Peneliti Singapura dan Tiongkok Kembangkan ARuleCon: Solusi AI untuk Sinkronisasi Aturan Keamanan Antar SIEM yang Berbeda
Baca dalam 60 detik
- Peneliti mengembangkan ARuleCon untuk menerjemahkan aturan keamanan antar berbagai platform SIEM secara otomatis.
- Teknologi ini lebih akurat daripada LLM standar karena menggunakan pipeline RAG yang merujuk pada dokumentasi resmi vendor.
- Alat ini mendukung platform besar seperti Splunk, Sentinel, QRadar, dan Google Chronicle.
Akademisi dari National University of Singapore dan Fudan University Tiongkok telah menciptakan teknik baru bernama ARuleCon. Teknologi ini menggunakan AI untuk menerjemahkan aturan deteksi antar sistem Security Information and Event Management (SIEM) yang berbeda agar dapat bekerja secara harmonis dalam satu operasi keamanan.
Masalah Utama dalam Pengelolaan SIEM:
- Kompleksitas Schema: Setiap vendor SIEM memiliki format aturan spesifik, sehingga aturan di satu sistem tidak bisa langsung digunakan di sistem lain.
- Keterbatasan Alat Konversi: Alat konversi yang ada saat ini seringkali hanya mendukung vendor tertentu (seperti Splunk ke Sentinel) dan kesulitan menangani aturan yang kompleks.
- Beban Kerja Manual: Konversi manual oleh ahli keamanan memakan waktu lama dan memberikan beban kerja yang berat.
- Kelemahan LLM Standar: Model bahasa besar (LLM) biasa seringkali tidak akurat karena kurangnya data pelatihan mengenai skema spesifik vendor SIEM.
Cara Kerja dan Keunggulan ARuleCon
ARuleCon hadir sebagai kerangka kerja yang skalabel, netral vendor, dan andal untuk meringankan beban kerja SOC (Security Operations Center).
| Fitur Utama | Keterangan Teknis |
|---|---|
| Teknologi Agentic RAG | Mengambil dokumentasi resmi vendor untuk mengatasi ketidakcocokan skema. |
| Konsistensi Berbasis Python | Menjalankan pengujian di lingkungan terkontrol untuk memitigasi pergeseran makna semantik aturan. |
| Dukungan Multi-Platform | Mampu menerjemahkan aturan antara Splunk, Microsoft Sentinel, IBM QRadar, Google Chronicle, dan RSA NetWitness. |
"ARuleCon memungkinkan ekspor aturan dari satu SIEM untuk digunakan di SIEM lainnya, membantu organisasi merencanakan konsolidasi atau migrasi SIEM dengan lebih mudah," ujar Ming Xu, penulis utama penelitian ini.
Dengan adanya ARuleCon, organisasi diharapkan dapat lebih fokus pada deteksi ancaman keamanan yang nyata daripada terganggu oleh kebisingan dari berbagai peringatan sistem yang tidak sinkron.
