論文の概要: Policy-Guided Threat Hunting: An LLM enabled Framework with Splunk SOC Triage

• arxiv url: http://arxiv.org/abs/2603.23966v1
• Date: Wed, 25 Mar 2026 05:59:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-26 21:06:11.151644
• Title: Policy-Guided Threat Hunting: An LLM enabled Framework with Splunk SOC Triage
• Title（参考訳）: ポリシーでガイドされた脅威追跡: Splunk SOC トリアージを備えた LLM 対応フレームワーク
• Authors: Rishikesh Sahay, Bell Eapen, Weizhi Meng, Md Rasel Al Mamun, Nikhil Kumar Dora, Manjusha Sumasadan, Sumit Kumar Tetarave, Rod Soto,
• Abstract要約: 進化する脅威を監視するための,自動化された動的脅威追跡フレームワークを提案する。 確立されたSIEMプラットフォームであるSplunkとAgentic AIを統合することで、独自の脅威狩りフレームワークを開発した。 このフレームワークは、異なるSOC目標に効果的に適応し、疑わしい、悪意のあるトラフィックを特定できる。
• 参考スコア（独自算出の注目度）: 3.038327214647893
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: With frequently evolving Advanced Persistent Threats (APTs) in cyberspace, traditional security solutions approaches have become inadequate for threat hunting for organizations. Moreover, SOC (Security Operation Centers) analysts are often overwhelmed and struggle to analyze the huge volume of logs received from diverse devices in organizations. To address these challenges, we propose an automated and dynamic threat hunting framework for monitoring evolving threats, adapting to changing network conditions, and performing risk-based prioritization for the mitigation of suspicious and malicious traffic. By integrating Agentic AI with Splunk, an established SIEM platform, we developed a unique threat hunting framework. The framework systematically and seamlessly integrates different threat hunting modules together, ranging from traffic ingestion to anomaly assessment using a reconstruction-based autoencoder, deep reinforcement learning (DRL) with two layers for initial triage, and a large language model (LLM) for contextual analysis. We evaluated the framework against a publicly available benchmark dataset, as well as against a simulated dataset. The experimental results show that the framework can effectively adapt to different SOC objectives autonomously and identify suspicious and malicious traffic. The framework enhances operational effectiveness by supporting SOC analysts in their decision-making to block, allow, or monitor network traffic. This study thus enhances cybersecurity and threat hunting literature by presenting the novel threat hunting framework for security decision- making, as well as promoting cumulative research efforts to develop more effective frameworks to battle continuously evolving cyber threats.
• Abstract（参考訳）: サイバースペースにおけるAPT(Advanced Persistent Threats)の頻繁な進化に伴い、従来のセキュリティソリューションアプローチは組織に対する脅威ハンティングには不十分になっている。 さらに、SOC(Security Operation Centers)アナリストはしばしば圧倒され、組織のさまざまなデバイスから受信した大量のログを分析するのに苦労しています。 これらの課題に対処するために、脅威の進化を監視し、ネットワーク条件の変化に適応し、不審で悪意のあるトラフィックを緩和するためのリスクベースの優先順位付けを行うための、自動化された動的脅威追跡フレームワークを提案する。 確立されたSIEMプラットフォームであるSplunkとAgentic AIを統合することで、独自の脅威狩りフレームワークを開発した。 このフレームワークは、トラフィックの取り込みから、再構成ベースのオートエンコーダを用いた異常評価、初期トリアージのための2つの層を持つ深層強化学習(DRL)、コンテキスト分析のための大規模言語モデル(LLM)など、さまざまな脅威追跡モジュールを体系的にシームレスに統合する。 我々は、このフレームワークを、公開されているベンチマークデータセット、シミュレーションデータセットに対して評価した。 実験結果から,このフレームワークは様々なSOC目標に対して自律的に適応し,疑わしい,悪意のあるトラフィックを識別できることがわかった。 このフレームワークは、SOCアナリストがネットワークトラフィックをブロックしたり、許可したり、監視したりすることで、運用効率を向上させる。 本研究は,サイバーセキュリティと脅威ハンティングの文献を,セキュリティ決定のための新たな脅威ハンティングフレームワークを提案するとともに,継続的なサイバー脅威と戦うためのより効果的なフレームワークを開発するための累積的な研究活動を促進する。

