AI 助手
编辑AI 助手
编辑Elastic AI 助手利用生成式 AI 来增强您的网络安全运营团队。它允许用户与 Elastic Security 交互,执行诸如使用自然语言进行告警调查、事件响应以及查询生成或转换等任务,还有更多功能。
Elastic AI 助手旨在通过智能对话增强您的分析能力。其功能仍在开发中。用户应谨慎使用,因为其响应质量可能有所不同。您的见解和反馈将帮助我们改进此功能。请务必交叉验证 AI 生成的建议的准确性。
您的数据和 AI 助手
编辑Elastic 不会存储或检查 AI 助手使用的提示或结果,也不会将此数据用于模型训练。这包括您发送给模型的任何内容,例如告警或事件数据、检测规则配置、查询和提示。但是,您提供给 AI 助手的任何数据都将由您在 AI 助手设置中连接的第三方大型语言模型 (LLM) 提供商处理。
Elastic 不控制第三方工具,对其内容、操作或使用不承担任何责任或义务,也不对您使用此类工具可能引起的任何损失或损害承担责任。使用包含个人、敏感或机密信息的 AI 工具时,请务必谨慎。您提交的任何数据都可能被提供商用于 AI 训练或其他目的。无法保证提供商会保证您提供的任何信息的安全或机密性。您应在使用任何生成式 AI 工具之前,熟悉其隐私惯例和使用条款。
Elastic 可以自动匿名化您提供给 AI 助手作为上下文的事件数据。要了解更多信息,请参阅配置 AI 助手。
设置 AI 助手
编辑您必须先创建一个生成式 AI 连接器,然后才能使用 AI 助手。AI 助手可以连接到多个大型语言模型 (LLM) 提供商,以便您可以选择最适合您需求的模型。要设置连接器,请参阅LLM 连接器设置指南。
开始聊天
编辑要打开 AI 助手,请从 Elastic Security 应用中的任意位置选择顶部工具栏中的AI 助手按钮。您也可以使用键盘快捷键 Cmd + ;(在 Windows 上为 Ctrl + ;)。
这将打开欢迎聊天界面,您可以在其中询问有关 Elastic Security 的一般问题。
您还可以在 Elastic Security 中的几个特定页面上与 AI 助手聊天,在这些页面上,您可以轻松地将特定于上下文的数据和提示发送给 AI 助手。
每个用户的聊天记录(最多 99 个最近的对话)和自定义快速提示都会自动保存,因此您可以离开 Elastic Security 并在稍后返回对话。对话选项卡的左侧会显示聊天历史记录,以及AI 助手设置菜单。要访问设置菜单,请使用全局搜索字段搜索“AI Assistant for Security”。
与 AI 助手交互
编辑使用以下功能来调整和处理您与 AI 助手的对话
- (可选)在对话开始时,使用选择提示菜单选择一个系统提示。系统提示为模型提供上下文,告知其响应。要创建系统提示,请打开“系统提示”下拉菜单,然后单击+ 添加新的系统提示…。
-
(可选)在聊天窗口底部选择一个快速提示,以获得有关编写特定用途的提示的帮助,例如总结告警或将查询从旧版 SIEM 转换为 Elastic Security。
-
也可以从安全 AI 设置页面的相应选项卡中配置系统提示和快速提示。
- 快速提示的可用性因上下文而异,例如,当您在查看告警时打开 AI 助手时,会出现告警摘要快速提示。要自定义现有快速提示并创建新的提示,请单击添加快速提示。
-
在活动对话中,您可以使用消息上显示的内联操作将 AI 助手的响应合并到您的工作流程中
-
向时间轴添加注释 (
):将所选文本作为注释添加到您当前活动的时间轴中。 -
添加到现有案例 (
):使用所选文本向现有案例添加评论。 -
复制到剪贴板 (
):将文本复制到剪贴板以粘贴到其他位置。也适用于重新提交先前的提示。 -
添加到时间轴 (
):使用文本将过滤器或查询添加到时间轴。此按钮出现在 AI 助手响应中的特定查询中。
-
向时间轴添加注释 (
请务必指定您希望 AI 助手在编写查询时使用的语言。例如:“您能生成一个事件查询语言查询,以查找四次失败的登录后跟一次成功的登录吗?”
