طرح باحثون من جامعة سنغافورة الوطنية وجامعة فودان إطاراً بحثياً يحمل اسم ARuleCon، يهدف إلى تقليل الجهد المطلوب لتحويل قواعد أنظمة إدارة معلومات الأمان والأحداث (SIEM) بين المنصات المختلفة. ويعتمد هذا الإطار على وكلاء الذكاء الاصطناعي للتحقق من دقة التحويل والحد من الانحرافات الدلالية.
تتناول الورقة البحثية، المنشورة في أبريل 2026، مشكلة متكررة داخل مراكز العمليات الأمنية؛ إذ تستخدم منصات مثل Splunk وMicrosoft Sentinel وIBM QRadar وGoogle Chronicle وRSA NetWitness لغات وقوالب متباينة لكتابة قواعد الكشف. ويجعل هذا التباين من نقل القواعد بين المنصات عملية معقدة تتطلب معرفة تفصيلية ببنية كل نظام، خاصة عند تنفيذ مشاريع ترحيل أو دمج أو تشغيل متواز لمنصات SIEM.
لماذا يمثل تحويل قواعد SIEM تحدياً؟
تعتمد مراكز العمليات الأمنية على قواعد SIEM لاكتشاف أنماط الاختراق، ومحاولات الدخول غير المعتادة، والسلوكيات المشبوهة عبر السجلات. ومع ذلك، فإن القاعدة المكتوبة بصيغة SPL في منصة Splunk لا تعمل مباشرة داخل Microsoft Sentinel التي تعتمد لغة الاستعلام كوستو (KQL)، كما تختلف الصيغ أيضاً في AQL وYARA-L وغيرها. ونتيجة لذلك، يضطر خبراء الأمن غالباً إلى تفكيك منطق القاعدة يدوياً ثم إعادة كتابته بما يتوافق مع المنصة المستهدفة.
وتشير الورقة إلى أن أدوات التحويل التقليدية محدودة النطاق، حيث تدعم غالباً مسارات محددة بين منصتين فقط. كما أن استخدام نماذج اللغة العامة عبر التلقين المباشر قد يؤدي إلى أخطاء في الصياغة، أو فقدان شروط جوهرية، أو تغيير معنى القاعدة؛ وذلك بسبب نقص المعرفة الدقيقة بمخططات وقواعد كل منصة أمنية.
كيف يعمل ARuleCon؟
يعتمد ARuleCon على ثلاث مراحل مترابطة. تبدأ المرحلة الأولى بتحويل القاعدة الأصلية إلى تمثيل وسيط محايد لا يرتبط بمورد محدد، بحيث يحتفظ بمنطق الكشف الأساسي والبيانات الوصفية ومراحل المعالجة، ثم يستخدم النموذج هذا التمثيل لإنتاج مسودة قاعدة متوافقة مع المنصة المستهدفة.
وتأتي المرحلة الثانية عبر مسار الاسترجاع المعزز بالتوليد الوكيل (Agentic RAG)، حيث يبحث الوكيل في وثائق الموردين الرسمية ويعدل صياغة القاعدة بناء على نتائج البحث. ويهدف ذلك إلى معالجة الاختلافات في الأسماء والحقول والمخططات وقواعد الكتابة، بدلاً من الاكتفاء بتخمينات لغوية عامة.
أما المرحلة الثالثة، فتستخدم فحوصات اتساق قائمة على لغة Python. وفي هذه الخطوة، يتم تشغيل منطق القاعدة الأصلية والقاعدة المحولة على سجلات اختبار اصطناعية، ثم تقارن المخرجات لاكتشاف أي اختلافات في النتائج. وفي حال ظهور فروق، يتم إدخالها في دورة تحسين جديدة لتصحيح القاعدة.
نتائج أولية وحدود واضحة
اختبر الباحثون الإطار على 1,492 زوجاً من تحويلات القواعد عبر خمس منصات SIEM رئيسية. وذكرت الورقة أن ARuleCon حقق تحسناً متوسطاً يقارب 15% مقارنة باستخدام نماذج اللغة مباشرة، مع تقييمات شملت التشابه البنيوي والدلالي ومعدلات نجاح التنفيذ.
ولا يعني ذلك أن التحويل أصبح مهمة خالية من المخاطر؛ فقواعد الكشف الأمنية ترتبط غالباً بسياقات تشغيلية دقيقة، وقد يؤدي خطأ بسيط في حقل أو شرط أو نافذة زمنية إلى توليد تنبيهات كاذبة أو فقدان إشارة هجوم حقيقي. لذا، يظل الاستخدام العملي لمثل هذه الأطر مرتبطاً بالمراجعة البشرية واختبارات القبول داخل بيئة المؤسسة قبل الاعتماد التشغيلي.
أهمية التطور لمراكز العمليات الأمنية
تكتسب أداة ARuleCon أهمية عملية تتجاوز كونها مجرد تجربة بحثية في الذكاء الاصطناعي؛ فالمؤسسات التي تخطط لترحيل منصات SIEM أو دمج أدوات متعددة تواجه عادة تكلفة عالية في إعادة بناء قواعد الكشف. وإذا تمكنت الأطر الوكيلة من تقليل جزء معتبر من هذا الجهد مع توفير آليات تحقق تنفيذي، فقد تتيح لفرق الأمن التركيز على جودة الكشف وترتيب الأولويات بدلاً من الاستغراق في إعادة كتابة القواعد.
ويعكس هذا البحث اتجاهاً أوسع في الأمن السيبراني نحو استخدام وكلاء الذكاء الاصطناعي في مهام متخصصة تتطلب البحث في الوثائق، وفهم السياق، والاختبار الآلي للنتائج. وفي حالة أنظمة SIEM، لا تكمن القيمة في تحويل النصوص فحسب، بل في الحفاظ على منطق الكشف الذي تعتمد عليه فرق الأمن لرصد التهديدات في الوقت المناسب.
