AI 助手
Elastic Stack 无服务器安全
Elastic AI 助手利用生成式 AI 来增强您的网络安全运营团队。它允许用户与 Elastic Security 互动,以执行诸如警报调查、事件响应以及使用自然语言生成或会话查询等任务,等等。
Elastic AI 助手旨在通过智能对话增强您的分析。其功能仍在开发中。用户应谨慎使用,因为其响应质量可能会有所不同。您的见解和反馈将帮助我们改进此功能。始终交叉验证 AI 生成的建议,以确保准确性。
- Elastic Stack 用户:Elastic Stack 版本 8.8.1 或更高版本。另请注意,生成式 AI 连接器在 8.11.0 中已重命名为 OpenAI 连接器。
- Elastic Stack 用户:企业订阅。
- 无服务器用户:安全分析完整订阅。
- 要使用 AI 助手,需要 Elastic AI 助手:全部 和 操作和连接器:读取 权限。
- 要设置 AI 助手,需要 操作和连接器:全部 权限。
- 生成式 AI 连接器,AI 助手使用它来生成响应。
Elastic 不存储或检查 AI 助手使用的提示或结果,也不使用此数据进行模型训练。这包括您发送给模型的任何内容,例如警报或事件数据、检测规则配置、查询和提示。但是,您提供给 AI 助手的任何数据都将由您连接到的第三方大型语言模型 (LLM) 提供商处理,作为 AI 助手设置的一部分。
Elastic 不控制第三方工具,并且对其内容、操作或使用不承担任何责任或义务,也不对因您使用此类工具而可能造成的任何损失或损害承担任何责任或义务。使用包含个人、敏感或机密信息的 AI 工具时请谨慎。您提交的任何数据都可能被提供商用于 AI 训练或其他目的。无法保证提供商会保证您提供的任何信息的安全或保密。在使用任何生成式 AI 工具之前,您应熟悉其隐私惯例和使用条款。
Elastic 可以自动匿名化您提供给 AI 助手作为上下文的事件数据。要了解更多信息,请参阅配置 AI 助手。
您必须先创建一个生成式 AI 连接器,然后才能使用 AI 助手。AI 助手可以连接到多个大型语言模型 (LLM) 提供商,以便您可以选择最适合您需求的模型。要设置连接器,请参阅LLM 连接器设置指南。
虽然 AI 助手与许多不同的模型兼容,但请参阅大型语言模型性能矩阵,以选择在您所需的用例中表现良好的模型。
要打开 AI 助手,请从 Elastic Security 应用程序中的任何位置选择顶部工具栏中的 AI 助手 按钮。您还可以使用键盘快捷键 Cmd + ;(或 Windows 上的 Ctrl + ;)。
这将打开 欢迎 聊天界面,您可以在其中提出有关 Elastic Security 的一般问题。
您还可以从 Elastic Security 中的几个特定页面与 AI 助手聊天,在这些页面中,您可以轻松地将特定于上下文的数据和提示发送给 AI 助手。
- 警报详情 或事件详情弹出窗口:在查看警报或事件的详情时,单击 聊天。
- 规则页面:使用 AI 助手来帮助创建或更正规则查询。
- 数据质量仪表板:选择 不兼容字段 选项卡,然后单击 聊天。(这仅适用于标记为红色的字段,表示它们不兼容)。
每个用户的聊天记录(最多 99 个最近的对话)和自定义快速提示都会自动保存,因此您可以离开 Elastic Security 并在以后返回到对话。聊天记录显示在 AI 助手聊天窗口的左侧,以及 AI 助手设置 菜单的 对话 选项卡上。要访问设置菜单,请使用全局搜索字段搜索“Security 的 AI 助手”,或打开 AI 助手聊天窗口右上角的菜单。
使用这些功能来调整和处理您与 AI 助手的对话
(可选)在对话开始时,通过使用 选择提示 菜单选择一个系统提示。系统提示为模型提供上下文,告知其响应。要创建系统提示,请打开系统提示下拉菜单,然后单击 + 添加新系统提示…。
(可选)在聊天窗口底部选择一个快速提示,以获得帮助,为特定目的编写提示,例如总结警报或将查询从旧版 SIEM 转换为 Elastic Security。
也可以从 Security AI 设置 页面上的相应选项卡配置系统提示和快速提示。
快速提示的可用性因上下文而异——例如,当您在查看警报时打开 AI 助手时,会出现 警报摘要 快速提示。要自定义现有快速提示并创建新的快速提示,请单击 添加快速提示。
在活跃的对话中,您可以使用消息上显示的内联操作将 AI 助手的响应合并到您的工作流程中
- 将注释添加到时间线 (
):将选定的文本作为注释添加到您当前活跃的时间线中。 - 添加到现有案例 (
):使用选定的文本将评论添加到现有案例中。 - 复制到剪贴板 (
):将文本复制到剪贴板以粘贴到其他位置。对于重新提交以前的提示也很有帮助。 - 添加到时间线 (
):使用文本将过滤器或查询添加到时间线。此按钮会出现在 AI 助手响应中的特定查询中。
- 将注释添加到时间线 (
请务必指定您希望 AI 助手在编写查询时使用的语言。例如:“你能生成一个事件查询语言查询来查找四个失败的登录后跟一个成功的登录吗?”
