Ученые из Сингапура и Китая нашли способ сделать ИИ полезным для специалистов по киберзащите, разработав метод, который преобразует правила из различных систем управления информацией о безопасности и событиями (SIEM) таким образом, чтобы их было легче использовать в нескольких системах.
SIEM-системы собирают файлы журналов из множества источников и позволяют пользователям настраивать правила, которые инициируют оповещения, рассматриваемые центром операций безопасности (SOC) в случае, если они указывают на инциденты безопасности. Проверка сценария «невозможного путешествия» — когда один и тот же пользователь входит в систему из Нью-Йорка и Лондона в течение часа, что может свидетельствовать о краже учетных данных или других махинациях — является распространенным правилом SIEM.
Многие организации в конечном итоге используют несколько SIEM-систем, что усложняет работу SOC.
На помощь приходят исследователи из Национального университета Сингапура и Китайского университета Фудань, которые недавно представили статью [PDF] под названием «ARuleCon: Agentic Security Rule Conversion», в которой они описывают разработанную ими технику перевода правил, чтобы они могли использоваться несколькими SIEM-системами.
Ведущий автор Мин Сюй (Ming Xu) сообщила The Register, что она и ее коллеги разработали ARuleCon, поскольку SIEM-системы используют специфические схемы для правил, поэтому правило, созданное для одной SIEM, не будет работать с другой. Хотя некоторые поставщики предоставляют инструменты для перевода, они не поддерживают множество SIEM-систем: авторы утверждают, что инструмент Microsoft переносит правила Splunk в Sentinel SIEM от Redmond, но не может обрабатывать другие.
«Преобразование правил может выполняться вручную экспертами по безопасности, что медленно и создает большую рабочую нагрузку», — отмечается в статье.
Инструменты, такие как фреймворк Sigma, призваны помочь в управлении правилами и их совместном использовании на разных платформах, но Мин и ее соавторы считают, что он и другие существующие инструменты перевода плохо справляются со сложными или взаимосвязанными правилами.
На дворе 2026 год, поэтому кажется естественным попытаться использовать LLM для преобразования правил SIEM в различные форматы.
Авторы утверждают, что такой подход «обычно дает низкую точность и не обеспечивает корректности, специфичной для поставщика», поскольку обучающие данные, используемые для создания LLM, не содержат достаточного количества информации о схемах правил SIEM.
«Эти недостатки требуют масштабируемой, нейтральной по отношению к поставщикам и надежной структуры для преобразования правил SIEM, которая сохраняет существующую ценность правил и облегчает рабочую нагрузку SOC», — говорится в статье, после чего объясняется, как ARuleCon справляется с этой задачей с помощью «агентского конвейера RAG [генерация с дополненным поиском], который извлекает авторитетную официальную документацию поставщика для устранения несоответствий в соглашениях/схемах, и проверки согласованности на основе Python, которая запускает исходные и целевые правила в контролируемых тестовых средах для смягчения тонких семантических сдвигов».
Короче говоря, исследователи разработали агентную технологию, способную преобразовывать правила SIEM, созданные с использованием Splunk, Microsoft Sentinel, IBM QRadar, Google Chronicle и RSA NetWitness. Не все преобразования идеальны, но ARuleCon может переводить проприетарный формат правил, используемый каждым поставщиком SIEM, на несколько конкурирующих платформ — и делает это точнее, чем универсальная LLM.
Таким образом, ARuleCon позволяет экспортировать правила из одной SIEM-системы и использовать их в другой.
Мин Сюй сообщила The Register, что надеется, что этот инструмент поможет организациям рассмотреть и спланировать консолидацию или миграцию SIEM, и получить SOC, которые смогут легче обнаруживать сигналы угроз безопасности и перестать беспокоиться о шуме от множества оповещений. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Simon Sharwood
