Các nhà nghiên cứu Singapore phát triển công nghệ chuyển đổi quy tắc SIEM đa nền tảng nhờ AI

Các nhà nghiên cứu Singapore phát triển công nghệ chuyển đổi quy tắc SIEM đa nền tảng nhờ AI

Các nhà khoa học từ Singapore và Trung Quốc đã tìm ra cách ứng dụng AI hữu ích cho các chuyên gia phòng thủ mạng bằng cách tạo ra một kỹ thuật dịch chuyển các quy tắc giữa nhiều hệ thống Quản lý Thông tin và Sự kiện Bảo mật (SIEM) khác nhau. Điều này giúp việc tiêu thụ và xử lý dữ liệu trên nhiều hệ thống trở nên dễ dàng hơn rất nhiều.

Thách thức từ sự phân mảnh của hệ thống SIEM

Các hệ thống SIEM có nhiệm vụ thu thập tệp nhật ký từ nhiều nguồn và cho phép người dùng thiết lập các quy tắc để kích hoạt cảnh báo. Các Trung tâm Vận hành Bảo mật (SOC) sẽ xem xét các cảnh báo này để xác định xem chúng có đại diện cho các sự cố bảo mật hay không. Một ví dụ điển hình về quy tắc SIEM phổ biến là kiểm tra kịch bản "di chuyển không thể" (impossible travel) — khi cùng một người dùng đăng nhập từ New York và London trong vòng một giờ, dấu hiệu cho thấy thông tin đăng nhập có thể đã bị đánh cắp.

Tuy nhiên, nhiều tổ chức thường xuyên kết thúc với việc sở hữu nhiều hệ thống SIEM khác nhau, dẫn đến sự phức tạp lớn cho các SOC.

Giải pháp ARuleCon: Sự trợ giúp của AI tác nhân

Các nhà nghiên cứu từ Đại học Quốc gia Singapore và Đại học Phúc Đán (Trung Quốc) đã trình bày một bài báo khoa học mang tên "ARuleCon: Agentic Security Rule Conversion". Trong đó, họ giải thích về một kỹ thuật được phát triển để dịch chuyển các quy tắc sao cho chúng có thể được sử dụng bởi nhiều hệ thống SIEM khác nhau.

Tác giả chính Ming Xu chia sẻ rằng bà và các đồng nghiệp phát triển ARuleCon vì các hệ thống SIEM sử dụng các lược đồ (schema) quy tắc riêng biệt. Do đó, một quy tắc được tạo ra cho hệ thống này sẽ không hoạt động trên hệ thống khác. Mặc dù một số nhà cung cấp có công cụ chuyển đổi, nhưng họ không hỗ trợ nhiều loại SIEM. Các tác giả chỉ ra rằng công cụ của Microsoft chỉ có thể chuyển đổi quy tắc từ Splunk sang hệ thống Sentinel của Redmond, nhưng không thể xử lý các hệ thống khác.

"Việc chuyển đổi quy tắc có thể được thực hiện thủ công bởi các chuyên gia bảo mật, nhưng cách này rất chậm và gây ra khối lượng công việc lớn," bài báo nhận định.

Các công cụ như khung Sigma nhằm mục đích giúp quản lý và chia sẻ quy tắc trên nhiều nền tảng, nhưng Ming và các đồng tác giả cho rằng nó cũng như các công cụ dịch chuyển hiện tại khác, không hoạt động tốt với các quy tắc phức tạp hoặc có sự liên kết với nhau.

Cơ chế hoạt động: Tại sao LLM thông thường không đủ?

Vào năm 2026, việc cố gắng sử dụng Mô hình Ngôn ngữ Lớn (LLM) để chuyển đổi quy tắc SIEM sang các định dạng khác là điều tự nhiên. Tuy nhiên, các tác giả cho biết cách tiếp cận này "thường mang lại độ chính xác thấp và thiếu tính chính xác theo nhà cung cấp" vì dữ liệu huấn luyện được sử dụng để xây dựng các LLM không bao gồm đủ dữ liệu về các lược đồ quy tắc SIEM.

"Những thiếu sót này đòi hỏi một khung chuyển đổi quy tắc SIEM có khả năng mở rộng, trung lập với nhà cung cấp và đáng tin cậy, giúp giữ lại giá trị quy tắc hiện có và giảm bớt khối lượng công việc của SOC," bài báo khẳng định.

Sau đó, bài báo giải thích cách ARuleCon hoàn thành nhiệm vụ bằng cách sử dụng "quy trình RAG (Retrieval Augmented Generation) dựa trên tác nhân để truy xuất tài liệu chính thức từ nhà cung cấp nhằm giải quyết các sự không khớp về quy ước/lược đồ, và kiểm tra tính nhất quán dựa trên Python chạy cả quy tắc nguồn và quy tắc đích trong môi trường kiểm thử được kiểm soát để giảm thiểu các sự trôi dạt ngữ nghĩa tinh vi."

Nói tóm lại, các nhà nghiên cứu đã phát triển công nghệ tác nhân có khả năng dịch các quy tắc SIEM được tạo bằng Splunk, Microsoft Sentinel, IBM QRadar, Google Chronicle và RSA NetWitness. Không phải tất cả các lần chuyển đổi đều xuất sắc, nhưng ARuleCon có thể dịch định dạng quy tắc độc quyền của từng nhà cung cấp SIEM sang nhiều nền tảng đối thủ — và làm việc đó chính xác hơn một LLM thông thường.

Ứng dụng thực tế

Nhờ đó, ARuleCon giúp việc xuất các quy tắc từ một hệ thống SIEM và sử dụng chúng trong một hệ thống khác trở nên khả thi.

Ming Xu bày tỏ hy vọng rằng công cụ này sẽ giúp các tổ chức cân nhắc và lên kế hoạch hợp nhất hoặc di chuyển SIEM, từ đó xây dựng các SOC có khả năng dễ dàng phát hiện các tín hiệu của mối đe dọa bảo mật hơn và không phải lo lắng về sự nhiễu loạn từ nhiều cảnh báo khác nhau.