AI 助手可以记住您告诉它记住的特定信息。例如,您可以告诉它:“当回答有关 srv-win-s1-rsa 或引用它的警报的任何问题时,请提及此主机位于纽约数据中心”。这将导致它记住您突出显示的细节。
要从聊天窗口调整 AI 助手的设置,请单击右上角的 更多(三个点)按钮。
前三个选项(AI 助手设置、知识库 和 匿名化)会打开 Security AI 设置 页面的相应选项卡。聊天选项 会影响仅显示的用户的设置:是否显示或隐藏匿名值,以及是否包含引文。启用引文后,AI 助手会将您引导至信息来源,包括您与其共享的数据、您添加到知识库的信息以及 Elastic 的 Security Labs 和产品文档中的内容。
Security AI 设置 页面为 AI 助手提供了一系列配置选项。要直接访问它,请使用全局搜索字段搜索“Security 的 AI 助手”。
它具有以下选项卡
- 对话: 当您从某些页面(例如告警)打开 AI 助手时,它会默认使用相关的对话类型。对于每种对话类型,请选择默认的系统提示、默认连接器以及默认模型(如果适用)。流式传输设置控制 AI 助手的响应是逐字显示(流式传输),还是显示为完整的文本块。目前,流式传输仅适用于 OpenAI 模型。
- 连接器: 管理所有 LLM 连接器。
- 系统提示: 编辑现有系统提示或创建新的系统提示。要创建新的系统提示,请在名称字段中键入唯一的名称,然后按 Enter 键。在提示下,输入或更新系统提示的文本。在上下文下,选择系统提示应显示的位置。
- 快速提示: 修改现有快速提示或创建新的快速提示。要创建新的快速提示,请在名称字段中键入唯一的名称,然后按 Enter 键。在提示下,输入或更新快速提示的文本。
- 匿名化: 选择要作为纯文本包含、混淆以及在将事件作为上下文提供给 AI 助手时不发送的字段。 了解更多。
- 知识库: 向 AI 助手提供更多上下文。 了解更多。
要修改匿名化设置,您需要拥有 Elastic AI Assistant: All 权限,并且启用自定义子功能权限。
Security AI 设置菜单的匿名化选项卡允许您为发送给 AI 助手的事件定义默认的数据匿名化行为。启用允许切换的字段将包含在提供给 AI 助手的事件中。 允许字段中已匿名化设置为是的字段也会包含,但其值会被混淆。
您可以直接从攻击发现页面访问匿名化设置,方法是单击模型选择下拉菜单旁边的设置(
)按钮。
此列表中的字段是最有可能为 AI 助手提供相关上下文的字段。启用允许切换的字段将包含在内。 允许字段中已匿名化设置为是的字段也会包含,但其值会被混淆。
显示已匿名化切换控制您看到的是发送给 AI 助手的字段的混淆版本还是纯文本版本。 它不控制混淆的内容 - 这由匿名化设置决定。 它也不会影响事件字段在发送到 AI 助手之前的显示方式。 相反,它控制的是已发送和混淆的字段如何向您显示。
当您包含特定事件作为上下文时,例如来自“告警”页面的告警,您可以调整特定事件的匿名化行为。 在发送带有附加事件的消息之前,请确保匿名化行为符合您的规范。
Security AI 设置页面的知识库选项卡允许您启用 AI 助手以记住指定的信息,并将其用作上下文以提高响应质量。 要了解更多信息,请参阅 AI 助手知识库。
Elastic AI 助手允许您充分利用 Elastic Security 平台来改善您的安全运营。 它可以帮助您为特定用例编写 ES|QL 查询,或回答有关如何使用该平台的一般问题。 它协助您的能力取决于您问题的具体性和详细程度。 您提供的上下文和细节越多,其响应就越量身定制且更有用。
为了最大限度地提高其用处,请考虑使用更详细的提示或要求提供更多信息。 例如,在要求提供 ES|QL 查询示例后,您可以提出一个后续问题,例如“您能给我一些其他示例吗?” 您还可以要求澄清或进一步阐述,例如“提供注释来解释您刚刚给出的查询。”
除了实用建议外,AI 助手还可以提供概念性建议、技巧和最佳实践,以增强您的安全措施。 例如,您可以问它
- “如何在 Elastic Security 中设置机器学习作业来检测随时间推移的网络流量异常?”
- “我需要监控可能表明勒索软件活动的不寻常文件创建模式。 我将如何使用 EQL 构建此查询?”