Elastic 通过 AI 驱动的安全分析改变 SIEM 游戏

2024-05-07 17:44

本文主要是介绍Elastic 通过 AI 驱动的安全分析改变 SIEM 游戏,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

作者:Santosh Krishnan, Jennifer Ellard

借助由搜索 AI 提供支持的新攻击发现功能,优先考虑攻击,而不是警报。

传统的安全信息与事件管理系统(SIEM)在很大程度上依赖屏幕背后的人类才能取得成功。警报、仪表盘、威胁猎杀以及在信号洪流中找到上下文,所有这些都需要大量的人力。搜索人工智能将颠覆这一旧模式,并将传统的 SIEM 替换为适用于现代安全运营中心的人工智能驱动的安全分析解决方案。想象一下,一个系统可以筛选所有的数据,忽略噪音并识别出关键信息,发现特定的攻击,并制定具体的修复措施。Elastic Search AI 平台支持的 Elastic Security 正在实现这一进化,用人工智能取代了配置、调查和响应方面的大部分手工流程。搜索人工智能平台独特地结合了搜索和检索增强生成(RAG),提供了重要的超相关结果。

自 2019 年推出 SIEM 版的 Elastic Security 以来,该解决方案已经发展到包括一些行业内最先进的分析功能,包括 100 多个预先构建的基于机器学习的异常检测作业,可以快速检测到以前未知的威胁。Elastic 去年推出了 Elastic AI Assistant for Security,以帮助 SOC 分析师进行规则编写、警报摘要以及工作流和集成建议。IDC 最近在其对 AI 助手的印象的 IDC 市场展望中强调了 Elastic 如何克服这些限制。

像 AI 助手这样的联合驾驶员正在迅速成为许多类型的安全产品的标配。因此,这些早期努力仍然取决于分析师有效使用它们的能力。现在是将 AI 指导和自动化整合到 SOC 的核心调查工作流程中的时候了。今天,我们推出了一项新的人工智能功能,即 Elastic Attack Discovery(专利申请中),由 Elastic Search AI 平台提供支持。Attack Discovery 可以通过单击一个按钮将数百个警报进行分级处理,将其减少到少数几个重要攻击,并以直观的界面返回结果,使安全运营团队能够快速了解所呈现的攻击,采取即时的后续行动等。

优先考虑攻击,而不是警报

Elastic 的人工智能驱动的安全分析建立在搜索人工智能平台之上,其中包括由业界最先进的搜索技术提供支持的 RAG。 大型语言模型 (LLM) 的准确性和最新性取决于它们所利用的信息:它们的基础训练数据和提示提供的上下文。 因此,他们需要丰富的、最新的数据来提供准确的、定制的结果 —— 而有效地收集这些机密知识需要搜索。 基于搜索的 RAG 自动提供此上下文,无需构建定制的 LLM 并根据不断变化的内部数据不断对其进行重新训练。

Webinar: Accelerate your SOC with AI | Elastic Videos

Attack Discovery 独特地利用搜索 AI 平台来排序和识别 LLM 评估哪些警报详细信息。 通过使用 Elasticsearch 的混合搜索功能查询 Elastic Security 警报中包含的丰富上下文,该解决方案检索最相关的数据以提供给 LLM,并指示其相应地识别少数攻击并确定其优先级。 这包括主机和用户风险评分、资产关键性评分、警报严重性、描述、警报原因等数据。

人工智能驱动的安全分析

“作为一个精简的组织,我们没有运营传统的 SOC 团队,因此能够利用我们现有的团队和生成式人工智能更快地保护我们的资产是非常令人兴奋的,”Bolt 的云安全团队负责人Kadir Burak Mavzer 表示。“我们已经看到了 Elastic AI 助手取得的出色成果,并期待着很快使用 Attack Discovery。”

“公司面临的攻击既持续又复杂,而且没有任何手段可以减缓信号洪流,大多数安全团队都在挣扎,难以保持头脑清醒,”Elastic 安全总经理 Santosh Krishan 表示。“我们近 20% 的安全客户已经在使用我们的 AI 助手来提高团队的效率。类似地,Attack Discovery 将提升生产力,并补充从业者的知识,加快威胁检测、调查和响应的速度。它帮助你的人员 —— 以及 SOC —— 取得成功。”

减轻 SOC 的工作负担

许多 SOC 每天都要筛选数千个警报。这项工作很乏味,耗时且容易出错。Elastic 消除了这种手工努力的需要。Attack Discovery 通过筛选出误报,并将剩余的强信号映射到离散的攻击链中,显示相关警报是攻击链的一部分。Attack Discovery 使用 LLM 评估警报,考虑到严重程度、风险评分、资产重要性等因素。通过提供准确且快速的分类,分析师可以花更少的时间筛选警报,更多的时间进行调查和应对威胁。

“你们用 AI Attack Discovery 解决了劳动力短缺的问题。这项调查原本需要整个团队来完成,”EMA 的安全分析师 Ken Buckler 表示。“Attack Discovery 让 Splunk 望尘莫及!”

