攻击发现
编辑攻击发现
编辑此功能为技术预览版。它未来可能会发生变化,在生产环境中使用时应谨慎。Elastic 将努力修复任何问题,但技术预览版中的功能不受 GA 功能的支持服务级别协议约束。
“攻击发现”利用大型语言模型 (LLM) 分析您环境中的警报并识别威胁。每个“发现”代表一个潜在的攻击,并描述多个警报之间的关系,以告知您哪些用户和主机参与其中,警报如何对应于 MITRE ATT&CK 矩阵,以及哪个威胁参与者可能负责。这可以最大限度地利用每个安全分析师的时间,对抗警报疲劳并缩短您的平均响应时间。
有关演示,请参阅以下视频。
本页介绍
攻击发现的基于角色的访问控制 (RBAC)
编辑攻击发现:全部权限允许您使用攻击发现。
生成发现
编辑首次访问“攻击发现”时,您需要先选择一个 LLM 连接器才能分析警报。“攻击发现”使用与 AI 助手 相同的 LLM 连接器。要开始使用
- 从 Elastic Security 的导航菜单中单击攻击发现页面。
-
从下拉菜单中选择现有的连接器,或添加新的连接器。
- 选择连接器后,单击生成以开始分析。
生成发现可能需要几秒钟到几分钟,具体取决于警报的数量和您选择的模型。
默认情况下,“攻击发现”在此时间范围内分析最多 100 个警报,但您可以通过单击模型选择菜单旁边的设置图标 (
) 并调整警报滑块,将此数量扩大到 500。请注意,发送超出所选 LLM 处理能力的警报可能会导致错误。
“攻击发现”使用与 Elastic AI 助手 相同的数据匿名化设置。要配置发送给 LLM 的警报字段以及混淆的字段,请使用 Elastic AI 助手设置。在将敏感数据发送给第三方 LLM 之前,请考虑其隐私政策。
分析完成后,它识别出的任何威胁都将显示为发现。单击每个发现的标题以展开或折叠它。随时单击生成,使用最新的警报重新启动“攻击发现”过程。
每个发现包含哪些信息?
编辑每个发现都包含以下描述潜在威胁的信息,这些信息由连接的 LLM 生成
- 潜在威胁的描述性标题和摘要。
- 相关联的警报数量以及它们对应的 MITRE ATT&CK 矩阵的哪些部分。
- 涉及的实体(用户和主机),以及每个实体观察到的可疑活动。
将发现与其它工作流整合
编辑有几种方法可以将发现整合到您的 Elastic Security 工作流程中
