Các nhà khoa học Singapore tạo ra công cụ AI giúp đồng bộ hóa quy tắc giữa các hệ thống SIEM khác nhau

Các nhà học thuật từ Singapore và Trung Quốc đã tìm ra cách tận dụng trí tuệ nhân tạo (AI) để hỗ trợ các chuyên gia phòng thủ mạng, thông qua việc tạo ra một kỹ thuật có khả năng chuyển đổi các quy tắc từ nhiều hệ thống Quản lý Thông tin và Sự kiện An ninh (SIEM) khác nhau. Đổi mới này giúp việc tiêu thụ và sử dụng dữ liệu trên nhiều hệ thống trở nên dễ dàng hơn đáng kể.

Các hệ thống SIEM có nhiệm vụ thu thập tệp nhật ký từ nhiều nguồn và cho phép người dùng thiết lập các quy tắc kích hoạt cảnh báo. Những cảnh báo này sẽ được Trung tâm Vận hành An ninh (SOC) xem xét để xác định xem chúng có đại diện cho các sự cố an ninh hay không. Một ví dụ điển hình về quy tắc SIEM phổ biến là kiểm tra kịch bản "du lịch bất khả thi" – trong đó cùng một người dùng đăng nhập từ New York và London trong vòng một giờ, gợi ý việc thông tin xác thực có thể đã bị đánh cắp hoặc có hành vi gian lận.

Tuy nhiên, thực tế cho thấy nhiều tổ chức thường kết thúc với việc sở hữu nhiều hệ thống SIEM khác nhau, dẫn đến sự phức tạp lớn cho các SOC.

Giải pháp ARuleCon

Các nhà nghiên cứu từ Đại học Quốc gia Singapore và Đại học Phúc Đán (Trung Quốc) đã trình bày một bài báo khoa học có tên "ARuleCon: Agentic Security Rule Conversion" (Chuyển đổi Quy tắc Bảo mật Tác nhân). Trong đó, họ giải thích về một kỹ thuật được phát triển để chuyển đổi các quy tắc sao cho chúng có thể được sử dụng bởi nhiều hệ thống SIEM.

Tác giả chính Ming Xu chia sẻ rằng bà và các đồng nghiệp phát triển ARuleCon vì các hệ thống SIEM sử dụng các lược đồ (schema) riêng biệt cho quy tắc, do đó một quy tắc được tạo ra trên một SIEM sẽ không hoạt động trên hệ thống khác. Mặc dù một số nhà cung cấp có các công cụ chuyển đổi, nhưng chúng không hỗ trợ nhiều SIEM: các tác giả chỉ ra rằng công cụ của Microsoft chỉ chuyển đổi quy tắc từ Splunk sang SIEM Sentinel của Redmond nhưng không thể xử lý các hệ thống khác.

"Việc chuyển đổi quy tắc có thể được thực hiện thủ công bởi các chuyên gia bảo mật, nhưng cách này chậm chạp và gây ra khối lượng công việc lớn," bài báo quan sát thấy.

Các công cụ như khung Sigma nhằm giúp quản lý và chia sẻ quy tắc trên nhiều nền tảng, nhưng Ming và các đồng tác giả cho rằng nó, cũng như các công cụ chuyển đổi hiện có khác, không hoạt động tốt với các quy tắc phức tạp hoặc liên kết với nhau.

Tại sao các LLM thông thường không hiệu quả?

Vào năm 2026, việc cố gắng sử dụng Mô hình Ngôn ngữ Lớn (LLM) để chuyển đổi quy tắc SIEM sang các định dạng khác dường như là một hướng đi tự nhiên.

Tuy nhiên, các tác giả cho biết cách tiếp cận này "thường mang lại độ chính xác thấp và thiếu tính chính xác theo nhà cung cấp" vì dữ liệu huấn luyện được sử dụng để xây dựng các LLM không bao gồm đủ dữ liệu về các lược đồ quy tắc SIEM.

"Những thiếu sót này đòi hỏi một khung chuyển đổi quy tắc SIEM có khả năng mở rộng, trung lập với nhà cung cấp và đáng tin cậy, giúp giữ lại giá trị quy tắc hiện có và giảm bớt khối lượng công việc của SOC," bài báo khẳng định.

Sau đó, bài báo giải thích cách ARuleCon hoàn thành nhiệm vụ thông qua một "quy trình RAG tác nhân (agentic RAG pipeline) truy xuất tài liệu chính thức của nhà cung cấp để giải quyết sự không khớp về quy ước/lược đồ, và kiểm tra tính nhất quán dựa trên Python chạy cả quy tắc nguồn và quy tắc đích trong môi trường kiểm thử được kiểm soát để giảm thiểu các sự trôi dịch ngữ nghĩa tinh vi."

Tóm lại, các nhà nghiên cứu đã phát triển công nghệ tác nhân có khả năng chuyển đổi các quy tắc SIEM được tạo bằng Splunk, Microsoft Sentinel, IBM QRadar, Google Chronicle và RSA NetWitness. Không phải mọi lần chuyển đổi đều xuất sắc, nhưng ARuleCon có thể chuyển đổi định dạng quy tắc độc quyền mà mỗi nhà cung cấp SIEM sử dụng sang nhiều nền tảng đối thủ – và làm điều đó chính xác hơn một LLM chung chung.

Do đó, ARuleCon giúp có thể xuất các quy tắc từ một SIEM và sử dụng chúng trong một hệ thống khác.

Ming cho biết bà hy vọng công cụ này sẽ giúp các tổ chức cân nhắc và lên kế hoạch hợp nhất hoặc di chuyển SIEM, từ đó xây dựng các SOC có thể dễ dàng phát hiện hơn các tín hiệu của mối đe dọa bảo mật mà không phải lo lắng về sự nhiễu loạn từ quá nhiều cảnh báo.