|
摘要: 安全信息和事件管理(SIEM)系统对于大型企业监控其IT基础设施至关重要,每天吸收和分析数百万条日志和事件。安全运营中心(SOC)分析师的任务是监视和分析这些大量数据,以识别潜在威胁并采取预防措施保护企业资产。然而,SIEM平台的多样性,例如Palo Alto Networks Qradar、Google SecOps、Splunk、Microsoft Sentinel和Elastic Stack,带来了重大挑战。由于这些系统在属性、架构和查询语言上存在差异,使得分析师难以在不经过广泛培训或迫使企业扩大人员规模的情况下有效监控多个平台。为了解决这个问题,我们引入了SynRAG,一个统一框架,可以根据平台无关的规范自动生成多个SIEM平台的威胁检测或事件调查查询。SynRAG可以从分析师编写的单个高级规范中生成特定于平台的查询。如果没有SynRAG,分析师将需要为每个SIEM平台手动编写单独的查询,因为系统之间的查询语言差异很大。该框架实现了跨异构SIEM环境的无缝威胁检测和事件调查,减少了对专门培训和手动查询翻译的需求。我们使用Qradar和SecOps作为代表性SIEM系统,将SynRAG与GPT、Llama、DeepSeek、Gemma和Claude等最先进的语言模型进行评估。我们的结果表明,与最先进的基础模型相比,SynRAG为跨SIEM威胁检测和事件调查生成了更好的查询。 更新时间: 2025-12-31 02:35:51 领域: cs.CR,cs.AI
| 
|Archiver|手机版|小黑屋|Octave中文网学术交流论坛
( 黑ICP备2024030411号-2 )
发表于 2026-1-4 23:22:50