AI 助手知识库
编辑AI 助手知识库
编辑AI 助手的知识库功能使 AI 助手能够回忆起特定的文档和其他指定的信息。这些信息可以包括从数据中心的位置到最新的威胁研究等所有内容,它提供了额外的上下文,可以提高 AI 助手对您查询的响应质量。本主题介绍如何启用知识库以及如何向其中添加信息。
当您从 Elastic Security 版本 8.15 升级到较新版本时,AI 助手先前存储的信息将会丢失。
知识库的基于角色的访问控制 (RBAC)
编辑Elastic AI Assistant: All 角色权限允许您使用 AI 助手并访问其设置。它有两个子权限,字段选择和匿名化,允许您自定义哪些警报字段发送给 AI 助手和攻击发现,以及 知识库,允许您编辑和创建新的知识库条目。
启用知识库
编辑有两种方法可以启用知识库。
您必须为要使用知识库的每个 Kibana 空间单独启用知识库。
选项 1:从 AI 助手对话中启用知识库
编辑打开与 AI 助手的对话,选择一个大型语言模型,然后单击 设置知识库。如果按钮未出现,则表示知识库已启用。
知识库设置可能需要几分钟时间。如果您关闭对话,它将在后台继续进行。设置完成后,您可以从 AI 助手的对话设置菜单访问知识库设置(通过单击模型选择下拉菜单旁边的三个点按钮访问对话设置菜单)。
选项 2:从安全 AI 设置中启用知识库
编辑- 要打开 安全 AI 设置,请使用 全局搜索字段 查找“安全 AI 助手”。
- 在 知识库 选项卡上,单击 设置知识库。如果按钮未出现,则表示知识库已启用。
警报知识库
编辑启用知识库后,AI 助手会收到过去 24 小时内来自您环境中的 打开 或 已确认 的警报。它使用这些警报作为您每个提示的上下文。这使其能够回答有关您环境中多个警报的问题,而不仅仅是关于您选择发送给它的单个警报。它会按风险分数,然后按最近生成的顺序接收警报。构建块警报将被排除在外。
启用警报知识库
- 确保知识库已启用。
- 在 安全 AI 设置 页面上,转到 知识库 选项卡,并使用滑块选择要发送给 AI 助手的警报数量。单击 保存。
包含大量警报可能会导致您的请求超出第三方生成式 AI 提供商的最大令牌长度。如果发生这种情况,请尝试选择发送较少数量的警报。
添加知识
编辑要查看所有知识库条目,请转到 安全 AI 设置 并选择 知识库 选项卡。您可以添加单个文档或包含多个文档的整个索引。知识库中的每个条目(文档或索引)都有一个 共享 设置,即 私有 或 全局。私有条目仅适用于当前用户,并且不影响 Kibana 空间中的其他用户,而全局条目会影响所有用户。每个条目还可以具有一个 所需知识 设置,这意味着它将作为发送给 AI 助手的每条消息的上下文。
当您启用知识库时,它会预先填充来自 Elastic Security Labs 的文章(截至 2024 年 9 月 30 日),这允许 AI 助手在您的对话中利用 Elastic 的安全研究。这使其能够回答诸如“在调查我的警报时,我应该注意哪些针对 Windows 主机的新策略?”之类的问题。
添加单个文档
编辑当您希望 AI 助手记住特定的信息时,请向知识库添加单个文档。
- 要打开 安全 AI 设置,请使用 全局搜索字段 查找“安全 AI 助手”。选择 知识库 选项卡。
- 单击 新建 → 文档 并为其命名。
- 在 共享 下,选择此知识应为 全局 还是 私有。
- 在 Markdown 文本 字段中写入 AI 助手应该记住的知识。
- 在 Markdown 文本 字段中,输入您希望 AI 助手记住的信息。
- 如果它应该是 所需知识,请选择该选项。否则,将其保留为空白。或者,您可以简单地向 AI 助手发送一条消息,指示其“记住”该信息。例如,“记住我今天,即 2024 年 10 月 24 日更改了密码”,或“记住我们在调查潜在威胁时始终使用威胁搜寻时间轴模板”。以此方式创建的条目对您是私有的。默认情况下,它们不是所需知识,但您可以指示 AI 助手“始终记住”来使其成为所需知识,例如“始终记住称我为女士”,或“始终记住我们的主要数据中心位于德克萨斯州奥斯汀”。
请参考以下视频,了解从设置菜单向知识库添加文档的示例。
添加索引
编辑当您希望添加到该索引中的新信息自动通知 AI 助手的响应时,请添加索引作为知识来源。常见的安全示例包括资产清单、网络配置信息、随叫随到矩阵、威胁情报报告和漏洞扫描。
添加到知识库的索引必须至少有一个字段映射为 语义文本。
