利用 Elastic AI Assistant 功能,增強威脅應對能力
在過去一年半的時間裡,我們看到生成式 AI 對於安全分析師的工作流程有很明顯的幫助。
大型語言模型(LLMs)在網路安全方面是一個巨大的知識資源,幾乎可以回答任何與安全分析師工作流程相關的問題。
我們看到使用 Elastic AI 助手的客戶在其安全操作工作流程中取得了驚人的成果,這使得操作效率提高,生產力增強。
然而,LLMs 在回答與其訓練截止日期之外的「公共內容」或與「私人數據」來源相關的問題時,表現不佳。
有多種策略可以將自訂知識來源與 LLMs 結合使用,但大多數方法相對昂貴或耗時,例如:微調或指令調整。
這些模型的有效期限也很短——幾乎在生成的瞬間就會變得過時,因為我們不斷處理新的數據。
Elastic Search AI 平台提供解決方案
在 Elastic,我們能夠採取不同的方法來解決 Elastic AI 助手使用者的問題。
基於 Elastic Search AI 平台,我們能夠使用一種稱為檢索增強生成(RAG)的技術,將 LLMs 的知識與用戶的 Elasticsearch 集群中的內容相輔相成。
更重要的是,我們能夠為安全操作團隊構建「簡單直觀」的工作流程,讓他們以 RAG 的方式運作,而無需使用外部工具、程式碼或腳本。
這使得團隊能夠以安全、靈活且可擴展的方式,輕鬆地將私有數據來源與 LLMs 連接起來。
Elastic Search AI 平台是如何運作?
當額外的知識來源提供給 Elastic AI 助手時,可以根據用戶提出的問題來使用這些來源。
Elastic AI 助手能夠識別是否需要先參考和搜索某個知識來源,然後再將查詢交給選定的 LLM,這樣可以讓 LLM 獲得回答用戶問題所需的上下文。
Elastic Search AI 平台的功能允許根據用戶問題的「意圖」和「語義」來搜索和檢索正確的內容。
這一點非常重要,因為不正確的內容會導致 LLM 提供錯誤的回應,而過多的內容則會變得昂貴且無效。
同時,僅檢索用戶已授權的數據也很重要。
自訂知識來源不應被視為「隨意使用」,應遵循基於角色的訪問控制(RBAC)政策,與其他數據來源一樣。
為 Elastic AI 助手增加知識來源
自訂知識來源可以是簡單的文本或 Markdown 條目,也可以是配置了語義文本字段的索引。
新的知識設置用戶界面使得添加自訂知識來源的過程變得簡便,讓你可以輕鬆配置該知識的內容和分享設置。
此外,用戶現在可以要求 Elastic AI 助手在對話中記住內容作為知識。
只需告訴 Elastic AI 助手你希望記住的內容,未來該內容將作為自訂知識來源可用。
以下是一些自訂知識來源的使用範例:
- 附加包含資產信息的索引,例如在配置管理數據庫(CMDB)中找到的內容
- 添加你最喜愛的威脅情報報告,以便在對話中使用
- 包含任何現有的威脅狩獵操作手冊或標準操作程序的文件
- 歷史事件或案例信息
- 值班時間表
範例
將威脅情報報告 PDF 添加為自訂知識
安全操作團隊通常會維護威脅情報報告的庫,這些報告包含了來自報告製作商的豐富知識。
然而,挑戰在於這些報告的內容通常以 PDF 格式存在,這使得在事件或調查過程中檢索和引用相關信息變得困難,或者在威脅狩獵中利用任何妥協指標(IoCs)也變得不便。
通過在 Elastic AI 助手中使用這些報告作為知識,這種情況將完全改變。
讓我們以 2024 年的 Elastic 全球威脅報告為例。
步驟 1:啟用和設置知識庫
這是一個非常簡單的步驟,處理了 Elastic AI 助手使用知識庫內容所需的一些前置條件。
這只需要在助手管理設置中按下單個按鈕,整個過程僅需幾分鐘即可完成。
步驟 2:上傳 PDF
一旦知識庫設置完成,我們就可以繼續上傳 PDF。
為此,我們可以使用整合頁面上的「上傳檔案」整合功能。
你可以在下一個畫面中選擇 PDF。
當提示訊息出現時,點擊「導入」。
在下一步中,我們需要切換到「進階」標籤。
一旦上傳,這個 PDF 將存放在其自己的索引中,因此可以根據需要命名該索引,無需創建數據視圖。
在點擊導入按鈕之前,還有最後一步。我們需要添加一個語義文本字段。
這樣可以讓助手從報告中檢索正確的信息。
點擊「添加額外字段」,然後選擇「添加語義文本字段」。
在點擊「添加語義文本字段」後,您可以保留出現的預設設置。
現在你可以點擊「導入」。
當檔案成功導入後,你應該會看到以下狀態:
值得注意的是,雖然我們使用檔案上傳用戶界面來添加這個 PDF,但也可以將此功能自動化,作為任何數據攝取過程的一部分,使用附件處理器。
步驟 3:將 PDF 索引添加為自訂知識
返回 AI 設定頁面,選擇「新增」以添加新的知識條目,然後從列表中選擇「索引」。
接下來,系統會要求你選擇剛剛創建的索引(在我們的例子中為「global-threat-report-kb」)、我們剛創建的語義文本字段(內容),以及描述助手應如何及何時使用這些知識。
這應該是一個簡單的句子,描述數據是什麼,以及何時和如何查詢它。
你還可以在這個視圖中設置此知識條目的相關權限。準備好後,點擊「保存」。
添加後,你應該會在列表中看到新的知識條目:
威脅報告現在已作為知識可用,並準備好供助手使用。
比較結果
如果我們比較在添加知識庫條目之前和之後助手的結果,可以看到明顯的差異。
在添加知識之前:
在添加知識之後:
我們的 PDF 從一個閒置的重要資訊(雖然難以使用)轉變為立即可供我們的安全運營團隊使用。
知識來源的優點在於,Elastic AI 助手能夠根據所提出的問題,使用它們的組合。
請記住,Elastic AI 助手預設可以吸收您最新的 500 條警報作為知識,這使得可以提出強大的問題組合。
以下是該功能的實際範例——我們將使用助手詢問我們威脅報告中突出顯示的特定過程或技術,並進行後續檢查,以查看我們是否受到類似行為的影響:
透過 Enhance threat response with custom knowledge sources for Elastic AI Assistant 查看實際範例影片
這個範例清楚地突顯了擁有自定義知識來源對助手的實用性。
正如我們之前強調的,還有許多其他情境和範例可以展示自定義知識來源的價值。
如需了解如何添加不同類型的知識來源,您可以參考我們的詳細文檔。
下一步
我們預期將增加在我們的其他 AI 功能中使用自訂知識的能力,例如:Elastic Attack Discovery 和 Automatic Import。
我們還將使使用現有的搜尋連接器更容易,以持續導入和同步來自 GitHub、Confluence、Jira、ServiceNow 及其他許多系統的知識。
準備好用自己的資料試試看了嗎?立即開始 14 天的免費試用!
本文翻譯自:Enhance threat response with custom knowledge sources for Elastic AI Assistant
想要了解更多 Elastic Security 資訊,歡迎加入歐立威 Line 好友!
