« AI 安全 AI 助手知识库 »
Elastic 文档 Elastic 安全解决方案 [8.16] AI 安全

AI 助手

编辑

AI 助手

编辑

Elastic AI 助手利用生成式 AI 来增强您的网络安全运营团队。它允许用户使用自然语言与 Elastic Security 交互,执行警报调查、事件响应和查询生成或转换等任务,以及更多功能。

Image of AI Assistant chat window

Elastic AI 助手旨在通过智能对话增强您的分析能力。其功能仍在不断发展中。用户应谨慎使用,因为其响应质量可能会有所不同。您的见解和反馈将帮助我们改进此功能。请务必交叉验证 AI 生成的建议的准确性。

需求

  • Elastic AI 助手和生成式 AI 连接器在 Elastic Stack 8.8.1 及更高版本中可用。生成式 AI 连接器在 8.11.0 中更名为 OpenAI 连接器。
  • 此功能需要企业版订阅
  • 要使用 AI 助手,您至少需要Elastic AI 助手:全部操作和连接器:读取权限
  • 要设置 AI 助手,您需要操作和连接器:全部权限
  • 您需要一个生成式 AI 连接器,AI 助手使用它来生成响应。

您的数据和 AI 助手

编辑

Elastic 不会存储或检查 AI 助手使用的提示或结果,也不会将此数据用于模型训练。这包括您发送给模型的任何内容,例如警报或事件数据、检测规则配置、查询和提示。但是,您提供给 AI 助手的任何数据都将由您在 AI 助手设置过程中连接到的第三方大型语言模型 (LLM) 提供商进行处理。

Elastic 不控制第三方工具,不对其内容、操作或使用承担任何责任或义务,也不对因您使用此类工具而可能造成的任何损失或损害负责。使用 AI 工具处理个人、敏感或机密信息时,请务必谨慎。您提交的任何数据都可能被提供商用于 AI 训练或其他用途。无法保证提供商会将您提供的信息保密或安全。在使用任何生成式 AI 工具之前,您应该熟悉其隐私实践和使用条款。

Elastic 可以自动匿名化您作为上下文提供给 AI 助手的事件数据。要了解更多信息,请参阅配置 AI 助手

设置 AI 助手

编辑

在使用 AI 助手之前,您必须创建一个生成式 AI 连接器。AI 助手可以连接到多个大型语言模型 (LLM) 提供商,以便您可以选择最适合您需求的模型。要设置连接器,请参阅LLM 连接器设置指南

推荐模型

虽然 AI 助手兼容许多不同的模型,但请参阅大型语言模型性能矩阵,以选择与您所需用例性能良好的模型。

开始聊天

编辑

要打开 AI 助手,请在 Elastic Security 应用程序的任何位置,从顶部工具栏中选择AI 助手按钮。您也可以使用键盘快捷键Cmd + ;(或 Windows 上的Ctrl + ;)。

AI Assistant button

这将打开欢迎聊天界面,您可以在其中询问有关 Elastic Security 的一般问题。

您还可以从 Elastic Security 的几个特定页面与 AI 助手聊天,您可以在这些页面轻松地将特定于上下文的的数据和提示发送给 AI 助手。

  • 警报详细信息或事件详细信息弹出窗口:查看警报或事件的详细信息时,单击聊天
  • 规则页面:使用 AI 助手来帮助创建或更正规则查询。
  • 数据质量仪表盘:选择不兼容字段选项卡,然后单击聊天。(这仅适用于标记为红色的字段,表示它们不兼容)。
  • 时间线:选择安全助手选项卡。

每个用户的聊天记录(最多最近 99 次对话)和自定义快速提示会自动保存,因此您可以离开 Elastic Security 并稍后返回对话。聊天记录显示在 AI 助手聊天窗口的左侧,以及AI 助手设置菜单的对话选项卡上。要访问设置菜单,请使用全局搜索字段搜索“AI 安全助手”。

与 AI 助手交互

编辑

使用这些功能来调整和处理您与 AI 助手的对话

  • (可选) 通过使用选择提示菜单,在对话开始时选择一个系统提示。系统提示为模型提供上下文,告知其响应。要创建系统提示,请打开系统提示下拉菜单并单击+ 添加新的系统提示…​

  • (可选) 在聊天窗口底部选择一个快速提示,以获得有关编写特定用途提示的帮助,例如总结警报或将查询从旧版 SIEM 转换为 Elastic Security。

    Quick Prompts highlighted below a conversation

  • 系统提示和快速提示也可以从安全 AI 设置页面的相应选项卡进行配置。

    The Security AI settings menu’s System Prompts tab
  • 快速提示的可用性因上下文而异——例如,当您在查看警报时打开 AI 助手时,会显示警报摘要快速提示。要自定义现有快速提示并创建新的快速提示,请单击添加快速提示

