論文の概要: RuleGenie: SIEM Detection Rule Set Optimization

• arxiv url: http://arxiv.org/abs/2505.06701v1
• Date: Sat, 10 May 2025 16:56:17 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-13 20:21:49.000959
• Title: RuleGenie: SIEM Detection Rule Set Optimization
• Title（参考訳）: RuleGenie: SIEM Detection Rule Set Optimization
• Authors: Akansha Shukla, Parth Atulbhai Gandhi, Yuval Elovici, Asaf Shabtai,
• Abstract要約: SIEMシステムの冗長あるいは重複したルールは、過剰な誤警報を引き起こし、警告疲労によるアナリストのパフォーマンスを低下させ、計算オーバーヘッドを増大させる。 本稿では、SIEMルールセットを最適化するように設計された新しい大規模言語モデル(LLM)であるStrucGenieを提案する。
• 参考スコア（独自算出の注目度）: 24.312198733476063
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: SIEM systems serve as a critical hub, employing rule-based logic to detect and respond to threats. Redundant or overlapping rules in SIEM systems lead to excessive false alerts, degrading analyst performance due to alert fatigue, and increase computational overhead and response latency for actual threats. As a result, optimizing SIEM rule sets is essential for efficient operations. Despite the importance of such optimization, research in this area is limited, with current practices relying on manual optimization methods that are both time-consuming and error-prone due to the scale and complexity of enterprise-level rule sets. To address this gap, we present RuleGenie, a novel large language model (LLM) aided recommender system designed to optimize SIEM rule sets. Our approach leverages transformer models' multi-head attention capabilities to generate SIEM rule embeddings, which are then analyzed using a similarity matching algorithm to identify the top-k most similar rules. The LLM then processes the rules identified, utilizing its information extraction, language understanding, and reasoning capabilities to analyze rule similarity, evaluate threat coverage and performance metrics, and deliver optimized recommendations for refining the rule set. By automating the rule optimization process, RuleGenie allows security teams to focus on more strategic tasks while enhancing the efficiency of SIEM systems and strengthening organizations' security posture. We evaluated RuleGenie on a comprehensive set of real-world SIEM rule formats, including Splunk, Sigma, and AQL (Ariel query language), demonstrating its platform-agnostic capabilities and adaptability across diverse security infrastructures. Our experimental results show that RuleGenie can effectively identify redundant rules, which in turn decreases false positive rates and enhances overall rule efficiency.
• Abstract（参考訳）: SIEMシステムは重要なハブとして機能し、脅威を検出して応答するためにルールベースのロジックを使用する。 SIEMシステムの冗長あるいは重複したルールは、過度な誤った警告を引き起こし、警告の疲労によるアナリストのパフォーマンスを低下させ、実際の脅威に対する計算オーバーヘッドとレスポンスレイテンシを増大させる。 その結果、SIEMルールセットの最適化は効率的な操作に不可欠である。 このような最適化の重要性にもかかわらず、この分野での研究は限られており、現在、エンタープライズレベルのルールセットのスケールと複雑さのため、時間とエラーが生じるような手動最適化手法に依存している。 このギャップに対処するために,新しい大規模言語モデル (LLM) である RuleGenie を提案し,SIEM ルールセットを最適化するためのレコメンデータシステムを提案する。 提案手法では,変換器モデルのマルチヘッドアテンション機能を利用してSIEMルールの埋め込みを生成し,類似性マッチングアルゴリズムを用いて解析を行い,最も類似したルールを識別する。 LLMは識別されたルールを処理し、その情報抽出、言語理解、推論機能を利用してルール類似性を分析し、脅威カバレッジとパフォーマンスメトリクスを評価し、ルールセットを精査するための最適化されたレコメンデーションを提供する。 ルール最適化プロセスを自動化することで、セキュリティチームはより戦略的タスクに集中できると同時に、SIEMシステムの効率を高め、組織のセキュリティ姿勢を強化することができる。 我々は、Splunk、Sigma、AQL(Arielクエリ言語)を含む、現実世界のSIEMルールフォーマットの包括的セットでRe RuleGenieを評価し、プラットフォームに依存しない機能とさまざまなセキュリティインフラストラクチャへの適応性を実証した。 実験の結果,ルールジェニーは冗長なルールを効果的に識別し,偽陽性率を低減し,全体のルール効率を向上できることがわかった。

関連論文リスト

• Rule-ATT&CK Mapper (RAM): Mapping SIEM Rules to TTPs Using LLMs [22.791057694472634]
  Rule-ATT&CK Mapper (RAM)は構造化SIEMルールをMITRE ATT&CK技術にマッピングするフレームワークである。 RAMのマルチステージパイプラインは、プロンプトチェーン技術にインスパイアされたもので、LLM事前トレーニングや微調整を必要とせずにマッピング精度を向上させる。
  論文  参考訳（メタデータ） (2025-02-04T14:16:02Z)
• Provably Mitigating Overoptimization in RLHF: Your SFT Loss is Implicitly an Adversarial Regularizer [52.09480867526656]
  人間の嗜好を学習する際の分布変化と不確実性の一形態として,不一致の原因を同定する。 過度な最適化を緩和するために、まず、逆選択された報酬モデルに最適なポリシーを選択する理論アルゴリズムを提案する。 報奨モデルとそれに対応する最適ポリシーの等価性を用いて、優先最適化損失と教師付き学習損失を組み合わせた単純な目的を特徴とする。
  論文  参考訳（メタデータ） (2024-05-26T05:38:50Z)
• Stepwise Alignment for Constrained Language Model Policy Optimization [12.986006070964772]
  大規模言語モデル(LLM)を用いたAIシステムの現実的な応用には、安全性と信頼性が不可欠である 本稿では、安全制約下での報酬を最大化するために、言語モデルポリシーの最適化問題として、人間の価値アライメントを定式化する。 SACPOの背景にある重要な考え方の1つは、報酬と安全を取り入れた最適な政策は、報酬に整合した政策から直接得ることができるということである。
  論文  参考訳（メタデータ） (2024-04-17T03:44:58Z)
• SoFA: Shielded On-the-fly Alignment via Priority Rule Following [90.32819418613407]
  本稿では,各ダイアログにおけるルールを主制御機構として定義する,新たなアライメントパラダイムである優先ルールを提案する。 そこで本研究では,厳密な規則統合と固着性を確保するために,シミュレーションから優先信号に従う半自動蒸留手法であるプライオリティディスティルを提案する。
  論文  参考訳（メタデータ） (2024-02-27T09:52:27Z)
• Active RIS-aided EH-NOMA Networks: A Deep Reinforcement Learning Approach [66.53364438507208]
  アクティブな再構成可能なインテリジェントサーフェス(RIS)支援マルチユーザダウンリンク通信システムについて検討した。 非直交多重アクセス(NOMA)はスペクトル効率を向上させるために使用され、活性RISはエネルギー回収(EH)によって駆動される。 ユーザの動的通信状態を予測するために,高度なLSTMベースのアルゴリズムを開発した。 増幅行列と位相シフト行列RISを結合制御するためにDDPGに基づくアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2023-04-11T13:16:28Z)
• Towards Target Sequential Rules [52.4562332499155]
  ターゲット・シーケンシャル・ルール・マイニング(TaSRM)と呼ばれる効率的なアルゴリズムを提案する。 新たなアルゴリズムであるTaSRMとその変種は,既存のベースラインアルゴリズムと比較して実験性能がよいことを示す。
  論文  参考訳（メタデータ） (2022-06-09T18:59:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。