自动导入
编辑自动导入
编辑此功能为技术预览版。它未来可能会发生变化,在生产环境中使用时应谨慎。Elastic 将努力修复任何问题,但技术预览版的功能不受 GA 功能的支持 SLA 约束。
自动导入可以帮助您快速解析、摄取和为尚未拥有预构建 Elastic 集成的数据源创建 ECS 映射。这可以加速您迁移到 Elastic Security,并帮助您快速将新的数据源添加到 Elastic Security 中现有的 SIEM 解决方案。自动导入使用具有专门指令的大型语言模型 (LLM),以快速分析您的源数据并创建自定义集成。
尽管 Elastic 拥有 400 多个 预构建数据集成,但自动导入可以帮助您将数据覆盖范围扩展到其他与安全相关的技术和应用程序。Elastic 集成(包括自动导入创建的集成)将数据规范化为 Elastic 通用模式 (ECS),这在仪表板、搜索、警报、机器学习等方面创建了一致性。
点击此处访问交互式演示,该演示在您自己设置之前展示了该功能的工作原理。
使用自动导入允许用户通过使用第三方生成式 AI 模型(“GAI 模型”)来创建新的第三方数据集成。您选择使用的任何第三方 GAI 模型都由其各自的提供商拥有和运营。Elastic 不拥有或控制这些第三方 GAI 模型,也不影响它们的设计、训练或数据处理实践。在 Elastic 解决方案中使用第三方 GAI 模型,以及将您的数据与第三方 GAI 模型一起使用,由您自行决定。Elastic 对这些第三方 GAI 模型的内容、操作或使用不承担任何责任或义务,也不对因其使用而可能造成的任何损失或损害承担责任。建议用户在使用 GAI 模型处理个人、敏感或机密信息时谨慎行事,因为提交的数据可能会被用于训练模型或其他目的。Elastic 建议在使用任何第三方 GAI 模型之前,先熟悉其开发实践和使用条款。您有责任确保您对自动导入的使用符合您连接的任何第三方平台的条款和条件。
创建新的自定义集成
编辑- 在 Elastic Security 中,单击 添加集成。
-
在 找不到集成? 下,单击 创建新集成。
- 单击 创建集成。
- 选择一个 LLM 连接器。
- 通过提供 标题、描述 和 徽标,定义您的新集成在“集成”页面上的显示方式。单击 下一步。
- 定义您的集成的包名称,它将作为导入的事件字段的前缀。
- 定义您的 数据流标题、数据流描述 和 数据流名称。这些字段会显示在集成的配置页面上,以帮助识别它写入的数据流。
- 选择您的 数据收集方法。这决定了您的新集成将如何摄取数据(例如,从 S3 存储桶、HTTP 端点或文件流)。
-
上传您的数据样本。确保包含您希望新集成处理的所有类型的事件。
- 单击 分析日志,然后等待处理完成。这可能需要几分钟。
-
处理完成后,将显示管道的字段映射,包括 ECS 和自定义字段。
-
(可选)在查看建议的管道后,您可以通过单击 编辑管道 来对其进行微调。请参阅 Elastic Security ECS 参考,以了解有关格式化字段映射的更多信息。当您对更改感到满意时,单击 保存。
-
单击 添加到 Elastic。当出现 成功 消息后,您的新集成将在“集成”页面上可用。
- 单击 添加到代理 以部署您的新集成并开始收集数据,或者单击 查看集成 以查看有关您的新集成的详细信息。
添加集成后,您无法编辑除摄取管道之外的任何详细信息,您可以通过转到 Stack Management → 摄取管道 来编辑摄取管道。
您可以使用 数据质量仪表板 来检查您的数据摄取管道和字段映射的运行状况。