- 要打开 安全 AI 设置,请使用 全局搜索字段 查找“安全 AI 助手”。选择 知识库 选项卡。
- 单击 新建 → 索引。
- 命名知识来源。
- 在 共享 下,选择此知识应为 全局 还是 私有。
- 在 索引 下,输入您要用作知识来源的索引的名称。
- 在 字段 下,输入索引中一个或多个语义文本字段的名称。
- 在 数据描述 下,描述 AI 助手应何时使用此信息。
- 在 查询指令 下,描述 AI 助手应如何查询此索引以检索相关信息。
- 在 输出字段 下,列出应发送给 AI 助手的字段。如果未列出任何字段,则将发送所有字段。
请参考以下视频,了解向知识库添加索引的示例。
使用连接器或 Web 爬虫添加知识
编辑您可以使用 Elasticsearch 连接器或 Web 爬虫来创建包含您想要添加到知识库的数据的索引。
本节提供了一个使用 Web 爬虫将威胁情报源添加到知识库的示例。有关使用连接器向 Elasticsearch 添加数据的更多信息,请参阅使用 Elastic 连接器提取数据。有关 Web 爬虫的更多信息,请参阅 Elastic Web 爬虫。
使用 Web 爬虫将威胁情报添加到知识库
编辑首先,您需要设置一个 Web 爬虫以将所需的数据添加到索引,然后您需要将该索引添加到知识库。
- 从 Kibana 的 搜索 部分,在导航菜单中找到 Web 爬虫,或使用 全局搜索字段。
-
单击 新建 Web 爬虫。
- 在 索引名称 下,命名将存储来自您新建的 Web 爬虫的数据的索引,例如
threat_intelligence_feed_1。单击 创建索引。 - 在 域 URL 下,输入 Web 爬虫应收集数据的 URL。单击 验证域 以测试它,然后单击 添加域。
- 在 索引名称 下,命名将存储来自您新建的 Web 爬虫的数据的索引,例如
-
上一步会打开一个页面,其中包含您新索引的详细信息。转到其 Mappings(映射) 选项卡,然后单击 Add field(添加字段)。
请记住,添加到知识库的每个索引都必须至少有一个语义文本字段。
- 在 Field type(字段类型) 下,选择
Semantic text(语义文本)。在 Select an inference endpoint(选择推理端点) 下,选择elastic-security-ai-assistant-elser2。单击 Add field(添加字段),然后单击 Save mapping(保存映射)。
- 在 Field type(字段类型) 下,选择
- 转到 Scheduling(调度) 选项卡。启用 Enable recurring crawls with the following schedule(启用按以下计划进行的定期爬网) 设置,并定义所需的计划。
-
转到 Manage Domains(管理域) 选项卡。选择与您的新 Web 爬虫关联的域,然后转到其 Crawl rules(爬网规则) 选项卡,然后单击 Add crawl rule(添加爬网规则)。有关更多信息,请参阅 Web 爬虫内容提取规则。
- 再次单击 Add crawl rule(添加爬网规则)。在 Policy(策略) 下,选择
Disallow(禁止)。在 Rule(规则) 下,选择Regex(正则表达式)。在 Path pattern(路径模式) 下,输入.*。单击 Save(保存)。 - 在 Policy(策略) 下,选择
Allow(允许)。在 Rule(规则) 下,选择Contains(包含)。在 Path pattern(路径模式) 下,输入您的路径模式,例如threat-intelligence。单击 Save(保存)。确保此规则在列表中的上一步创建的规则之下。 - 单击 Crawl(爬网),然后单击 Crawl all domains on this index(爬取此索引上的所有域)。将显示成功消息。对于较大的数据源,爬网过程将花费更长的时间。完成后,您新的 Web 爬虫的索引将包含爬虫提供的文档。
- 再次单击 Add crawl rule(添加爬网规则)。在 Policy(策略) 下,选择
- 最后,按照说明将索引添加到知识库。添加包含来自您新的 Web 爬虫的数据的索引(在此示例中为
threat_intelligence_feed_1)。
现在,您新的威胁情报数据已包含在知识库中,可以为 AI Assistant 的响应提供信息。
请参阅以下视频,其中提供了一个创建 Web 爬虫以摄取威胁情报数据并将其添加到知识库的示例。
