Предприятия, мигрирующие между платформами SIEM, часто вынуждены вручную переписывать правила обнаружения, поскольку поставщики, такие как Splunk, Microsoft Sentinel, IBM QRadar и Google Chronicle, используют разные языки запросов и модели данных.
Исследователи заявляют, что теперь ИИ может автоматизировать значительную часть этой работы, хотя эксперты по безопасности расходятся во мнениях относительно того, действительно ли эта проблема требует применения ИИ.
Исследователи из Национального университета Сингапура и их коллеги заявляют, что их система под названием ARuleCon способна переводить правила SIEM между платформами с сохранением логики обнаружения. В ходе тестов, включавших почти 1500 преобразований правил, фреймворк повысил точность перевода примерно на 10–15% по сравнению с базовыми подходами на основе больших языковых моделей, согласно научной статье.
«Правила SIEM кодируют не только синтаксис, но и намерение обнаружения», — сообщил CSO Мин Сюй, ведущий автор статьи. Он отметил, что разные платформы SIEM реализуют различные схемы полей, операторы запросов, поведение агрегации и логику корреляции, а это означает, что правила редко переводятся чисто между поставщиками.
Практики утверждают, что эта проблема становится все более распространенной по мере того, как предприятия внедряют гибридные облачные среды и многовендорные стеки безопасности.
Почему перевод правил SIEM сложен
«В крупных предприятиях потребность в переносе или повторном использовании правил обнаружения между платформами становится все более распространенной», — сказал Прашант Чаудхари, вице-президент по региону в Splunk India. Он отметил, что внедрение гибридного облака, слияния, требования соответствия и многовендорные среды вынуждают команды SOC работать с разрозненными форматами телеметрии и фреймворками обнаружения.
Исследователи охарактеризовали ручное преобразование правил как «медленное и требующее большой рабочей нагрузки».
«В большинстве корпоративных SOC переносимость правил не является ежедневной необходимостью. Но для MSSP и поставщиков услуг, управляющих средами нескольких клиентов, перевод и адаптация правил SIEM между платформами — это рутинная задача», — сказал Гаурав Бишт, специалист по SIEM и главный консультант по решениям в дистрибьюторе кибербезопасности RAH Infotech.
По словам Чаудхари, более серьезная проблема заключается в сохранении точности обнаружения и операционного контекста при перемещении правил между системами. «Организации рискуют нарушить логику обнаружения, некорректно сопоставить поля и ослабить поведенческие корреляции», — сказал он, добавив, что такие сбои могут увеличить количество ложных срабатываний и создать слепые зоны.
Не все согласны с тем, что проблема требует ИИ
Некоторые практики утверждают, что большая часть проблемы все еще может быть решена с помощью детерминированных инженерных подходов, а не ИИ.
«При хорошем понимании обеих схем это просто объем работы», — сказал Рахул Ядав, основатель фирмы по кибербезопасности CyberEvolve.
Сюй не согласился с тем, что перевод правил можно свести к простым сопоставлениям в стиле компилятора. «Система в стиле компилятора может обрабатывать предопределенные сопоставления, но она испытывает трудности, когда преобразование требует семантической интерпретации, реструктуризации или адаптации под конкретную платформу», — сказал он.
В статье также отмечается, что «преобразование правил SIEM значительно сложнее», чем перевод SQL, поскольку поставщики SIEM «не имеют единой спецификации».
Исследователи предупредили, что кажущиеся правильными переводы могут внести «тонкий семантический дрейф», который изменит то, как обнаружения работают на практике.
«Проблема не только в синтаксисе — это различия в сопоставлении полей, моделях данных и логике обнаружения между платформами», — сказал Бишт. «Эти вариации делают простой перевод правил один к одному ненадежным на практике».
Исследователи заявили, что ARuleCon не предназначен для полной замены детерминированных подходов, а для сочетания «их надежности с гибкостью рассуждений на основе ИИ». Сюй сказал, что система использует ИИ для вывода намерения обнаружения и итеративного уточнения переведенных правил, ограничивая результаты проверками синтаксиса и семантическими проверками.
Человеческий надзор остается критически важным
Эксперты по безопасности, опрошенные CSO, заявили, что предприятия вряд ли будут доверять полностью автономным системам перевода правил без обширной проверки и надзора со стороны аналитиков.
«Клиенты вряд ли примут полностью автономный перевод правил в производственных средах SOC без наличия надежных механизмов проверки, объяснимости и человеческого надзора», — сказал Чаудхари. Он добавил, что организации будут ожидать тестирования на исторических данных телеметрии и реальных сценариях атак перед масштабированием ИИ-помощника для перевода правил.
В самой статье признается, что большие языковые модели могут давать неполные или некорректные переводы при работе с нюансами, специфичными для поставщика. Сюй сказал, что ARuleCon предназначен как система помощи аналитику, а не как полностью автономный движок преобразования. «Пользователь-человек должен вручную проверять» правила перед развертыванием в производственных средах, сказал он.
«ИИ по определению недетерминирован, поэтому тестирование после миграции имеет решающее значение», — сказал Ядав.
Бишт отметил, что риски возрастают по мере того, как обнаружения SIEM все чаще используются в автоматизированных системах реагирования. «Плохой перевод не просто создает шум; он может запустить неверное действие», — сказал он.
Ядав предупредил, что большая опасность может заключаться в скрытых сбоях.
«Либо вы упускаете реальную угрозу, либо получаете всплеск ложных срабатываний и много шума», — сказал он. «Первое опасно, потому что оно скрыто».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
