自动导入
编辑自动导入
编辑此功能处于技术预览阶段。它将来可能会发生变化,在生产环境中使用时应谨慎。Elastic 将努力解决任何问题,但技术预览中的功能不受 GA 功能的支持 SLA 的约束。
自动导入可帮助您快速解析、导入和为尚未预构建 Elastic 集成的来源数据创建ECS 映射。这可以加快您迁移到 Elastic Security 的速度,并帮助您快速将新的数据源添加到 Elastic Security 中现有的 SIEM 解决方案中。自动导入使用大型语言模型 (LLM) 和专门的指令来快速分析您的源数据并创建自定义集成。
虽然 Elastic 有 400 多个预构建数据集成,但自动导入可帮助您将数据覆盖范围扩展到其他安全相关的技术和应用程序。Elastic 集成(包括由自动导入创建的集成)将数据规范化为Elastic 通用模式 (ECS),这在仪表板、搜索、警报、机器学习等方面创造了一致性。
点击此处访问交互式演示,在自行设置之前了解此功能的实际操作。
使用自动导入允许用户通过使用第三方生成式 AI 模型(“GAI 模型”)创建新的第三方数据集成。您选择使用的任何第三方 GAI 模型均由其各自提供商拥有和运营。Elastic 不拥有或控制这些第三方 GAI 模型,也不影响其设计、培训或数据处理实践。您自行决定是否将第三方 GAI 模型与 Elastic 解决方案一起使用,以及是否将您的数据与第三方 GAI 模型一起使用。对于这些第三方 GAI 模型的内容、运行或使用,以及因其使用而造成的任何潜在损失或损害,Elastic概不负责。建议用户在将 GAI 模型与个人、敏感或机密信息一起使用时谨慎,因为提交的数据可能用于训练模型或用于其他目的。Elastic 建议您在使用之前熟悉任何第三方 GAI 模型的开发实践和使用条款。您有责任确保您对自动导入的使用符合您连接的任何第三方平台的条款和条件。
创建新的自定义集成
编辑- 在 Elastic Security 中,点击添加集成。
-
在找不到集成?下,点击创建新的集成。
- 点击创建集成。
- 选择一个LLM 连接器。
- 通过提供标题、描述和徽标来定义新的集成在集成页面上的显示方式。点击下一步。
- 定义集成包名,它将作为导入事件字段的前缀。
- 定义您的数据流标题、数据流描述和数据流名称。这些字段显示在集成的配置页面上,以帮助识别它写入的数据流。
- 选择您的数据收集方法。这决定了新的集成将如何摄取数据(例如,来自 S3 存储桶、HTTP 端点或文件流)。
-
上传您的数据样本。确保包含您希望新集成处理的所有类型的事件。
- 点击分析日志,然后等待处理完成。这可能需要几分钟。
-
处理完成后,将显示管道的字段映射,包括 ECS 和自定义字段。
-
(可选) 在查看建议的管道后,您可以通过点击编辑管道来微调它。请参考Elastic Security ECS 参考,了解有关格式化字段映射的更多信息。当您对更改满意后,点击保存。
-
点击添加到 Elastic。出现成功消息后,您的新集成将出现在集成页面上。
- 点击添加到代理以部署您的新集成并开始收集数据,或点击查看集成以查看有关您的新集成的详细信息。
添加集成后,您只能编辑摄取管道(您可以通过转到堆栈管理 → 摄取管道来编辑)。
您可以使用数据质量仪表板来检查数据摄取管道和字段映射的运行状况。