识别、调查和记录威胁
Elastic Stack 无服务器安全
通过 Elastic AI 助手 和 攻击发现,您可以识别和缓解威胁,调查事件,并以各种语言生成事件报告,以便您可以监控和保护您的环境。
在本指南中,您将学习如何
攻击发现可以通过查找警报之间的关系来检测各种威胁,这些关系可能表明协同攻击。 这使您能够理解威胁如何在您的系统中移动并影响您的系统。 攻击发现会生成每个潜在威胁的详细摘要,并可以突出显示进一步调查的途径。 了解如何开始使用攻击发现。
为了确保攻击发现一起分析相关的警报(因此可以识别它们之间的联系),请注意警报过滤设置。 这允许您将攻击发现定位到特定的警报组,例如与特定主机、用户、日期和时间、事件或客户相关的警报组。
在上面的示例中,攻击发现找到了十三个警报之间的联系,并使用它们来识别和描述攻击链。
在攻击发现概述了您的威胁态势后,使用 Elastic AI 助手快速详细地分析威胁。
从攻击发现页面上的发现中,单击“在 AI 助手中查看”以开始一个包含发现作为上下文的聊天。
AI 助手可以快速编译基本数据并提供建议,以帮助您生成事件报告并计划有效的响应。 您可以要求它提供相关数据或回答问题,例如“我该如何补救此威胁?”或“什么 ES|QL 查询可以隔离此用户采取的操作?”
上图显示了 AI 助手响应用户提示生成的 ES|QL 查询。 了解更多关于使用 AI 助手进行 ES|QL。
在与 AI 助手的对话中的任何时候,您都可以从其响应中添加数据、叙述性摘要和其他信息到 Elastic Security 的案例管理系统,以生成事件报告。
从 AI 助手对话窗口中,单击添加到案例(
)消息旁边的选项,将该消息中的信息添加到案例。 案例有助于将相关细节集中在一个地方,以便与利益相关者轻松共享。
如果您将包含发现的消息添加到案例中,AI 助手会自动将攻击摘要和所有关联的警报添加到案例中。 您还可以将包含补救步骤和相关数据的 AI 助手消息添加到案例中。
AI 助手可以将其发现翻译成其他人类语言,帮助在全球安全团队之间实现协作,并使其更易于在多语言组织内运作。
在 AI 助手以一种语言提供信息后,您可以要求它翻译其响应。 例如,如果它提供了事件的补救步骤,您可以指示它“将这些补救步骤翻译成日语”。 然后,您可以将翻译后的输出添加到案例中。 这可以帮助团队成员接收相同的信息和见解,无论他们的主要语言是什么。
在我们的内部测试中,AI 助手翻译保留了原始内容的准确性。 但是,所有 LLM 都可能犯错,因此请谨慎使用。