Dhrumil Patel

从警报疲劳到代理响应:工作流和代理生成器如何实现闭环

试图追逐单个警报是一种失败的策略。要想取得成功,我们必须超越简单的自动化脚本,进入人工智能代理时代。

阅读时间:5 分钟产品更新
从警报疲劳到代理响应:工作流和代理生成器如何实现闭环

SOC 的领导者每天都要面对与基本数学计算不符的问题。数据量呈指数级增长,攻击面在全球范围内不断扩大,而您团队的能力却依然是直线型的。你不能靠雇佣来解决这个问题。

试图追逐单个警报是一种失败的策略。要想取得成功,我们必须超越简单的自动化脚本,进入人工智能代理时代。

在 Elastic,我们将现代安全操作视为一个操作神经系统。它需要感官(洞察一切的数据基础)、大脑🧠(在噪音中发现信号的人工智能驱动分析)和双手🙌(执行行动和推动成果的工作流程)。

随着代理生成器和弹性工作流的推出,我们正在统一这些元素。我们为您提供的不仅仅是一个聊天机器人,我们为您提供的是构建自主 SOC 的能力,在这个 SOC 中,代理可以对数据进行推理,工作流可以双向执行复杂的操作。

下面介绍这两个强大的引擎如何协同工作,改变您的安全操作。

"大脑的力量" 和"双手的力量" 携手合作

要理解为什么这种组合意义重大,我们必须区分它们的作用。

  • 弹性工作流("手"):这些都是确定性的。它们非常适合刻板、可重复的流程--"如果发生 X 情况,创建 Jira 票据、ping Slack 并隔离主机。"它们提供了结构、可审计性和可靠性。
  • 代理生成器(大脑):代理是基于概率和推理的。他们感知环境,规划一系列步骤,并进行调整。代理可以查看模糊的威胁报告,并决定运行哪些查询来查找证据。

当它们相互作用时,神奇的事情就发生了:以前,你必须在死板的游戏手册或人工调查之间做出选择。现在,工作流可以在自动化循环中调用代理来执行复杂的分析,而代理也可以在聊天过程中调用工作流作为工具来执行可靠、繁重的操作。

这不是什么

让我们把话说清楚:这并不是要取代你们的分析师。这就是要消除阻碍他们从事真正重要工作的辛劳,即任何模式都无法复制的创造性、对抗性思维。目标是将团队从被动的日志追逐者转变为主动的威胁猎手。代理负责粗活,你的员工负责判断。

使用案例:警报时间自动分流

从警报到分析,无需人工干预

让我们来看一个涉及勒索软件攻击的真实场景(例如:BlackCat/ALPHV--勒索软件即服务操作)。在传统设置中,警报触发后,分析人员需要花费 30 分钟收集日志、检查病毒总数并撰写摘要。

有了 Elastic,整个分流阶段在分析师打开笔记本电脑之前就能自动完成,将平均分流时间从 30 分钟缩短到 2 分钟以下。

工作流程:

  1. 触发器: 攻击发现按计划运行,并将 15 不同的警报关联到单一的高保真攻击链中。
  2. 工作流程步骤(丰富):工作流程会自动触发,并在涉及的每个实体(主机、用户、文件哈希值)中循环。它会根据 VirusTotal 等威胁情报源进行查找。
  3. 工作流程步骤(调用代理):工作流程将此数据包传递给特定的"分流 代理。"
  4. 代理执行:代理不只是复制粘贴数据。它对攻击链进行推理,将其与 MITRE ATT&CK 框架进行比较,关联相关日志,并生成一份专为 2 级分析师定制的可由人工阅读的调查摘要。
  5. 结果:工作流程将人工智能生成的分析结果直接发布到新的案例中,包括严重程度评分、深度调查、根本原因分析和建议的下一步措施。

用户影响:分析人员每天开始审查的是一个完全符合上下文的案例,而不是追逐原始日志。

使用案例:"Human-in-the-Loop" 调查

将自然语言转化为确定性行动

一旦分析师开始调查,他们往往需要执行一些打破工作流程的行政任务,如查找待命人员、建立作战室或通知领导。

在 "弹性安全 "中,分析师会留在聊天界面中。由于我们允许您将工作流程定义为代理的工具,因此分析师只需要求代理处理后勤工作即可。

工作流程:

  1. 分析员提示: "我们已确认发生了一起事故。谁在值班?请为此事件创建一个 Slack 频道并邀请他们。"
  2. 代理推理:代理识别意图与您预先配置的"事件响应设置" 工作流程工具相匹配。
  3. 执行工作流程:
    • 步骤 1:查询 PagerDuty 集成,查找待命工程师。
    • 第 2 步:调用 Slack API 创建名为#incident-[id] 的频道。
    • 第 3 步:在该频道发布初步案件摘要。
  4. 结果:代理向分析员确认:"我 已创建了 #incident-982 频道,并将 Jane Doe(值班人员)添加到该频道。"

使用案例:引导修复和遏制

精确的速度响应

当需要遏制威胁时,速度至关重要,但安全也同样重要。你不会希望一个 LLM"幻觉" 一个对防火墙的 API 调用。这就是代理+工作流程组合的安全优势所在。

工作流程:

  1. 分析员提示: "隔离涉及黑猫警报的主机。"
  2. 代理推理:代理根据调查背景确定host123 主机。它创建了一个调用"Host Isolation" 工作流程的计划。
  3. 决策点:代理向用户提交计划:"我即将通过 Elastic Defend 为 host123 触发 "隔离主机 "工作流。"
  4. 工作流执行:确定性工作流通过 Elastic Defend (XDR) 执行隔离命令,确保完全按照工程团队的定义记录和执行操作。
  5. 结果:立即隔离宿主。

用户影响:通过硬编码自动化的安全性和审计跟踪,您可以轻松实现自然语言交互。

我们正在摆脱必须在灵活的人工智能聊天和僵化的 SOAR 操作手册之间做出选择的世界。未来是一个自主 SOC,两者密不可分。

通过使用代理生成器创建了解您特定环境的自定义代理(使用 RAG 和您自己的数据),并为它们配备弹性工作流作为工具,您可以有效地提高团队的能力和扩展专业技能。您部署的不仅仅是一个聊天机器人,而是一个了解您的运行手册、尊重您的权限并全天候工作的虚拟团队成员。

有关 Agent Builder 入门的更多详细信息,请阅读本博客

代理生成器和工作流程作为技术预览版现已推出。从Elastic Cloud 试用版开始,并在此处查看代理生成器文档,在此处查看工作流文档。

分享这篇文章

XFacebookLinkedInReddit