AI 助手
编辑AI 助手编辑
Elastic AI 助手利用生成式 AI 来增强您的网络安全运营团队。它允许用户使用自然语言与 Elastic Security 进行交互,以完成警报调查、事件响应、查询生成或转换等任务,以及更多其他功能。
Elastic AI 助手旨在通过智能对话来增强您的分析能力。其功能仍在不断发展中。用户应谨慎使用,因为其响应质量可能会有所不同。您的见解和反馈将帮助我们改进此功能。始终交叉验证 AI 生成的建议以确保其准确性。
您的数据和 AI 助手编辑
Elastic 不会存储或检查 AI 助手使用的提示或结果,也不会将此数据用于模型训练。这包括您发送给模型的任何内容,例如警报或事件数据、检测规则配置、查询和提示。但是,您提供给 AI 助手的所有数据将由您在 AI 助手设置中连接的第三方大型语言模型 (LLM) 提供商进行处理。
Elastic 不控制第三方工具,不对其内容、操作或使用承担任何责任或义务,也不对您使用这些工具可能造成的任何损失或损害承担责任。在使用涉及个人、敏感或机密信息的 AI 工具时,请务必谨慎。您提交的任何数据都可能被提供商用于 AI 训练或其他用途。无法保证提供商会对您提供的所有信息进行安全或保密处理。在使用任何生成式 AI 工具之前,您应该熟悉其隐私惯例和使用条款。
Elastic 可以自动匿名化您提供给 AI 助手作为上下文的事件数据。要了解更多信息,请参阅配置 AI 助手。
设置 AI 助手编辑
您必须在使用 AI 助手之前创建生成式 AI 连接器。AI 助手可以连接到多个大型语言模型 (LLM) 提供商,因此您可以选择最适合您需求的模型。要设置连接器,请参阅LLM 连接器设置指南。
开始聊天编辑
要打开 AI 助手,请在 Elastic Security 应用程序中的任何位置选择顶层工具栏中的AI 助手按钮。您也可以使用键盘快捷键Cmd + ;(或 Windows 上的Ctrl + ;)。
这将打开欢迎聊天界面,您可以在其中询问有关 Elastic Security 的一般问题。
您还可以从 Elastic Security 中的几个特定页面与 AI 助手聊天,您可以在这些页面中轻松地向 AI 助手发送特定于上下文的 data 和提示。
每个用户的聊天历史记录和自定义快速提示都会自动保存,因此您可以离开 elastic-sec 并返回到之前的对话中。
与 AI 助手交互编辑
使用这些功能来调整和处理您与 AI 助手的对话
-
在对话开始时选择一个系统提示,以确定您希望 AI 助手回答的详细程度和技术性。
系统提示为模型提供上下文,告知其响应。要创建自定义系统提示,请打开系统提示下拉菜单并单击+ 添加新系统提示…。
-
在聊天窗口底部选择一个快速提示,以获取有关如何为特定目的编写提示的帮助,例如总结警报或将查询从传统 SIEM 转换为 Elastic Security。
快速提示的可用性会根据上下文而有所不同——例如,当您在查看警报时打开 AI 助手时,警报摘要快速提示将显示。要自定义现有快速提示并创建新提示,请单击添加快速提示。
-
在活跃的对话中,您可以使用消息上显示的内联操作将 AI 助手的响应整合到您的工作流中
-
将笔记添加到时间线 (
): 将选定的文本作为笔记添加到您当前活跃的时间线中。 -
添加到现有案例 (
): 使用选定的文本向现有案例添加评论。 -
复制到剪贴板 (
): 将文本复制到剪贴板,以便粘贴到其他位置。对于重新提交之前的提示也很有用。 -
添加到时间线 (
): 使用文本将过滤器或查询添加到时间线。此按钮将针对 AI 助手响应中的特定查询显示。请务必指定您希望 AI 助手在编写查询时使用的语言。例如:“你能生成一个 Event Query Language 查询来查找四次失败登录后的一次成功登录吗?”
