新加坡學(xué)者開發(fā)智能體規(guī)則轉(zhuǎn)換工具，讓多平臺(tái)SIEM協(xié)同工作

來(lái)自新加坡和中國(guó)的學(xué)者找到了一種讓AI服務(wù)于網(wǎng)絡(luò)安全防御的新方法——他們開發(fā)出一種技術(shù)，能夠?qū)⒉煌踩畔⑴c事件管理系統(tǒng)（SIEM）的規(guī)則相互轉(zhuǎn)換，從而讓這些規(guī)則可以在多個(gè)系統(tǒng)中通用。

SIEM系統(tǒng)從多種來(lái)源收集日志文件，并允許用戶設(shè)置規(guī)則以觸發(fā)警報(bào)，供安全運(yùn)營(yíng)中心（SOC）判斷是否存在安全事件。"不可能行程"檢測(cè)是一種常見的SIEM規(guī)則場(chǎng)景——即同一用戶在一小時(shí)內(nèi)分別從紐約和倫敦登錄，這往往意味著賬號(hào)憑證被盜或存在其他異常行為。

許多企業(yè)最終會(huì)同時(shí)使用多套SIEM系統(tǒng)，這給安全運(yùn)營(yíng)中心帶來(lái)了極大的復(fù)雜性。

為此，新加坡國(guó)立大學(xué)與中國(guó)復(fù)旦大學(xué)的研究人員聯(lián)合發(fā)表了一篇題為《ARuleCon：智能體安全規(guī)則轉(zhuǎn)換》的論文，詳細(xì)介紹了他們開發(fā)的一種規(guī)則轉(zhuǎn)換技術(shù)，使規(guī)則能夠在多個(gè)SIEM系統(tǒng)之間通用。

論文第一作者徐明告訴《The Register》，她和同事開發(fā)ARuleCon的原因在于：各家SIEM系統(tǒng)使用各自特定的規(guī)則Schema，導(dǎo)致在一個(gè)SIEM中創(chuàng)建的規(guī)則無(wú)法在另一個(gè)系統(tǒng)中使用。雖然部分廠商提供了轉(zhuǎn)換工具，但支持的范圍十分有限——例如微軟的工具只能將Splunk規(guī)則轉(zhuǎn)換為旗下Sentinel SIEM的格式，無(wú)法處理其他系統(tǒng)。

論文指出："由安全專家手動(dòng)完成規(guī)則轉(zhuǎn)換不僅效率低下，還會(huì)帶來(lái)繁重的工作負(fù)擔(dān)。"

Sigma框架等工具旨在幫助跨平臺(tái)管理和共享規(guī)則，但徐明及其合著者認(rèn)為，這些現(xiàn)有工具在處理復(fù)雜或相互關(guān)聯(lián)的規(guī)則時(shí)表現(xiàn)不佳。

既然是2026年，嘗試用大語(yǔ)言模型來(lái)轉(zhuǎn)換SIEM規(guī)則似乎是順理成章的想法。然而，研究人員指出，這種方法"通常準(zhǔn)確率較低，且缺乏對(duì)特定廠商規(guī)范的正確支持"，原因在于訓(xùn)練大語(yǔ)言模型所用的數(shù)據(jù)中，涉及SIEM規(guī)則Schema的內(nèi)容嚴(yán)重不足。

論文進(jìn)一步指出："這些不足之處呼喚一個(gè)可擴(kuò)展、廠商中立、可靠的SIEM規(guī)則轉(zhuǎn)換框架，既能保留現(xiàn)有規(guī)則的價(jià)值，又能減輕SOC的工作負(fù)擔(dān)。"隨后，論文詳細(xì)說(shuō)明了ARuleCon的實(shí)現(xiàn)方式：通過(guò)"智能體RAG（檢索增強(qiáng)生成）流水線檢索權(quán)威的官方廠商文檔，以解決轉(zhuǎn)換過(guò)程中的規(guī)范與Schema不匹配問(wèn)題，并借助基于Python的一致性檢查機(jī)制，在受控測(cè)試環(huán)境中同時(shí)運(yùn)行源規(guī)則與目標(biāo)規(guī)則，從而規(guī)避細(xì)微的語(yǔ)義偏移。"

簡(jiǎn)而言之，研究團(tuán)隊(duì)開發(fā)出一套智能體技術(shù)，能夠?qū)plunk、Microsoft Sentinel、IBM QRadar、Google Chronicle和RSA NetWitness所創(chuàng)建的SIEM規(guī)則進(jìn)行相互轉(zhuǎn)換。盡管并非所有轉(zhuǎn)換結(jié)果都盡善盡美，但ARuleCon能夠?qū)⒏鱏IEM廠商的專有規(guī)則格式轉(zhuǎn)換至多個(gè)競(jìng)爭(zhēng)平臺(tái)，且準(zhǔn)確率高于通用大語(yǔ)言模型。

ARuleCon因此使得從一個(gè)SIEM導(dǎo)出規(guī)則并在另一個(gè)系統(tǒng)中使用成為可能。

徐明表示，她希望這一工具能夠幫助企業(yè)評(píng)估和規(guī)劃SIEM整合或遷移方案，讓安全運(yùn)營(yíng)中心更專注于識(shí)別真正的安全威脅信號(hào)，而不再為多套系統(tǒng)產(chǎn)生的重復(fù)警報(bào)所困擾。

Q&A

Q1：ARuleCon是什么？它能解決什么問(wèn)題？

A：ARuleCon是由新加坡國(guó)立大學(xué)與復(fù)旦大學(xué)研究人員共同開發(fā)的智能體安全規(guī)則轉(zhuǎn)換工具。它能夠?qū)⒉煌琒IEM系統(tǒng)（如Splunk、Microsoft Sentinel、IBM QRadar等）之間的規(guī)則進(jìn)行自動(dòng)轉(zhuǎn)換，解決了因各廠商規(guī)則Schema不兼容而導(dǎo)致規(guī)則無(wú)法跨系統(tǒng)使用的難題，從而降低安全運(yùn)營(yíng)中心的工作負(fù)擔(dān)。

Q2：ARuleCon和直接用大語(yǔ)言模型轉(zhuǎn)換SIEM規(guī)則有什么區(qū)別？

A：直接使用大語(yǔ)言模型轉(zhuǎn)換SIEM規(guī)則準(zhǔn)確率較低，原因是訓(xùn)練數(shù)據(jù)中缺乏足夠的SIEM規(guī)則Schema相關(guān)內(nèi)容。ARuleCon則通過(guò)智能體RAG流水線檢索官方廠商文檔，并結(jié)合基于Python的一致性檢查機(jī)制，在受控環(huán)境中驗(yàn)證轉(zhuǎn)換結(jié)果，有效提升了轉(zhuǎn)換準(zhǔn)確率，并減少了語(yǔ)義偏移問(wèn)題。

Q3：ARuleCon目前支持哪些SIEM平臺(tái)的規(guī)則轉(zhuǎn)換？

A：ARuleCon目前支持Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle和RSA NetWitness五大主流SIEM平臺(tái)之間的規(guī)則轉(zhuǎn)換，能夠?qū)⒏鲝S商專有格式的規(guī)則轉(zhuǎn)換至多個(gè)競(jìng)爭(zhēng)平臺(tái)，但研究人員也指出并非所有轉(zhuǎn)換結(jié)果都完全準(zhǔn)確。