotal 中獲得的樣本串接到沙箱，並對過程中無法順利執行的惡意樣本進行分析，可統整出常見的原因並改善沙箱效率。而獲得大量的樣本資料之後，我們將講解如何使用這些沙箱分析惡意程式行為，並將這些分析結果進行更進一步的分析和研究，產生可應用於實際偵測的情資，包含 API、Strings、IoC 等。最後，我們也會探討產生的情資如何轉換成 Yara、Sigma 等偵測規則，實際應用並提升資安韌性。