警报分类
编辑警报分类
编辑Elastic AI 助手可以帮助您增强和简化警报分类工作流程,方法是评估环境中最近的多个警报,并帮助您解释警报及其上下文。
当您在 Elastic Security 中查看警报时,相关文档、主机和用户的详细信息以及触发警报的事件摘要会一起显示。这些数据为理解潜在威胁提供了起点。AI 助手可以回答有关这些数据的问题,并提供见解和可操作的建议来修复问题。
要使 AI 助手能够回答有关警报的问题,您需要提供警报数据作为提示的上下文。您可以使用 知识库 功能提供多个警报,也可以直接提供单个警报。
使用 AI 助手分类多个警报
编辑启用 知识库 警报 设置,以便将最多 500 个警报的数据发送给 AI 助手,作为每个提示的上下文。使用安全 AI 设置的 知识库 选项卡上的滑块选择要发送到 AI 助手的警报数量。
有关更多信息,请参阅 知识库。
使用 AI 助手分类特定警报
编辑选择要调查的警报后
- 从“警报”表中单击其 查看详细信息 按钮。
- 在警报详细信息弹出窗口中,单击 聊天 以启动 AI 助手。与所选警报相关的数据会自动添加到提示中。
-
单击 警报(来自摘要) 以查看将与 AI 助手共享哪些警报字段。
有关选择要发送的字段以及了解数据匿名化的更多信息,请参阅 AI 助手。
-
(可选)单击快速提示以将其用作查询的起点,例如 警报摘要。通过自定义提示并添加详细信息来提高 AI 助手响应的质量。
提交查询后,AI 助手将处理信息并提供详细的响应。根据您的提示和您包含的警报数据,其响应可能包含对警报的全面分析,其中突出显示关键要素,例如潜在威胁的性质、潜在影响和建议的响应操作。
- (可选)向 AI 助手提出后续问题,提供更多信息以进行进一步分析,并请求澄清。响应不是静态报告。
生成分类报告
编辑Elastic AI 助手可以通过提供安全事件、其范围和影响以及您的补救措施的清晰记录来简化文档和报告生成过程。您可以使用 AI 助手为利益相关者创建包含关键事件详细信息、发现和图表的摘要或报告。AI 助手完成对一个或多个警报的分析后,您可以使用以下提示生成报告:
- “生成有关此事件的详细报告,包括时间线、影响分析和响应操作。此外,还包括事件图表。”
- “生成此事件/警报的摘要,并包含事件图表。”
- “提供有关所用缓解策略的更多详细信息。”
查看报告后,单击 AI 助手响应顶部的 添加到现有案例。这使您可以保存报告记录并使其可供您的团队使用。
