論文の概要: Towards Agentic Investigation of Security Alerts
- arxiv url: http://arxiv.org/abs/2604.25846v1
- Date: Tue, 28 Apr 2026 16:52:12 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-29 16:49:17.956894
- Title: Towards Agentic Investigation of Security Alerts
- Title(参考訳): セキュリティアラートのエージェント調査に向けて
- Authors: Even Eilertsen, Vasileios Mavroeidis, Gudmund Grov,
- Abstract要約: セキュリティアナリストは、アラートの量と検出システムが提供する低コンテキストに圧倒されます。
初期段階の調査は通常、複数のログソース間で手動の相関を必要とする。
本稿では,事前定義されたクエリを付加した大規模言語モデル(LLM)を活用する実験的なエージェントワークフローを提案する。
- 参考スコア(独自算出の注目度): 0.07646713951724012
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Security analysts are overwhelmed by the volume of alerts and the low context provided by many detection systems. Early-stage investigations typically require manual correlation across multiple log sources, a task that is usually time-consuming. In this paper, we present an experimental, agentic workflow that leverages large language models (LLMs) augmented with predefined queries and constrained tool access (structured SQL over Suricata logs and grep-based text search) to automate the first stages of alert investigation. The proposed workflow integrates queries to provide an overview of the available data, and LLM components that selects which queries to use based on the overview results, extracts raw evidence from the query results, and delivers a final verdict of the alert. Our results demonstrate that the LLM-powered workflow can investigate log sources, plan an investigation, and produce a final verdict that has a significantly higher accuracy than a verdict produced by the same LLM without the proposed workflow. By recognizing the inherent limitations of directly applying LLMs to high-volume and unstructured data, we propose combining existing investigation practices of real-world analysts with a structured approach to leverage LLMs as virtual security analysts, thereby assisting and reducing the manual workload.
- Abstract(参考訳): セキュリティアナリストは、多くの検知システムによって提供されるアラートの量と低いコンテキストに圧倒されている。
初期段階の調査は通常、複数のログソースをまたいだ手動の相関を必要とする。
本稿では,事前定義されたクエリと制約付きツールアクセス(Suricataログ上の構造化SQLとGrepベースのテキスト検索)を付加した大規模言語モデル(LLM)を活用して,警告調査の第一段階を自動化する実験的なエージェントワークフローを提案する。
提案したワークフローは、利用可能なデータの概要を提供するためにクエリを統合するとともに、概略結果に基づいて使用するクエリを選択し、クエリ結果から生のエビデンスを抽出し、アラートの最終的な検証を行うLLMコンポーネントを提供する。
この結果から,LLMを用いたワークフローは,ログソースを解析し,調査を計画し,提案したワークフローを使わずに同一のLCMが生成した判定よりもはるかに高い精度で最終的な判定を行うことができることがわかった。
高ボリューム・非構造化データに直接LLMを適用するという本来の制限を認識して,実世界のアナリストによる既存の調査手法と,仮想セキュリティアナリストとしてLLMを活用する構造的アプローチを組み合わせることにより,手作業量の削減と支援を行う。
関連論文リスト
- LongDA: Benchmarking LLM Agents for Long-Document Data Analysis [55.32211515932351]
LongDAは、長いドキュメントと複雑なデータをナビゲートする実際の設定をターゲットとしています。
LongTAは、ドキュメントアクセス、検索、コード実行を可能にするツール拡張されたエージェントフレームワークである。
実験の結果, 最先端モデルにおいても, かなりの性能差が認められた。
論文 参考訳(メタデータ) (2026-01-05T23:23:16Z) - LAFA: Agentic LLM-Driven Federated Analytics over Decentralized Data Sources [35.235993431071286]
大規模言語モデル(LLM)は、自然言語クエリを解釈することで、データ分析タスクを自動化するという大きな可能性を示しています。
既存のLLMベースの分析フレームワークは、集中型データアクセスの前提で運用されており、プライバシー保護はほとんど、あるいは全く提供されない。
LLMをベースとしたデータ分析とフェデレーション分析を統合した最初のシステムであるLAFAを提案する。
論文 参考訳(メタデータ) (2025-10-21T09:56:25Z) - CORTEX: Collaborative LLM Agents for High-Stakes Alert Triage [10.088447487211893]
SOC(Security Operations Centers)は、毎日何万ものアラートに圧倒されている。
この過負荷は警告の疲労を引き起こし、見過ごされた脅威やアナリストのバーンアウトにつながる。
警告トリアージのためのマルチエージェントLLMアーキテクチャであるCORTEXを提案する。
論文 参考訳(メタデータ) (2025-09-30T22:09:31Z) - Iterative Self-Incentivization Empowers Large Language Models as Agentic Searchers [74.17516978246152]
大規模言語モデル(LLM)は、従来の手法を進化させるために情報検索に広く統合されている。
エージェント検索フレームワークであるEXSEARCHを提案する。
4つの知識集約ベンチマークの実験では、EXSEARCHはベースラインを大幅に上回っている。
論文 参考訳(メタデータ) (2025-05-26T15:27:55Z) - IDA-Bench: Evaluating LLMs on Interactive Guided Data Analysis [60.32962597618861]
IDA-Benchは、多ラウンドの対話シナリオで大規模言語モデルを評価する新しいベンチマークである。
エージェント性能は、最終的な数値出力と人間由来のベースラインを比較して判断する。
最先端のコーディングエージェント(Claude-3.7-thinkingなど)でさえ50%のタスクを成功させ、シングルターンテストでは明らかでない制限を強調している。
論文 参考訳(メタデータ) (2025-05-23T09:37:52Z) - Unleashing the Power of LLMs in Dense Retrieval with Query Likelihood Modeling [69.84963245729826]
本稿では,検索者の後続のコントラスト学習のためのバックボーンを強化するために,QLの補助的タスクを提案する。
注意ブロック(AB)と文書破壊(DC)の2つの重要なコンポーネントを組み込んだモデルを紹介します。
論文 参考訳(メタデータ) (2025-04-07T16:03:59Z) - System Log Parsing with Large Language Models: A Review [2.2779174914142346]
大規模言語モデル (LLM) はLLMに基づくログ解析の新しい研究分野を導入した。
有望な結果にもかかわらず、この比較的新しい研究分野におけるアプローチの構造化された概要は存在しない。
この研究は29 LLMベースのログ解析手法を体系的にレビューする。
論文 参考訳(メタデータ) (2025-04-07T09:41:04Z) - To Err Is Human; To Annotate, SILICON? Reducing Measurement Error in LLM Annotation [11.470318058523466]
大規模言語モデル(LLM)は、人間のアノテーションに代わる費用対効果の高いスケーラブルな代替を約束する。
LLMアノテーションから測定誤差を体系的に低減するSILICON手法を開発した。
この証拠は,各エラー源の削減が必要であり,SILICONは管理研究において厳密なアノテーションをサポートしていることを示唆している。
論文 参考訳(メタデータ) (2024-12-19T02:21:41Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。