« AI 助手 为大型语言模型 (LLM) 设置连接器 »
Elastic 文档 Elastic 安全解决方案 [8.14] AI 用于安全

攻击发现

编辑

攻击发现编辑

此功能处于技术预览阶段。它可能在将来发生变化,您在生产环境中使用它时应谨慎。Elastic 将努力解决任何问题,但技术预览中的功能不受 GA 功能的支持 SLA 的约束。

攻击发现利用大型语言模型 (LLM) 分析您环境中的警报并识别威胁。每个“发现”都代表一次潜在的攻击,并描述多个警报之间的关系,以告知您哪些用户和主机参与其中,警报如何对应于 MITRE ATT&CK 矩阵以及可能负责的威胁行为者。这可以帮助充分利用每位安全分析师的时间,消除警报疲劳,并减少平均响应时间。

有关演示,请参阅以下视频。


本页描述

生成发现编辑

当您首次访问攻击发现时,您需要选择一个 LLM 连接器才能分析警报。攻击发现使用与 AI 助手 相同的 LLM 连接器。要开始

  1. 从 Elastic Security 的导航菜单中点击 攻击发现 页面。

  2. 从下拉菜单中选择现有连接器,或添加新的连接器。

    推荐模型

    虽然攻击发现与许多不同的模型兼容,但我们的测试发现 Claude 3 Sonnet 和 Claude 3 Opus 的性能有所提高。一般来说,具有更大上下文窗口的模型更适合攻击发现。

    select model empty state
  3. 选择连接器后,点击 生成 开始分析。

生成发现可能需要几秒钟到几分钟,具体取决于警报的数量和您选择的模型。

攻击发现处于技术预览阶段,只会分析过去 24 小时内已打开和已确认的警报。默认情况下,它只分析此时间段内的最多 20 个警报,但您可以通过进入 AI 助手 → 设置 (设置图标) → 知识库 并更新 警报 设置将其扩展到 100 个。

AI Assistant’s settings menu open to the Knowledge Base tab

攻击发现使用与 Elastic AI 助手 相同的数据匿名化设置。要配置发送到 LLM 的警报字段以及哪些字段会被混淆,请使用 Elastic AI 助手设置。在将敏感数据发送给第三方 LLM 之前,请考虑它们的隐私政策。

分析完成后,它识别的任何威胁都将显示为发现。点击每个发现的标题将其展开或折叠。随时点击 生成 使用最新的警报重新开始攻击发现过程。

每个发现包含哪些信息?编辑

每个发现都包含以下信息,描述了连接的 LLM 生成的潜在威胁

  1. 一个描述性的标题和对潜在威胁的总结。
  2. 关联警报的数量以及它们对应于 MITRE ATT&CK 矩阵 的哪些部分。
  3. 牵涉到的实体(用户和主机)以及为每个实体观察到的可疑活动。
Attack discovery detail view

将发现纳入其他工作流程编辑

您可以通过多种方式将发现纳入 Elastic Security 工作流程

  • 点击实体的名称打开用户或主机详细信息浮出层,并查看可能与您的调查相关的更多详细信息。
  • 将鼠标悬停在实体的名称上,可以将实体添加到时间线 (添加到时间线图标) 或将实体的字段名称和值复制到剪贴板 (复制到剪贴板图标)。
  • 点击 采取行动,然后选择 添加到新案例添加到现有案例 将发现添加到 案例 中。这可以轻松地与您的团队和其他利益相关者共享信息。
  • 点击 在时间线中调查时间线 中探索发现。
  • 点击 在 AI 助手 中查看 将发现附加到与 AI 助手 的对话中。然后,您可以提出有关发现或关联警报的后续问题。
Attack discovery view in AI Assistant
« AI 助手 为大型语言模型 (LLM) 设置连接器 »