Womenis.ru Для современной Женщины с большой буквы
Исследователи из Национального университета Сингапура и китайского Университета Фудань представили технологию под названием ARuleCon. Это решение на базе искусственного интеллекта предназначено для перевода правил обнаружения угроз между различными SIEM-системами (инструментами мониторинга событий безопасности), что значительно упрощает работу центров оперативного управления безопасностью (SOC).
Проблема несовместимости защитных платформ
Системы класса SIEM собирают логи из множества источников и позволяют настраивать правила, которые запускают оповещения о возможных инцидентах. Типичным примером является правило «невозможного перемещения», когда один и тот же пользователь авторизуется в системе из разных стран с разницей в один час, что может указывать на кражу учетных данных.
Многие организации используют сразу несколько таких платформ, что создает сложности для специалистов. Как отмечает ведущий автор исследования Мин Сюй, SIEM-системы используют специфические схемы данных, поэтому правило, созданное для одного продукта, не будет работать в другом. Существующие инструменты конвертации, такие как фреймворк Sigma или внутренние конвертеры поставщиков, часто не справляются со сложными или взаимосвязанными алгоритмами.
Технология ARuleCon: агентный подход и проверка точности
В обзоре отмечается, что обычные языковые модели (LLM) показывают низкую точность при попытке конвертации правил, так как в их обучающих выборках недостаточно данных о проприетарных схемах вендоров. Чтобы решить эту проблему, разработчики применили агентный конвейер RAG (генерация с дополнением данных из внешних источников).
Система работает по следующему алгоритму:
- Извлечение информации из официальной документации конкретных вендоров для устранения несоответствий в схемах.
- Автоматическая проверка консистентности на языке Python.
- Запуск исходных и целевых правил в контролируемых тестовых средах для минимизации смысловых искажений.
Поддержка популярных решений
В ходе тестирования исследователям удалось добиться успешной конвертации правил между крупнейшими игроками рынка кибербезопасности. ARuleCon может переводить проприетарные форматы на конкурирующие платформы с высокой точностью. В списке поддерживаемых систем:
- Splunk
- Microsoft Sentinel
- IBM QRadar
- Google Chronicle
- RSA NetWitness
По словам экспертов, этот инструмент поможет организациям более эффективно планировать миграцию между защитными решениями и объединять их ресурсы. Это позволит центрам мониторинга быстрее обнаруживать сигналы реальных угроз, не отвлекаясь на ручную адаптацию правил под разные интерфейсы.