-
将笔记添加到时间线 (
配置 AI 助手编辑
设置菜单 (
) 允许您配置默认对话、快速提示、系统提示和数据匿名化。
设置菜单具有以下选项卡
- 对话: 当您从特定页面(例如时间线或警报)打开 AI 助手时,它会默认设置为相关的对话类型。为每种对话类型选择默认系统提示、连接器和模型(如果适用)。流式传输设置控制 AI 助手的响应是逐字显示(流式传输)还是作为完整的文本块显示。流式传输目前仅适用于 OpenAI 模型。
- 快速提示: 修改现有快速提示或创建新的快速提示。要创建新的快速提示,请在名称字段中键入一个唯一的名称,然后按enter。在提示下,输入或更新快速提示的文本。
-
系统提示: 编辑现有系统提示或创建新的系统提示。要创建新的系统提示,请在名称字段中键入一个唯一的名称,然后按enter。在提示下,输入或更新系统提示的文本。在上下文下,选择系统提示应该显示的位置。
要删除自定义提示,请打开名称下拉菜单,将鼠标悬停在要删除的提示上,然后单击显示的X。您无法删除默认提示。
- 匿名化: 选择要在您将事件作为上下文提供给 AI 助手时包含为纯文本、模糊处理或不发送的字段。 了解更多。
- 知识库: 为 AI 助手提供更多上下文,以便它可以回答有关您的环境中的 ES|QL 和警报的问题。 了解更多。
匿名化编辑
AI 助手设置菜单的匿名化选项卡允许您为发送给 AI 助手的事件定义默认数据匿名化行为。允许已启用 toggled 的字段将包含在提供给 AI 助手的事件中。允许字段,其匿名化设置为是,将被包含,但其值会被模糊处理。
此列表中的字段是可能最有可能为 AI 助手提供相关上下文的字段。允许已启用 toggled 的字段将被包含。允许字段,其匿名化设置为是,将被包含,但其值会被模糊处理。
显示匿名化 toggle 控制您是否看到发送给 AI 助手的字段的模糊处理版本或纯文本版本。它不控制哪些内容会被模糊处理——这由匿名化设置决定。它也不会影响事件字段在发送给 AI 助手之前如何显示。相反,它控制已发送并模糊处理的字段如何显示给您。
当您将特定事件包含为上下文时,例如来自警报页面的警报,您可以调整特定事件的匿名化行为。在发送包含事件的 messages 之前,请确保匿名化行为符合您的规范。
知识库编辑
此功能处于测试阶段,可能会发生变化。设计和代码的成熟度低于正式的 GA 功能,并且按原样提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 的约束。
在 AI 助手设置菜单的 知识库 选项卡中,您可以启用 AI 助手以回答有关 Elastic Search 查询语言 (ES|QL) 和环境中警报的问题。
ES|QL 的知识库编辑
ES|QL 在 Kibana 中默认启用。它可以使用 enableESQL 设置从 高级设置 中禁用。这将从各种应用程序中隐藏 ES|QL 用户界面。但是,用户将能够访问现有的 ES|QL 工件,例如保存的搜索和可视化。
由 AI 助手生成的 ES|QL 查询可能需要额外的验证。为了确保它们正确无误,请参阅 ES|QL 文档。
启用此功能后,AI 助手可以帮助您为特定用例编写 ES|QL 查询,或回答有关 ES|QL 语法和用法的常规问题。要启用 AI 助手以回答有关 ES|QL 的问题
- 启用 Elastic Learned Sparse EncodeR (ELSER)。此模型为第三方 LLM 提供了额外的上下文。要了解更多信息,请参阅 配置 ELSER。
- 通过单击 初始化 初始化知识库。
- 打开 知识库 选项。
- 单击 保存。知识库现在处于活动状态。ES|QL 查询的快速提示变得可用,这为您与 ES|QL 的对话和问题提供了一个良好的起点。
要更新 AI 助手,使其使用最新的 ES|QL 文档来回答您的问题,请单击 知识库 旁边的 删除,然后将 知识库 滑块关闭,然后打开。
警报的知识库编辑
启用此功能后,AI 助手将接收多个警报作为您每个提示的上下文。它将接收过去 24 小时内状态为 open 或 acknowledged 的警报,按风险得分,然后按最近时间排序。构建块警报被排除在外。这使它能够回答有关环境中多个警报的问题,而不仅仅是您选择作为上下文包含的单个警报。
要为警报启用 RAG
- 打开 警报 设置。
-
使用滑块选择要发送到 AI 助手的警报数量。
包含大量警报可能会导致您的请求超出第三方生成式 AI 提供商的最大令牌长度。如果发生这种情况,请尝试选择较少的警报数量来发送。
充分利用您的查询编辑
Elastic AI 助手可帮助您充分利用 Elastic Security 平台,以改善您的安全运营。它提供协助的能力取决于您问题的具体性和详细程度。您提供的上下文和详细信息越多,其响应就越定制化和有用。
为了最大限度地提高其有用性,请考虑使用更详细的提示或请求其他信息。例如,在要求提供 ES|QL 查询示例之后,您可以提出以下后续问题:“您能给我一些其他示例吗?” 您也可以要求澄清或进一步说明,例如“请提供解释您刚刚提供的查询的注释。”
除了实际建议外,AI 助手还可以提供概念性建议、技巧和最佳实践,以增强您的安全措施。例如,您可以询问它
- “如何在 Elastic Security 中设置机器学习作业以检测网络流量随时间的异常?”
- “我需要监控不寻常的文件创建模式,这些模式可能表明存在勒索软件活动。我将如何使用 EQL 构建此查询?”