告警分流
编辑告警分流
编辑Elastic AI 助手可以帮助您评估环境中最近的多个告警,并帮助您解释告警及其上下文,从而增强和简化您的告警分流工作流程。
当您在 Elastic Security 中查看告警时,相关文档、主机和用户等详细信息会与触发告警的事件概要一起显示。 这些数据为理解潜在威胁提供了一个起点。AI 助手可以回答有关此数据的问题,并提供见解和可行的建议来补救问题。
要使 AI 助手能够回答有关告警的问题,您需要为您的提示提供告警数据作为上下文。 您可以使用知识库功能提供多个告警,或者直接提供单个告警。
使用 AI 助手分流多个告警
编辑启用知识库告警设置,将最多 500 个告警的数据作为每个提示的上下文发送给 AI 助手。 使用安全 AI 设置的知识库选项卡上的滑块来选择要发送给 AI 助手的告警数量。
有关更多信息,请参阅知识库。
使用 AI 助手分流特定告警
编辑选择要调查的告警后
- 在“告警”表中单击其查看详情按钮。
- 在告警详情弹出窗口中,单击聊天以启动 AI 助手。 与所选告警相关的数据会自动添加到提示中。
-
单击告警(来自摘要)以查看哪些告警字段将与 AI 助手共享。
有关选择要发送的字段以及了解如何匿名化数据的更多信息,请参阅AI 助手。
-
(可选)单击快速提示将其用作查询的起点,例如告警摘要。 通过自定义提示并添加详细信息来提高 AI 助手响应的质量。
提交查询后,AI 助手将处理信息并提供详细的响应。 根据您的提示和您包含的告警数据,其响应可以包括对告警的全面分析,重点介绍潜在威胁的性质、潜在影响和建议的响应操作等关键要素。
- (可选)向 AI 助手提出后续问题,提供其他信息以进行进一步分析,并请求澄清。 响应不是静态报告。
生成分流报告
编辑Elastic AI 助手可以通过提供安全事件的清晰记录、其范围和影响以及您的补救工作,从而简化文档和报告生成过程。您可以使用 AI 助手为利益相关者创建摘要或报告,其中包含关键事件详细信息、发现结果和图表。 一旦 AI 助手完成对一个或多个告警的分析,您就可以使用如下提示生成报告
- “生成一份关于此事件的详细报告,包括时间线、影响分析和响应操作。 此外,还包括事件图表。”
- “生成此事件/告警的摘要,并包括事件图表。”
- “提供有关所用缓解策略的更多详细信息。”
查看报告后,单击 AI 助手响应顶部的添加到现有案例。 这允许您保存报告的记录并使其对您的团队可用。
