识别、调查和记录威胁

结合使用 Elastic AI 助手 和 攻击发现，可以帮助您识别和缓解威胁、调查事件，并生成多种语言的事件报告，从而监控和保护您的环境。

在本指南中，您将学习如何

攻击发现可以通过查找可能指示协同攻击的告警之间的关系来检测各种威胁。这使您能够理解威胁如何在您的系统中移动并影响您的系统。攻击发现会生成每个潜在威胁的详细摘要，作为进一步分析的基础。了解如何开始使用攻击发现。

在上面的示例中，攻击发现找到了 13 个告警之间的联系，并使用它们来识别和描述攻击链。

在攻击发现概述了您的威胁态势之后，使用 Elastic AI 助手快速详细分析威胁。

在攻击发现页面的发现中，单击 在 AI 助手中查看 以启动一个包含发现作为上下文的聊天。

AI 助手可以快速编译基本数据并提供建议，以帮助您生成事件报告并计划有效的响应。您可以要求它提供相关数据或回答问题，例如“如何修复此威胁？”或“哪个 ES|QL 查询会隔离此用户采取的操作？”

上图显示了 AI 助手响应用户提示而生成的 ES|QL 查询。了解有关 使用 AI 助手进行 ES|QL 的更多信息。

在与 AI 助手的对话中的任何时候，您都可以将数据、叙述性摘要以及其响应中的其他信息添加到 Elastic Security 的案例管理系统中以生成事件报告。

在 AI 助手对话窗口中，单击消息旁边的 添加到案例 () ，将该消息中的信息添加到案例。案例有助于将相关详细信息集中在一个地方，以便于与利益相关者共享。

如果您将包含发现的消息添加到案例中，AI 助手会自动将攻击摘要和所有关联的告警添加到案例中。您还可以将包含修复步骤和相关数据的 AI 助手消息添加到案例中。

AI 助手可以将它的发现翻译成其他自然语言，从而帮助全球安全团队进行协作，并使在多语言组织中进行操作变得更加容易。

在 AI 助手以一种语言提供信息后，您可以要求它翻译其响应。例如，如果它提供了事件的修复步骤，您可以指示它“将这些修复步骤翻译成日语”。然后，您可以将翻译后的输出添加到案例中。这可以帮助团队成员接收相同的信息和见解，而无需考虑他们的主要语言。