関連論文リスト

• ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
  Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。 現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。 人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
  論文  参考訳（メタデータ） (2026-01-20T07:31:59Z)
• Adversarial Attack-Defense Co-Evolution for LLM Safety Alignment via Tree-Group Dual-Aware Search and Optimization [51.12422886183246]
  大規模言語モデル(LLM)は、Webサービスにおいて急速に発展し、社会的リスクを増幅しつつ、前例のない能力を提供してきた。 既存の作業は、分離されたジェイルブレイク攻撃または静的防御に重点を置いており、現実世界のWebコンテキストにおける進化する脅威とセーフガードの間の動的な相互作用を無視している。 ACE-Safetyは、2つの重要な革新的手順をシームレスに統合することにより、攻撃と防御モデルを協調的に最適化する新しいフレームワークである。
  論文  参考訳（メタデータ） (2025-11-24T15:23:41Z)
• Benchmarking LLM-Assisted Blue Teaming via Standardized Threat Hunting [11.591424538749967]
  本稿では,大規模言語モデルをブルーチームで指導するためのベンチマークであるCyberTeamを提案する。 まず、脅威属性からインシデント応答への分析タスク間の依存関係をキャプチャすることで、現実的な脅威追跡をモデル化する。 次に、各タスクは、その特定の分析要求に合わせて調整された一連の運用モジュールを通して対処される。 全体として、CyberTeamは30のタスクと9つの運用モジュールを統合し、標準化された脅威分析を通じてLLMをガイドする。
  論文  参考訳（メタデータ） (2025-09-28T02:08:17Z)
• Advancing Autonomous Incident Response: Leveraging LLMs and Cyber Threat Intelligence [3.2284427438223013]
  セキュリティチームは、警告の疲労、高い偽陽性率、および大量の非構造化サイバー脅威情報(CTI)文書に圧倒されている。 本稿では,Large Language Models (LLMs) を利用してIRの自動化と拡張を行う新しいRAGベースのフレームワークを提案する。 提案手法では, CTIベクタデータベース内のNLPに基づく類似性検索と, 外部CTIプラットフォームへの標準クエリを組み合わせたハイブリッド検索機構を提案する。
  論文  参考訳（メタデータ） (2025-08-14T14:20:34Z)
• Real-Time Detection of Insider Threats Using Behavioral Analytics and Deep Evidential Clustering [0.0]
  本稿では,行動分析と深層的クラスタリングを組み合わせた,インサイダー脅威をリアルタイムに検出するフレームワークを提案する。 本システムは,ユーザの行動を捉え,分析し,文脈に富んだ行動特徴を適用し,潜在的な脅威を分類する。 我々は,CERTやTWOSなどのベンチマークインサイダー脅威データセットについて,平均検出精度94.7%,偽陽性率38%を従来のクラスタリング手法と比較し評価した。
  論文  参考訳（メタデータ） (2025-05-21T11:21:33Z)
• Threat Modelling and Risk Analysis for Large Language Model (LLM)-Powered Applications [0.0]
  大規模言語モデル(LLM)は、高度な自然言語処理機能を提供することによって、様々なアプリケーションに革命をもたらした。 本稿では,LSMを利用したアプリケーションに適した脅威モデリングとリスク分析について検討する。
  論文  参考訳（メタデータ） (2024-06-16T16:43:58Z)
• It Is Time To Steer: A Scalable Framework for Analysis-driven Attack Graph Generation [50.06412862964449]
  アタックグラフ(AG)は、コンピュータネットワークに対するマルチステップ攻撃に対するサイバーリスクアセスメントをサポートする最も適したソリューションである。 現在の解決策は、アルゴリズムの観点から生成問題に対処し、生成が完了した後のみ解析を仮定することである。 本稿では,アナリストがいつでもシステムに問い合わせることのできる新しいワークフローを通じて,従来のAG分析を再考する。
  論文  参考訳（メタデータ） (2023-12-27T10:44:58Z)
• A System for Efficiently Hunting for Cyber Threats in Computer Systems Using Threat Intelligence [78.23170229258162]
  ThreatRaptorは、OSCTIを使用してコンピュータシステムにおけるサイバー脅威ハンティングを容易にするシステムです。 ThreatRaptorは、(1)構造化OSCTIテキストから構造化された脅威行動を抽出する非監視で軽量で正確なNLPパイプライン、(2)簡潔で表現力のあるドメイン固有クエリ言語であるTBQLを提供し、悪意のあるシステムアクティビティを探し、(3)抽出された脅威行動からTBQLクエリを自動的に合成するクエリ合成メカニズムを提供する。
  論文  参考訳（メタデータ） (2021-01-17T19:44:09Z)
• Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence [94.94833077653998]
  ThreatRaptorは、オープンソースのCyber Threat Intelligence(OSCTI)を使用して、コンピュータシステムにおける脅威追跡を容易にするシステムである。 構造化されていないOSCTIテキストから構造化された脅威行動を抽出し、簡潔で表現力豊かなドメイン固有クエリ言語TBQLを使用して悪意のあるシステムアクティビティを探索する。 広範囲にわたる攻撃事例の評価は、現実的な脅威狩りにおけるThreatRaptorの精度と効率を実証している。
  論文  参考訳（メタデータ） (2020-10-26T14:54:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。