作者：来自 Elastic Elastic Security Team

很少有安全专业人员喜欢安全信息和事件管理（SIEM）迁移过程。安全团队通常被从主动防御环境中转移出来，去处理漫长、手动且容易出错的迁移过程。

传统的 SIEM 迁移需要团队手动导出数百或数千条检测规则，将其背后的检测逻辑移植到新系统，将逻辑转换为新系统的语言，然后继续迭代新的和现有的查询。许多团队干脆完全避免 SIEM 迁移，即使他们知道现有工具无法满足其需求。

LLMs 和 RAG 可在几分钟内完成迁移

在最新发布的《AI 现在能做什么？！》一集中，Elastic 的首席安全解决方案架构师 Haran Kumar 解码了 AI 如何帮助将旧 SIEM 的检测规则自动迁移到新 SIEM，仅需几分钟而不是几周或几个月。

Kumar 表示：“借助大型语言模型、RAG 框架及其代码转换能力，AI 正在帮助自动化这些手动规则迁移以及其他查询迁移过程。我们现在可以从旧 SIEM 中提取你的规则，理解逻辑，将其转换为标准化格式，并转换到你的现代平台。”

AI 如何帮助自动迁移检测规则？

工作原理如下：

• 自动迁移（Automatic Migration） 通过 AI 驱动流程加速 SIEM 迁移，可从旧 SIEM（如 Splunk）批量上传检测规则，并自动将这些规则转换为 Elastic 原生检测。它将规则从 Splunk 的 Search Processing Language（SPL）翻译为 Elasticsearch Query Language（ES|QL），映射到现有 Elastic 规则或根据需要创建自定义规则。

• 自动导入（Automatic Import） 快速解析、摄取并为尚无预建 Elastic 集成的数据源创建 Elastic Common Schema（ECS）映射。其主要目的是帮助团队将新数据源引入 Elastic Security，而不是迁移旧 SIEM 的检测规则。

• 大型语言模型（LLMs） 解析旧 SIEM 中的内容和查询逻辑，自动化重复的规则迁移，转换和标准化日志数据，并翻译数百或数千条复杂检测规则。

• 倒数排序融合（RAG） 提高 LLM 提取的源信息的上下文和相关性。启用 RAG 的系统可以从内部知识库、文档及其他专有数据中检索最新信息，减少幻觉并提高上下文意识。

这是一种强大的方式，可以简化你的迁移过程，缩短迁移时间，并减少错误 [. . .] 它解决了手动迁移过程中容易出现的所有问题。

- Haran Kumar，Elastic 首席安全解决方案架构师

简化并加速 SIEM 迁移

自动导入功能不仅限于检测规则。如果你需要将包含数百条查询的仪表板迁移或转换到新的 SIEM 平台，现在可以通过 AI 高效地转换这些查询。

该功能将你的旧查询逻辑标准化为通用格式，并转换为现代平台的新查询逻辑。AI 助手可以解释为何以及如何转换查询，以及是否有需要跳过的规则，例如缺失的宏文件或关联依赖。有了这些信息，你可以轻松手动转换这些缺失的规则或查询。

Kumar 补充道：“你在这个过程中也在学习。”

自信地迁移到 AI 驱动的 SIEM

AI 加速的迁移非常强大，但它不是魔法。例如，如果你的检测规则没有被妥善记录或涉及缺失宏，你将收到混乱的输出。

这就是为什么人工审核至关重要。你的 SOC 团队需要验证新检测规则的准确性，尤其是当你从旧 SIEM 系统导出规则并手动更新任何不完整信息时。

想看看借助 AI SIEM 迁移有多容易吗？查看《AI 现在能做什么？！- SIEM 迁移》一集，了解如何节省时间、减少手动错误，并让你的安全团队有信心将旧 SIEM 迁移到下一代 AI 驱动的 SIEM。

本文中描述的任何功能或特性发布及时间完全由 Elastic 自行决定。任何当前不可用的功能或特性可能无法按时或根本无法提供。

在本文中，我们可能使用或引用了第三方生成式 AI 工具，这些工具由其各自的所有者拥有和运营。Elastic 无法控制这些第三方工具，对其内容、操作或使用不承担任何责任，也不对你使用这些工具可能造成的任何损失或损害负责。在使用 AI 工具处理个人、敏感或机密信息时，请谨慎操作。你提交的任何数据可能会用于 AI 训练或其他用途。无法保证你提供的信息会被安全或保密地保存。在使用任何生成式 AI 工具前，应熟悉其隐私实践和使用条款。

Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国及其他国家的商标、徽标或注册商标。所有其他公司和产品名称为其各自所有者的商标、徽标或注册商标。

原文：https://www.elastic.co/blog/accelerating-siem-migration