AI 用例

Elastic Stack 无服务器安全性

本节中的指南描述了 AI Assistant 和 Attack discovery 的示例工作流程。请参考它们以了解每个工具的各项功能以及它们如何协同工作。

• 警报分类
• 识别、调查和记录威胁
• 生成、自定义和学习 ES|QL 查询

有关常规信息，请参阅 AI Assistant 或 Attack discovery。

除了 AI Assistant 和 Attack Discovery 之外，Elastic Security 还为特定用例提供了其他几种 AI 驱动的工具。这些包括

• 自动导入：帮助您快速解析、提取和创建 ECS 映射，用于来自尚无预构建 Elastic 集成的数据源。这可以加速您迁移到 Elastic Security 的过程，并帮助您快速将新的数据源添加到 Elastic Security 中现有的 SIEM 解决方案。
• 自动迁移：帮助您快速将 SIEM 规则从 Splunk Processing Language (SPL) 转换为 Elasticsearch Query Language (ES|QL)。如果存在可比较的 Elastic 编写的规则，它会通过将您的规则映射到它们来简化入门。否则，它会动态创建自定义规则，以便您可以验证和编辑它们，而不是从头开始编写它们。
• 自动故障排除：通过分析来自主机的事件日志文件来确定是否存在防病毒软件，从而帮助您快速检查您的端点是否安装了第三方 AV 软件。从那里，您可以解决任何不兼容问题，以确保您的端点受到保护。