识别、调查和记录威胁

Elastic AI 助理和攻击发现可以协同帮助您识别和缓解威胁、调查事件并生成多种语言的事件报告，以便您可以监控和保护您的环境。

在本指南中，您将学习如何

攻击发现可以通过查找可能表明协调攻击的警报之间的关系来检测各种威胁。这使您能够理解威胁如何通过您的系统并影响您的系统。攻击发现会生成每个潜在威胁的详细摘要，这可以作为进一步分析的基础。了解如何开始使用攻击发现。

在上面的示例中，攻击发现发现了 13 个警报之间的连接，并使用它们来识别和描述攻击链。

在攻击发现概述您的威胁环境后，使用 Elastic AI 助理快速详细分析威胁。

在攻击发现页面上的发现中，点击在 AI 助理中查看以开始一个包含发现作为上下文的聊天。

AI 助理可以快速汇编基本数据并提供建议，以帮助您生成事件报告并计划有效的响应。您可以要求它提供相关数据或回答问题，例如“如何修复此威胁？”或“哪个 ES|QL 查询可以隔离此用户执行的操作？”

上图显示了 AI 助理响应用户提示生成的 ES|QL 查询。详细了解如何将 AI 助理用于 ES|QL。

在与 AI 助理对话的任何时候，您都可以将来自其响应的数据、叙述性摘要和其他信息添加到 Elastic Security 的案例管理系统中，以生成事件报告。

在 AI 助理对话框窗口中，点击添加到案例（）旁边的消息，将该消息中的信息添加到案例中。案例有助于在一个地方集中相关详细信息，以便轻松与利益相关者共享。

如果您添加包含发现的消息到案例中，AI 助理会自动将攻击摘要和所有关联警报添加到案例中。您还可以将包含修复步骤和相关数据的 AI 助理消息添加到案例中。

AI 助理可以将其发现结果翻译成其他语言，帮助全球安全团队之间进行协作，并简化在多语言组织中的操作。

在 AI 助理用一种语言提供信息后，您可以要求它翻译其响应。例如，如果它提供了某个事件的修复步骤，您可以指示它“将这些修复步骤翻译成日语”。然后，您可以将翻译后的输出添加到案例中。这可以帮助团队成员无论其主要语言是什么，都能接收相同的信息和见解。