分类警报
编辑分类警报编辑
Elastic AI 助手可以通过评估您环境中的多个最新警报,并帮助您解释警报及其上下文,从而帮助您增强和简化警报分类工作流程。
当您在 Elastic Security 中查看警报时,相关文档、主机和用户等详细信息会与触发警报的事件概要一起显示。这些数据为理解潜在威胁提供了一个起点。AI 助手可以回答有关这些数据的问题,并提供可操作的建议来修复问题。
要使 AI 助手能够回答有关警报的问题,您需要提供警报数据作为提示的上下文。您可以使用知识库功能提供多个警报,也可以直接提供单个警报。
使用 AI 助手对多个警报进行分类编辑
启用知识库 警报 设置,以便为 AI 助手发送最多 100 个警报的数据,作为每个提示的上下文。启用此设置后,您可以向 AI 助手询问诸如“我的环境中存在多少个警报?”、“我最紧急的警报是什么?”、“我应该首先对哪些警报进行分类?”、“我的环境中的任何警报是否表明从 Windows 机器中泄露了数据?”等问题。
有关更多信息,请参阅知识库。
有关 AI 助手警报分类功能的演示,请参阅以下视频。
使用 AI 助手对特定警报进行分类编辑
选择要调查的警报后
- 从“警报”表中单击其查看详细信息按钮。
- 在警报详细信息弹出窗口中,单击聊天以启动 AI 助手。与所选警报相关的数据会自动添加到提示中。
-
单击警报(来自摘要)以查看将与 AI 助手共享哪些警数字段。
有关选择要发送的字段以及了解如何匿名化数据的更多信息,请参阅AI 助手。
-
(可选)单击快速提示以将其用作查询的起点,例如警报摘要。通过自定义提示和添加详细信息来提高 AI 助手响应的质量。
提交查询后,AI 助手将处理信息并提供详细的响应。根据您的提示和您包含的警报数据,其响应可以包括对警报的全面分析,突出显示关键要素,例如潜在威胁的性质、潜在影响和建议的响应措施。
- (可选)向 AI 助手询问后续问题,提供更多信息以供进一步分析,并要求澄清。响应不是静态报告。
生成分类报告编辑
Elastic AI 助手可以通过提供安全事件、其范围和影响以及您的修复工作的清晰记录来简化文档和报告生成流程。您可以使用 AI 助手为利益相关者创建摘要或报告,其中包括关键事件详细信息、调查结果和图表。AI 助手完成对一个或多个警报的分析后,您可以使用以下提示生成报告:
- “生成有关此事件的详细报告,包括时间线、影响分析和响应措施。此外,还应包括事件图表。”
- “生成此事件/警报的摘要,并包括事件图表。”
- “提供有关所用缓解策略的更多详细信息。”
查看报告后,单击 AI 助手响应顶部的添加到现有案例。这允许您保存报告记录并将其提供给您的团队。
