シンガポールの研究者、エージェント型のルール翻訳で多様なSIEMを“調和”させて歌わせる
ベンダーはみな異なる形式を使う。だがこの技術が全部を翻訳してくれるので、SOCをスムーズに運用できる
シンガポールと中国の研究者が、AIをサイバー防御側に役立てる方法を見つけた。多様なセキュリティ情報・イベント管理(SIEM)からルールを翻訳し、複数のシステムでより簡単に利用できるようにする技術を作り出したのだ。
SIEMは多くのソースからログファイルを収集し、アラートを発火させるルールをユーザーが設定できるようにする。セキュリティ運用センター(SOC)は、それがセキュリティインシデントに該当すると見なした場合に備える。例えば、「不可能な移動(impossible travel)」シナリオのテストは、同じユーザーが1時間以内にニューヨークとロンドンからログオンする——これは認証情報の窃取や、その他の不正の可能性を示唆する——というSIEMルールとしてよくある。
多くの組織では複数のSIEMを抱えることになるため、SOCは複雑化してしまう。
その状況に乗り込んできたのが、シンガポール国立大学と中国の復旦大学の研究者たちだ。彼らは最近、論文[PDF]「ARuleCon: Agentic Security Rule Conversion」を発表し、複数のSIEMで利用できるようにルールを翻訳するための技術を説明した。
筆頭著者のMing Xu氏はThe Registerに対し、同氏と共同研究者たちはARuleConを開発した理由として、SIEMがルールに固有のスキーマを使用するため、あるSIEMで作られたルールは別のSIEMでは動かないからだと語った。もちろん、一部のベンダーは翻訳ツールを提供している。しかし多くのSIEMには対応していない、と著者らは指摘する。著者らによれば、MicrosoftのツールはSplunkのルールをレドモンドのSentinel SIEMへ移すことはできるが、それ以外は扱えないという。
「ルール変換はセキュリティの専門家が手作業で行うこともできるが、これは遅く、重い作業負荷を課す」と論文では述べている。
Sigmaのようなツールは、複数のプラットフォーム間でルールを管理し共有することを支援することを目指している。だがMing氏と他の共著者は、それ(および他の既存の翻訳ツール)は、複雑で相互に結びついたルールに対してはうまく機能しないのだと考えている。
2026年なので、SIEMルールを別の形式に変換するためにLLMを使ってみるのは自然な流れに見えます。
著者らは、そのアプローチは「通常、精度が低く、ベンダー固有の正しさに欠ける」ものであると言います。なぜなら、LLMを構築するために使われる学習データには、SIEMルールのスキーマに関する十分なデータが含まれていないからです。
論文は、「これらの欠点は、既存のルールの価値を保持し、SOCの作業負荷を軽減する、スケーラブルでベンダーニュートラルかつ信頼できるSIEMルール変換フレームワークを必要とする」と述べ、その上で、ARuleConがどのように仕事を成し遂げるのかを、
「権威ある公式ベンダーのドキュメントを取得して、慣習/スキーマの不一致に対処する“エージェント的RAG[retrieval augmented generation:検索拡張生成]パイプライン”と、ソースルールとターゲットルールの双方を制御されたテスト環境で実行して、微妙なセマンティックなずれを緩和するPythonベースの一貫性チェック」
を使って説明しています。要するに、研究者たちは、Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle、RSA NetWitnessで作られたSIEMルールを翻訳できるエージェント的技術を開発しました。すべての変換が見事というわけではありませんが、ARuleConは各SIEMベンダーが採用している独自ルール形式を、複数の競合プラットフォームへ変換でき、一般的なLLMよりも高い精度でそれを行えます。
したがってARuleConにより、あるSIEMからルールをエクスポートして別のSIEMで利用することが可能になります。
Ming氏はThe Registerに対し、このツールが組織に対してSIEMの統合や移行を検討・計画する助けとなり、複数のアラートから生じるノイズを気にせずに、セキュリティ脅威のシグナルをより容易に検知できるSOCへとつながってくれることを期待していると語りました。®
