本文提出一种从攻击模拟（Breach-and-Attack Simulation, BAS）到 SIEM 检测规则的确定性合成方法。安全团队常通过 BAS 工具模拟攻击来检验监控能力，但 BAS 输出的是发现（findings），而生产环境需要检测规则（如 Sigma 规则）。目前人工翻译每个 finding 到规则是瓶颈。作者假设当探针来自锁定语料库时，每个 finding 可关联到原始探针的唯一标识符。基于此，设计了一个确定性合成函数：通过一个小型模板库（N=23，按 OWASP LLM 和 Web Top 10 分类索引），将每个 bypassed-probe finding 映射为一条起始 Sigma 规则，并包含对原始 finding 和 MITRE ATT&CK 技术的回引用。在 17 个 LLM 探针和 23 个 Web 探针的锁定语料库上测试，所有 bypassed-probe finding 均生成了可解析的 Sigma 规则，并可转换为 Splunk 和 Elasticsearch 后端。通过实时 OpenSearch SIEM 回放，LLM 规则在保留的 AdvBench 子集上检出 30%，在 HarmBench 上检出 14%，良性基线误报率 7.7%。Web 部分仅做了结构验证。主要贡献是提供了一条可验证、字节稳定的路径：从 BAS finding 到可部署的起始规则，且仅需公开语料库和模板库即可重新推导，牺牲 LLM 生成方法的广度，换取精确可复现性和从告警到探针的类型化回溯。