8.16 新特性

以下是 Elastic Security 中新增和改进功能的亮点。有关此版本的详细信息，请查看我们的发行说明。

其他版本：8.15 | 8.14 | 8.13 | 8.12 | 8.11 | 8.10 | 8.9 | 8.8 | 8.7 | 8.6 | 8.5 | 8.4 | 8.3 | 8.2 | 8.1 | 8.0 | 7.17 | 7.16 | 7.15 | 7.14 | 7.13 | 7.12 | 7.11 | 7.10 | 7.9

自动导入现在可以使用更多种类的LLM，并接受范围更广的常见格式的大型日志样本。

攻击发现现在可以一次分析多达 500 个告警，并提供更高质量的响应。

Elastic AI 助手的全新知识库功能允许您指定 AI 助手将记住并用作上下文的单个文档或整个索引。这提高了其响应的相关性、质量和自定义程度。

[预览版] 此功能处于技术预览阶段，可能在将来的版本中发生更改或删除。Elastic 将努力解决任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。 实体存储功能允许您查询、协调和维护来自各种来源的实体元数据，例如已摄取的日志、集成的身份提供商、外部资产存储库等等。通过从 Elastic Security 默认数据视图中的所有索引中提取和存储实体，实体存储允许您无需实时数据搜索即可查询实体元数据。

启用实体存储后，实体分析仪表板将显示实体部分，其中提供了环境中所有主机和用户的全面视图。您可以按其来源、实体风险级别和资产关键级别对其进行筛选。

启用资产关键性的高级设置已被删除，此功能现在默认可用。

您现在可以在多个 Kibana 空间中启用和运行实体风险评分。这允许您同时在不同的上下文中分析和监控实体风险。

当您使用文件上传功能批量分配资产关键性时，新分配的关键级别将在下一个小时的风险评分计算中自动考虑在内。您现在可以通过在文件上传过程中单击立即重新计算实体风险分数来手动触发实体风险分数的立即重新计算。

以前，安装和启用预构建规则需要两个步骤。现在，您可以使用安装并启用选项一步完成这两个步骤。这适用于单个规则和多个规则。

出于测试目的或额外的规则覆盖范围，手动运行规则。有关手动运行的详细信息（例如每次运行的状态、将发生的运行总数等）显示在规则详细信息页面的执行结果选项卡上。

查询冷数据层和冻结数据层的规则可能会执行速度变慢或失败。为了确保 Kibana 空间中的规则在执行时会排除冷数据层和冻结数据层的查询结果，请配置excludedDataTiersForRuleExecution 高级设置。

预览规则时，您还可以了解其 Elasticsearch 查询，这些查询是在规则运行时提交的。此信息可以帮助您识别和解决潜在的规则问题。您还可以使用它来确认您的规则是否正在检索预期的数据。此选项仅适用于 ES|QL 和 EQL 规则。

告警抑制功能现已普遍适用于指标匹配、阈值、机器学习、ES|QL 和新的术语规则类型。对于事件关联规则，它仍处于技术预览阶段。

您现在可以向告警、事件和时间线附加备注，并从备注页面管理它们。这提供了一种简单的方法，可以将备注整合到您的调查工作流程中，以协调响应、进行威胁狩猎和共享调查结果。

[预览版] 此功能处于技术预览阶段，可能在将来的版本中发生更改或删除。Elastic 将努力解决任何问题，但技术预览中的功能不受官方 GA 功能的支持 SLA 的约束。 通过启用新的securitySolution:enableVisualizationsInFlyout高级设置，您可以在告警详细信息浮层的可视化选项卡中查看已分析的告警和事件。这允许您在调查期间保持告警表的上下文，并提供了一种预览相关告警和事件的简便方法。

您现在可以调整告警和事件详细信息浮层的大小，并选择它们的显示方式——在告警表上方或旁边。

使用 Elastic 的SentinelOne 集成和连接器，可以执行其他第三方响应操作。

您现在可以将任何检测规则类型配置为执行 Elastic Defend 的自动化响应操作。

您现在可以将云安全数据从多个第三方来源（Falco、AWS Security Hub 和 Wiz）导入 Elastic Security。数据将显示在告警和发现页面以及用户和主机详细信息浮层中。

Elastic 的原生云安全态势管理 (CSPM)集成现在支持无代理部署，为您提供一种更轻松、更简化的方式来从您的云服务提供商收集态势数据。