AI 助手可以记住您告诉它记住的特定信息。例如,您可以告诉它:“当回答有关 srv-win-s1-rsa 或引用它的告警的任何问题时,请提及此主机位于纽约数据中心”。这将使其记住您突出显示的详细信息。
配置 AI 助手
编辑安全 AI 设置页面允许您配置 AI 助手。要访问它,请使用全局搜索字段搜索“AI Assistant for Security”。
它具有以下选项卡
- 对话:当您从某些页面(例如时间轴或告警)打开 AI 助手时,它默认设置为相关的对话类型。对于每种对话类型,选择默认的系统提示、默认的连接器和默认的模型(如果适用)。流式传输设置控制 AI 助手的响应是逐字显示(流式传输)还是作为完整的文本块显示。流式传输目前仅适用于 OpenAI 模型。
- 连接器:管理所有 LLM 连接器。
- 系统提示:编辑现有的系统提示或创建新的提示。要创建新的系统提示,请在名称字段中键入唯一名称,然后按Enter。在提示下,输入或更新系统提示的文本。在上下文下,选择应显示系统提示的位置。
- 快速提示:修改现有的快速提示或创建新的提示。要创建新的快速提示,请在名称字段中键入唯一名称,然后按Enter。在提示下,输入或更新快速提示的文本。
- 匿名化:选择以纯文本形式包含、混淆处理和在将事件作为上下文提供给 AI 助手时不发送的字段。了解更多。
- 知识库:为 AI 助手提供额外的上下文。了解更多。
匿名化
编辑安全 AI 设置菜单的匿名化标签页允许您为发送到 AI 助手的事件定义默认的数据匿名化行为。已启用允许切换开关的字段将包含在提供给 AI 助手的事件中。已启用允许且匿名化设置为是的字段也会包含在内,但其值会被混淆处理。
您可以直接从攻击发现页面访问匿名化设置,方法是单击模型选择下拉菜单旁边的设置 (
) 按钮。
此列表中的字段最有可能为 AI 助手提供相关上下文。已启用允许切换开关的字段将包含在内。已启用允许且匿名化设置为是的字段也会包含在内,但其值会被混淆处理。
显示匿名化切换开关控制您看到发送给 AI 助手的字段的混淆版本还是明文版本。它不控制哪些内容会被混淆 — 这由匿名化设置决定。它也不影响事件字段在发送到 AI 助手之前的显示方式。相反,它控制已发送和混淆的字段如何向您显示。
当您包含特定事件作为上下文时,例如来自“警报”页面的警报,您可以调整特定事件的匿名化行为。在发送带有附加事件的消息之前,请确保匿名化行为符合您的规范。
知识库
编辑安全 AI 设置页面的知识库标签页允许您启用 AI 助手记住指定信息,并将其用作上下文来提高响应质量。要了解更多信息,请参阅AI 助手知识库。
充分利用您的查询
编辑Elastic AI 助手允许您充分利用 Elastic Security 平台来改进您的安全运营。它可以帮助您为特定用例编写 ES|QL 查询,或回答有关如何使用该平台的一般问题。它辅助您的能力取决于您问题的具体性和详细程度。您提供的上下文和细节越多,其响应就越量身定制且有用。
为了最大限度地提高其效用,请考虑使用更详细的提示或要求提供其他信息。例如,在要求 ES|QL 查询示例后,您可以提出后续问题,如“你能给我一些其他示例吗?” 您还可以要求澄清或进一步阐述,例如“请提供注释来解释您刚刚给出的查询。”
除了实用建议外,AI 助手还可以为增强您的安全措施提供概念性建议、技巧和最佳实践。例如,您可以问它
- “我如何在 Elastic Security 中设置机器学习作业,以检测网络流量随时间变化的异常?”
- “我需要监控可能表明勒索软件活动的异常文件创建模式。我该如何使用 EQL 构建此查询?”