Elastic 通过 AI 驱动的安全分析改变 SIEM 游戏

news/2024/5/20 10:06:01

作者：Santosh Krishnan, Jennifer Ellard

借助由搜索 AI 提供支持的新攻击发现功能，优先考虑攻击，而不是警报。

传统的安全信息与事件管理系统（SIEM）在很大程度上依赖屏幕背后的人类才能取得成功。警报、仪表盘、威胁猎杀以及在信号洪流中找到上下文，所有这些都需要大量的人力。搜索人工智能将颠覆这一旧模式，并将传统的 SIEM 替换为适用于现代安全运营中心的人工智能驱动的安全分析解决方案。想象一下，一个系统可以筛选所有的数据，忽略噪音并识别出关键信息，发现特定的攻击，并制定具体的修复措施。Elastic Search AI 平台支持的 Elastic Security 正在实现这一进化，用人工智能取代了配置、调查和响应方面的大部分手工流程。搜索人工智能平台独特地结合了搜索和检索增强生成（RAG），提供了重要的超相关结果。

自 2019 年推出 SIEM 版的 Elastic Security 以来，该解决方案已经发展到包括一些行业内最先进的分析功能，包括 100 多个预先构建的基于机器学习的异常检测作业，可以快速检测到以前未知的威胁。Elastic 去年推出了 Elastic AI Assistant for Security，以帮助 SOC 分析师进行规则编写、警报摘要以及工作流和集成建议。IDC 最近在其对 AI 助手的印象的 IDC 市场展望中强调了 Elastic 如何克服这些限制。

像 AI 助手这样的联合驾驶员正在迅速成为许多类型的安全产品的标配。因此，这些早期努力仍然取决于分析师有效使用它们的能力。现在是将 AI 指导和自动化整合到 SOC 的核心调查工作流程中的时候了。今天，我们推出了一项新的人工智能功能，即 Elastic Attack Discovery（专利申请中），由 Elastic Search AI 平台提供支持。Attack Discovery 可以通过单击一个按钮将数百个警报进行分级处理，将其减少到少数几个重要攻击，并以直观的界面返回结果，使安全运营团队能够快速了解所呈现的攻击，采取即时的后续行动等。

优先考虑攻击，而不是警报

Elastic 的人工智能驱动的安全分析建立在搜索人工智能平台之上，其中包括由业界最先进的搜索技术提供支持的 RAG。大型语言模型 (LLM) 的准确性和最新性取决于它们所利用的信息：它们的基础训练数据和提示提供的上下文。因此，他们需要丰富的、最新的数据来提供准确的、定制的结果 —— 而有效地收集这些机密知识需要搜索。基于搜索的 RAG 自动提供此上下文，无需构建定制的 LLM 并根据不断变化的内部数据不断对其进行重新训练。

Webinar: Accelerate your SOC with AI | Elastic Videos

Attack Discovery 独特地利用搜索 AI 平台来排序和识别 LLM 评估哪些警报详细信息。通过使用 Elasticsearch 的混合搜索功能查询 Elastic Security 警报中包含的丰富上下文，该解决方案检索最相关的数据以提供给 LLM，并指示其相应地识别少数攻击并确定其优先级。这包括主机和用户风险评分、资产关键性评分、警报严重性、描述、警报原因等数据。

人工智能驱动的安全分析

“作为一个精简的组织，我们没有运营传统的 SOC 团队，因此能够利用我们现有的团队和生成式人工智能更快地保护我们的资产是非常令人兴奋的，”Bolt 的云安全团队负责人Kadir Burak Mavzer 表示。“我们已经看到了 Elastic AI 助手取得的出色成果，并期待着很快使用 Attack Discovery。”

“公司面临的攻击既持续又复杂，而且没有任何手段可以减缓信号洪流，大多数安全团队都在挣扎，难以保持头脑清醒，”Elastic 安全总经理 Santosh Krishan 表示。“我们近 20% 的安全客户已经在使用我们的 AI 助手来提高团队的效率。类似地，Attack Discovery 将提升生产力，并补充从业者的知识，加快威胁检测、调查和响应的速度。它帮助你的人员 —— 以及 SOC —— 取得成功。”

减轻 SOC 的工作负担

许多 SOC 每天都要筛选数千个警报。这项工作很乏味，耗时且容易出错。Elastic 消除了这种手工努力的需要。Attack Discovery 通过筛选出误报，并将剩余的强信号映射到离散的攻击链中，显示相关警报是攻击链的一部分。Attack Discovery 使用 LLM 评估警报，考虑到严重程度、风险评分、资产重要性等因素。通过提供准确且快速的分类，分析师可以花更少的时间筛选警报，更多的时间进行调查和应对威胁。

“你们用 AI Attack Discovery 解决了劳动力短缺的问题。这项调查原本需要整个团队来完成，”EMA 的安全分析师 Ken Buckler 表示。“Attack Discovery 让 Splunk 望尘莫及！”

Elastic 的优势

搜索人工智能平台利用代表你整个攻击面的数据，提高了 LLM 提供的洞察力和指导的准确性。Elastic 采用了一种与 LLM 无关的方法，并默认启用了组织对数据进行匿名化和删除机密数据。

立即了解我们的 AI 驱动的安全分析解决方案。

本帖中描述的任何功能或功能的发布和时间仍由 Elastic 完全决定。任何当前不可用的功能或功能可能不会按时或根本不会提供。

在本博客文章中，我们可能使用或引用了第三方生成式人工智能工具，这些工具由其各自的所有者拥有和运营。Elastic 对第三方工具没有任何控制权，对其内容、运作或使用不承担任何责任或义务，也不对你使用此类工具可能产生的任何损失或损害承担责任。在使用涉及个人、敏感或机密信息的AI工具时，请务必小心。你提交的任何数据可能会用于AI培训或其他目的。我们不能保证你提供的信息将被保密。在使用前，请熟悉任何生成式人工智能工具的隐私做法和使用条款。

Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine及相关标记是Elasticsearch N.V.在美国和其他国家的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。

原文：Elastic changes the SIEM game with AI-driven security analytics | Elastic Blog