识别、调查和记录威胁

结合使用 Elastic AI 助理 和 攻击发现，可以帮助您识别和缓解威胁、调查事件以及生成多种语言的事件报告，以便您监控和保护您的环境。

本指南将介绍如何

使用攻击发现来识别威胁编辑

攻击发现可以通过查找可能表明协调攻击的警报之间的关系来检测各种威胁。这使您能够了解威胁如何通过系统移动并影响系统。攻击发现会生成有关每个潜在威胁的详细摘要，这可以作为进一步分析的基础。了解如何 开始使用攻击发现.

在上面的示例中，攻击发现找到了 11 个警报之间的联系，并使用它们来识别和描述攻击链。

在攻击发现概述您的威胁情况后，请使用 Elastic AI 助理快速详细地分析威胁。

使用 AI 助理分析威胁编辑

在攻击发现页面上的发现中，单击 在 AI 助理中查看 以启动包含发现作为上下文的聊天。

AI 助理可以快速整理基本数据并提供建议，以帮助您生成事件报告并规划有效的响应。您可以要求它提供相关数据或回答问题，例如“我如何修复此威胁？”或“哪个 ES|QL 查询可以隔离此用户执行的操作？”

上图显示了 AI 助理响应用户提示生成的 ES|QL 查询。了解有关 将 AI 助理用于 ES|QL 的更多信息。

在与 AI 助理的对话中的任何时候，您可以将数据、叙述性摘要和其他信息从其响应添加到 Elastic Security 的案例管理系统中以生成事件报告。

使用 AI 助理创建案例编辑

在 AI 助理对话框窗口中，单击 添加到案例 ()，位于消息旁边，以将该消息中的信息添加到 案例 中。案例有助于将相关详细信息集中在一个地方，以便轻松与利益相关者共享。

如果您将包含发现的消息添加到案例中，AI 助理会自动将攻击摘要和所有关联的警报添加到案例中。您还可以将包含修复步骤和相关数据的 AI 助理消息添加到案例中。

使用 AI 助理将事件信息翻译成不同的语言编辑

AI 助理可以将其调查结果翻译成其他语言，帮助全球安全团队之间的协作，并使其更容易在多语言组织中运作。

AI 助理以一种语言提供信息后，您可以要求它翻译其响应。例如，如果它提供了有关事件的修复步骤，您可以指示它“将这些修复步骤翻译成日语”。然后，您可以将翻译后的输出添加到案例中。这可以帮助团队成员接收相同的信息和见解，而与他们的主要语言无关。