Les chercheurs affirment que l’IA agentique peut traduire les règles de détection sur les plateformes SIEM, mais des préoccupations concernant la confiance et la fiabilité demeurent.
Les entreprises migrant entre plates-formes SIEM doivent souvent réécrire manuellement les règles de détection, car des fournisseurs tels que Splunk, Microsoft Sentinel, IBM QRadar et Google Chronicle utilisent des langages de requête et des modèles de données différents.
Les chercheurs affirment désormais que l’IA pourrait automatiser une grande partie de ce travail, même si les experts en sécurité restent divisés sur la question de savoir si le problème nécessite réellement l’IA.
Des chercheurs de l’Université nationale de Singapour et leurs collaborateurs affirment que leur système, appelé ARuleCon, peut traduire les règles SIEM sur toutes les plateformes tout en préservant la logique de détection. Dans des tests impliquant près de 1 500 conversions de règles, le cadre a amélioré la précision de la traduction d’environ 10 à 15 % par rapport aux approches de base de grands modèles de langage, selon un document de recherche.
Les praticiens affirment que le problème devient de plus en plus courant à mesure que les entreprises adoptent des environnements cloud hybrides et des piles de sécurité multifournisseurs.
Pourquoi la traduction des règles SIEM est-elle difficile
« Dans les grandes entreprises, la nécessité de porter ou de réutiliser les règles de détection sur plusieurs plates-formes devient de plus en plus courante », a déclaré Prashant Chaudhary, vice-président régional chez Splunk India. L’adoption du cloud hybride, les fusions, les exigences de conformité et les environnements multi-fournisseurs obligent les équipes SOC à travailler sur des formats de télémétrie et des cadres de détection disparates, a-t-il déclaré.
Les chercheurs ont décrit la conversion manuelle des règles comme « lente et imposant une lourde charge de travail ».
« Dans la plupart des SOC d’entreprise, la portabilité des règles n’est pas une exigence quotidienne. Mais pour les MSSP et les fournisseurs de services gérant plusieurs environnements clients, traduire et adapter les règles SIEM sur toutes les plateformes est un défi de routine », a déclaré Gaurav Bisht, spécialiste SIEM et consultant principal en solutions chez le distributeur de cybersécurité RAH Infotech.
Selon Chaudhary, le plus grand défi consiste à préserver la fidélité de la détection et le contexte opérationnel lorsque les règles sont déplacées entre les systèmes. « Les organisations risquent de briser la logique de détection, de désaligner les mappages de champs et d’affaiblir les corrélations comportementales », a-t-il déclaré, ajoutant que de tels échecs peuvent augmenter les faux positifs et créer des angles morts.
Tout le monde n’est pas d’accord sur le fait que le problème nécessite l’IA
Certains praticiens affirment qu’une grande partie du défi peut encore être résolue grâce à des approches d’ingénierie déterministes plutôt qu’à l’IA.
« Avec une bonne compréhension des deux schémas, il ne s’agit que d’un ensemble de travaux », a déclaré Rahul Yadav, fondateur de la société de cybersécurité CyberEvolve.
Xu n’était pas d’accord sur le fait que la traduction des règles puisse être réduite à de simples mappages de style compilateur. « Un système de type compilateur peut gérer des mappages prédéfinis, mais il rencontre des difficultés lorsque la conversion nécessite une interprétation sémantique, une restructuration ou une adaptation spécifique à la plate-forme », a-t-il déclaré.
Le document note également que « la conversion des règles SIEM est nettement plus difficile » que la traduction SQL, car les fournisseurs SIEM « manquent de spécifications unifiées ».
Les chercheurs ont averti que des traductions apparemment valides peuvent introduire une « subtile dérive sémantique » qui modifie le comportement des détections dans la pratique.
« Le défi n’est pas seulement la syntaxe : il s’agit aussi des différences dans les mappages de champs, les modèles de données et la logique de détection entre les plates-formes », a déclaré Bisht. « Ces variations rendent la simple traduction de règles individuelles peu fiable dans la pratique. »
Les chercheurs ont déclaré qu’ARuleCon n’est pas destiné à remplacer entièrement les approches déterministes, mais à combiner « leur fiabilité avec la flexibilité du raisonnement basé sur l’IA ». Xu a déclaré que le système utilise l’IA pour déduire l’intention de détection et affiner de manière itérative les règles traduites tout en limitant les sorties via la validation syntaxique et les contrôles sémantiques.
La surveillance humaine reste essentielle
« Il est peu probable que les clients adoptent une traduction de règles totalement autonome dans les environnements SOC de production sans la mise en place de mécanismes solides de validation, d’explicabilité et de surveillance humaine », a déclaré Chaudhary. Les organisations s’attendront à des tests par rapport à la télémétrie historique et à des scénarios d’attaque réels avant de déployer à grande échelle la traduction de règles assistée par l’IA, a-t-il ajouté.
Le document lui-même reconnaît que les grands modèles linguistiques peuvent produire des traductions incomplètes ou incorrectes lorsqu’il s’agit de nuances spécifiques au fournisseur. Xu a déclaré qu’ARuleCon est conçu comme un système d’assistance aux analystes plutôt que comme un moteur de conversion entièrement autonome. « Un utilisateur humain doit vérifier manuellement » les règles avant leur déploiement dans des environnements de production, a-t-il déclaré.
« L’IA est par définition non déterministe, les tests post-migration sont donc essentiels », a déclaré Yadav.
Bisht a déclaré que les risques deviennent plus graves à mesure que les détections SIEM alimentent de plus en plus les systèmes de réponse automatisés. « Une mauvaise traduction ne crée pas seulement du bruit ; elle peut déclencher une mauvaise action », a-t-il déclaré.
Yadav a averti que le plus grand danger pourrait résider dans les échecs silencieux.
« Soit vous manquez une menace réelle, soit vous obtenez une augmentation des faux positifs et beaucoup de bruit », a-t-il déclaré. « Le premier est dangereux car silencieux. »