  • 在活动对话中,您可以使用消息上显示的内联操作将 AI 助手的响应纳入您的工作流程

    • 添加到时间线 (添加笔记图标): 将选定文本作为笔记添加到您当前活动的时间线。
    • 添加到现有案例 (添加到案例图标): 使用选定文本向现有案例添加评论。
    • 复制到剪贴板 (复制到剪贴板图标): 将文本复制到剪贴板以粘贴到其他位置。对于重新提交之前的提示也很有用。
    • 添加到时间线 (添加到时间线图标): 使用文本将过滤器或查询添加到时间线。此按钮会显示在 AI 助手响应中的特定查询中。

请务必指定您希望 AI 助手在编写查询时使用的语言。例如:“你能生成一个事件查询语言查询来查找四个失败的登录尝试后跟一个成功的登录吗?”

AI 助手可以记住您告诉它记住的特定信息。例如,您可以告诉它:“在回答关于 srv-win-s1-rsa 或引用它的任何警报的问题时,请提及此主机位于纽约数据中心”。这将使其记住您突出显示的细节。

配置 AI 助手

编辑

安全 AI 设置页面允许您配置 AI 助手。要访问它,请使用全局搜索字段搜索“AI 安全助手”。

它具有以下选项卡

  • 对话:当您从某些页面(例如时间线警报)打开 AI 助手时,它默认为相关的对话类型。对于每种对话类型,请选择默认系统提示、默认连接器和默认模型(如果适用)。流式传输设置控制 AI 助手的响应是逐字显示(流式传输),还是作为完整的文本块显示。流式传输目前仅适用于 OpenAI 模型。
  • 连接器:管理所有 LLM 连接器。
  • 系统提示:编辑现有系统提示或创建新的系统提示。要创建新的系统提示,请在名称字段中键入唯一的名称,然后按Enter键。在提示下,输入或更新系统提示的文本。在上下文下,选择系统提示应显示的位置。
  • 快速提示:修改现有快速提示或创建新的快速提示。要创建新的快速提示,请在名称字段中键入唯一的名称,然后按Enter键。在提示下,输入或更新快速提示的文本。
  • 匿名化:选择要包含为纯文本、要模糊处理以及在将事件作为上下文提供给 AI 助手时不发送的字段。了解更多
  • 知识库:为 AI 助手提供其他上下文。了解更多

匿名化

编辑

需求

要修改匿名化设置,您需要Elastic AI 助手:全部权限,并启用自定义子功能权限

安全 AI 设置菜单的匿名化选项卡允许您定义发送给 AI 助手的事件的默认数据匿名化行为。已启用允许切换的字段包含在提供给 AI 助手的事件中。允许字段设置为匿名化包含在内,但其值已被模糊处理。

您可以通过单击模型选择下拉菜单旁边的设置(设置图标)按钮,直接从攻击发现页面访问匿名化设置。

AI Assistant’s settings menu

此列表中的字段最有可能为 AI 助手提供相关上下文。已启用允许的字段将被包含。允许匿名化设置为的字段也将被包含,但其值会被模糊处理。

显示匿名化开关控制您查看发送到 AI 助手的字段的模糊处理版本还是明文版本。它不控制哪些内容会被模糊处理——这由匿名化设置决定。它也不会影响事件字段在发送到 AI 助手之前的显示方式。相反,它控制已发送并经过模糊处理的字段如何显示给您。

当您包含特定事件作为上下文时,例如来自“警报”页面的警报,您可以调整特定事件的匿名化行为。请确保匿名化行为符合您的规范,然后再发送包含该事件的消息。

知识库

编辑

安全 AI 设置页面中的知识库选项卡允许您启用 AI 助手记住指定信息,并将其用作上下文来提高响应质量。要了解更多信息,请参考AI 助手知识库

充分利用您的查询

编辑

Elastic AI 助手允许您充分利用 Elastic Security 平台来改进您的安全操作。它可以帮助您为特定用例编写 ES|QL 查询,或回答有关如何使用该平台的常规问题。它协助您的能力取决于您问题的具体性和细节。您提供的信息和细节越多,其响应就越定制化和有用。

为了最大限度地提高其效用,请考虑使用更详细的提示或请求更多信息。例如,在请求 ES|QL 查询示例后,您可以提出后续问题,例如:“您能否提供其他一些示例?”您还可以要求澄清或进一步解释,例如“请提供解释您刚才给出的查询的注释”。

除了实用建议外,AI 助手还可以提供概念性建议、技巧和最佳实践,以增强您的安全措施。例如,您可以询问:

  • “如何在 Elastic Security 中设置机器学习作业以检测一段时间内网络流量量的异常?”
  • “我需要监控可能表明勒索软件活动的异常文件创建模式。我该如何使用 EQL 构造此查询?”
« AI 安全 AI 助手知识库 »