正在加载

分类告警

Elastic Stack 无服务器安全

Elastic AI 助手可以通过评估您环境中多个最近的告警,并帮助您解读告警及其上下文,来增强和简化您的告警分类工作流程。

当您在 Elastic Security 中查看告警时,相关文档、主机和用户等详细信息会与触发告警的事件概要一起显示。此数据为理解潜在威胁提供了一个起点。 AI 助手可以回答有关此数据的问题,并提供见解和可行的建议来补救问题。

要使 AI 助手能够回答有关告警的问题,您需要提供告警数据作为提示的上下文。 您可以使用知识库功能提供多个告警,或者直接提供单个告警。

启用知识库中的 告警 设置,以便为您的每个提示发送最多 500 个告警的数据给 AI 助手作为上下文。 使用 Security AI 设置的 知识库 标签上的滑块来选择要发送给 AI 助手的告警数量。

有关更多信息,请参阅知识库

一旦您选择了要调查的告警

  1. 从告警表中单击其 查看详情 按钮。

  2. 在告警详细信息弹出窗口中,单击 聊天 以启动 AI 助手。 与所选告警相关的数据会自动添加到提示中。

  3. 单击 告警(来自摘要) 以查看将与 AI 助手共享哪些告警字段。

    注意

    有关选择要发送的字段以及了解如何匿名化您的数据的更多信息,请参阅AI 助手

  4. (可选)单击快速提示以将其用作查询的起点,例如 告警摘要 。 通过自定义提示并添加详细信息来提高 AI 助手响应的质量。

    提交查询后,AI 助手将处理信息并提供详细的响应。 根据您的提示和您包含的告警数据,其响应可能包括对告警的全面分析,突出显示关键要素,例如潜在威胁的性质、潜在影响和建议的响应措施。

  5. (可选)向 AI 助手提出后续问题,提供更多信息以进行进一步分析,并请求澄清。 响应不是静态报告。

Elastic AI 助手可以通过提供安全事件、其范围和影响以及您的补救工作的清晰记录来简化文档编制和报告生成过程。 您可以使用 AI 助手为利益相关者创建摘要或报告,其中包括关键事件详细信息、调查结果和图表。 AI 助手完成对一个或多个告警的分析后,您可以使用如下提示生成报告

  • “生成有关此事件的详细报告,包括时间线、影响分析和响应措施。 另外,包括事件图表。”
  • “生成此事件/告警的摘要,并包括事件图表。”
  • “提供有关所用缓解策略的更多详细信息。”

查看报告后,单击 AI 助手响应顶部的 添加到现有案例 。 这使您可以保存报告记录并将其提供给您的团队。

An AI Assistant dialogue with the add to existing case button highlighted
© . All rights reserved.