« AI 助手 攻击发现 »
Elastic 文档 Elastic 安全解决方案 [8.16] AI 用于安全 AI 助手

AI 助手知识库

编辑

AI 助手知识库

编辑

AI 助手知识库功能使 AI 助手能够回忆起特定的文档和其他指定的信息。这些信息可以包括从数据中心位置到最新的威胁研究等所有内容,它提供了额外的上下文,可以提高 AI 助手对您查询的响应质量。本主题描述了如何启用知识库并向其添加信息。

从 Elastic Security 8.15 版本升级到更高版本时,AI 助手先前存储的信息将丢失。

需求

  • 要使用知识库,您需要 Elastic AI 助手:全部 权限。要编辑全局知识库条目(将影响 Kibana 空间中其他用户 AI 助手体验的信息),您需要 允许更改全局条目 权限。
  • 您必须 启用机器学习,并且最小 ML 节点大小为 4 GB。

知识库的基于角色的访问控制 (RBAC)

编辑

Elastic AI 助手:全部 角色权限允许您使用 AI 助手并访问其设置。它有两个子权限:字段选择和匿名化,允许您自定义发送到 AI 助手和攻击发现的警报字段;以及 知识库,允许您编辑和创建新的知识库条目。

Knowledge base’s RBAC settings

启用知识库

编辑

有两种方法可以启用知识库。

您必须为要使用知识库的每个 Kibana 空间单独启用它。

选项 1:从 AI 助手对话中启用知识库
编辑

与 AI 助手开始对话,选择大型语言模型,然后单击 设置知识库。如果该按钮没有出现,则表示知识库已启用。

An AI Assistant conversation showing the Setup Knowledge Base button

知识库设置可能需要几分钟。如果您关闭对话,它将在后台继续进行。设置完成后,您可以从 AI 助手的对话设置菜单访问知识库设置(单击模型选择下拉菜单旁边的三个点按钮可访问对话设置菜单)。

AI Assistant’s dropdown menu with the Knowledge Base option highlighted
选项 2:从安全 AI 设置中启用知识库
编辑
  1. 要打开安全 AI 设置,请使用 全局搜索字段 查找“AI 助手用于安全”。
  2. 知识库 选项卡上,单击 设置知识库。如果该按钮没有出现,则表示知识库已启用。
AI Assistant’s settings menu open to the Knowledge Base tab

警报的知识库

编辑

启用知识库后,AI 助手会接收来自您环境中过去 24 小时的 已打开已确认 警报。它将这些用作您每个提示的上下文。这使它能够回答有关您环境中多个警报的问题,而不仅仅是您选择发送给它的单个警报。它接收按风险评分排序,然后按最近生成的顺序排列的警报。构建块警报除外。

要为警报启用知识库

  1. 确保知识库已 启用
  2. 使用安全 AI 设置的“知识库”选项卡上的滑块来选择要发送到 AI 助手警报的数量。单击 保存

包含大量警报可能会导致您的请求超过第三方生成式 AI 提供商的最大令牌长度。如果发生这种情况,请尝试选择要发送的警报数量减少。

添加知识

编辑

要查看所有知识库条目,请转到安全 AI 设置并选择 知识库 选项卡。您可以添加包含多个文档的单个文档或整个索引。知识库中的每个条目(文档或索引)都有一个 共享 设置,为 私有全局。私有条目仅适用于当前用户,不会影响 Kibana 空间中的其他用户,而全局条目则会影响所有用户。每个条目还可以具有 所需知识 设置,这意味着它将作为发送到 AI 助手的所有消息的上下文包含。

启用知识库时,它会预先填充来自 Elastic 安全实验室 的文章,截止到 2024 年 9 月 30 日,这使 AI 助手能够在您的对话中利用 Elastic 的安全研究。这使其能够回答诸如“在调查我的警报时,有哪些针对 Windows 主机的新战术需要注意?”之类的问题。

添加单个文档
编辑

当您希望 AI 助手记住特定信息时,请向知识库添加单个文档。

  1. 要打开安全 AI 设置,请使用 全局搜索字段 查找“AI 助手用于安全”。选择 知识库 选项卡。
  2. 单击 新建 → 文档 并为其命名。
  3. 共享 下,选择此知识应该是 全局 还是 私有
  4. Markdown 文本 字段中编写 AI 助手应该记住的知识。
  5. Markdown 文本 字段中,输入您希望 AI 助手记住的信息。
  6. 如果它应该是 所需知识,请选择该选项。否则,将其留空。或者,您可以简单地向 AI 助手发送一条消息,指示它“记住”该信息。例如,“记住我今天,2024 年 10 月 24 日更改了我的密码”,或“记住在调查潜在威胁时我们始终使用威胁狩猎时间线模板”。以这种方式创建的条目对您是私有的。默认情况下,它们不是必需的知识,但您可以通过指示 AI 助手“始终记住”来使它们成为必需的知识,例如“始终记住称呼我为夫人”,或“始终记住我们的主要数据中心位于德克萨斯州奥斯汀”。

请参阅以下视频,了解从设置菜单向知识库添加文档的示例。


添加索引
编辑

当您希望添加到该索引的新信息自动告知 AI 助手的响应时,请添加索引作为知识来源。常见的安全示例包括资产清单、网络配置信息、值班矩阵、威胁情报报告和漏洞扫描。

添加到知识库的索引必须至少有一个字段映射为 语义文本

  1. 要打开安全 AI 设置,请使用 全局搜索字段 查找“AI 助手用于安全”。选择 知识库 选项卡。
  2. 单击 新建 → 索引
  3. 命名知识来源。
  4. 共享 下,选择此知识应该是 全局 还是 私有
  5. 索引 下,输入要用作知识来源的索引的名称。
  6. 字段 下,输入索引中一个或多个语义文本字段的名称。
  7. 数据描述 下,描述 AI 助手何时应使用此信息。
  8. 查询指令 下,描述 AI 助手如何查询此索引以检索相关信息。
  9. 输出字段 下,列出应发送到 AI 助手字段。如果未列出任何字段,则将发送所有字段。
Knowledge base’s Edit index entry menu

请参阅以下视频,了解向知识库添加索引的示例。


« AI 助手 攻击发现 »