在使用 Sandbox 時，我們會期望可以透過動態執行獲得盡可能多的資訊，包含做了哪些行為、動過哪些檔案、有哪些對外部機器的操作等。但是，這些資訊量是非常多且底層的，在分析時，會希望看到它是屬於哪個家族、用了哪些 ATT&CK 攻擊技術等更高層次的資訊，而這些便是來自於對前述資訊的分析。在現有的 Sandbox 實作中，這些分析大多使用既定的規則，如使用特定 API 的組合或字串等，這些規則來自於分析師進行分析後萃取出來的資訊，它們是有效的，但是產生這些規則本身非常耗費時間及精力，同時這些規則也較為具針對性。

在這場演講中，講師將分享如何使用 Sandbox 產出的 API 以及動態的字串結果，搭配經由既定規則產出的惡意程式家族及 ATT&CK Tag，作為訓練資料，找出在這些被標記為同類的樣本中，是否有不同於既定規則的其他隱藏關係，並將這些結果作為新的規則回饋給 Sandbox，達成自動化產生規則的目的。