Elastic 的优势

搜索人工智能平台利用代表你整个攻击面的数据,提高了 LLM 提供的洞察力和指导的准确性。Elastic 采用了一种与 LLM 无关的方法,并默认启用了组织对数据进行匿名化和删除机密数据。

立即了解我们的 AI 驱动的安全分析解决方案。

本帖中描述的任何功能或功能的发布和时间仍由 Elastic 完全决定。任何当前不可用的功能或功能可能不会按时或根本不会提供。

在本博客文章中,我们可能使用或引用了第三方生成式人工智能工具,这些工具由其各自的所有者拥有和运营。Elastic 对第三方工具没有任何控制权,对其内容、运作或使用不承担任何责任或义务,也不对你使用此类工具可能产生的任何损失或损害承担责任。在使用涉及个人、敏感或机密信息的AI工具时,请务必小心。你提交的任何数据可能会用于AI培训或其他目的。我们不能保证你提供的信息将被保密。在使用前,请熟悉任何生成式人工智能工具的隐私做法和使用条款。

Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine及相关标记是Elasticsearch N.V.在美国和其他国家的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。

原文:Elastic changes the SIEM game with AI-driven security analytics | Elastic Blog

这篇关于Elastic 通过 AI 驱动的安全分析改变 SIEM 游戏的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/967957

相关文章

Redis主从/哨兵机制原理分析

《Redis主从/哨兵机制原理分析》本文介绍了Redis的主从复制和哨兵机制,主从复制实现了数据的热备份和负载均衡,而哨兵机制可以监控Redis集群,实现自动故障转移,哨兵机制通过监控、下线、选举和故... 目录一、主从复制1.1 什么是主从复制1.2 主从复制的作用1.3 主从复制原理1.3.1 全量复制

Ubuntu系统怎么安装Warp? 新一代AI 终端神器安装使用方法

《Ubuntu系统怎么安装Warp?新一代AI终端神器安装使用方法》Warp是一款使用Rust开发的现代化AI终端工具,该怎么再Ubuntu系统中安装使用呢?下面我们就来看看详细教程... Warp Terminal 是一款使用 Rust 开发的现代化「AI 终端」工具。最初它只支持 MACOS,但在 20

Redis主从复制的原理分析

《Redis主从复制的原理分析》Redis主从复制通过将数据镜像到多个从节点,实现高可用性和扩展性,主从复制包括初次全量同步和增量同步两个阶段,为优化复制性能,可以采用AOF持久化、调整复制超时时间、... 目录Redis主从复制的原理主从复制概述配置主从复制数据同步过程复制一致性与延迟故障转移机制监控与维

Redis连接失败:客户端IP不在白名单中的问题分析与解决方案

《Redis连接失败:客户端IP不在白名单中的问题分析与解决方案》在现代分布式系统中,Redis作为一种高性能的内存数据库,被广泛应用于缓存、消息队列、会话存储等场景,然而,在实际使用过程中,我们可能... 目录一、问题背景二、错误分析1. 错误信息解读2. 根本原因三、解决方案1. 将客户端IP添加到Re

Redis主从复制实现原理分析

《Redis主从复制实现原理分析》Redis主从复制通过Sync和CommandPropagate阶段实现数据同步,2.8版本后引入Psync指令,根据复制偏移量进行全量或部分同步,优化了数据传输效率... 目录Redis主DodMIK从复制实现原理实现原理Psync: 2.8版本后总结Redis主从复制实

锐捷和腾达哪个好? 两个品牌路由器对比分析

《锐捷和腾达哪个好?两个品牌路由器对比分析》在选择路由器时,Tenda和锐捷都是备受关注的品牌,各自有独特的产品特点和市场定位,选择哪个品牌的路由器更合适,实际上取决于你的具体需求和使用场景,我们从... 在选购路由器时,锐捷和腾达都是市场上备受关注的品牌,但它们的定位和特点却有所不同。锐捷更偏向企业级和专

Spring中Bean有关NullPointerException异常的原因分析

《Spring中Bean有关NullPointerException异常的原因分析》在Spring中使用@Autowired注解注入的bean不能在静态上下文中访问,否则会导致NullPointerE... 目录Spring中Bean有关NullPointerException异常的原因问题描述解决方案总结

python中的与时间相关的模块应用场景分析

《python中的与时间相关的模块应用场景分析》本文介绍了Python中与时间相关的几个重要模块:`time`、`datetime`、`calendar`、`timeit`、`pytz`和`dateu... 目录1. time 模块2. datetime 模块3. calendar 模块4. timeit

python-nmap实现python利用nmap进行扫描分析

《python-nmap实现python利用nmap进行扫描分析》Nmap是一个非常用的网络/端口扫描工具,如果想将nmap集成进你的工具里,可以使用python-nmap这个python库,它提供了... 目录前言python-nmap的基本使用PortScanner扫描PortScannerAsync异

Oracle数据库执行计划的查看与分析技巧

《Oracle数据库执行计划的查看与分析技巧》在Oracle数据库中,执行计划能够帮助我们深入了解SQL语句在数据库内部的执行细节,进而优化查询性能、提升系统效率,执行计划是Oracle数据库优化器为... 目录一、什么是执行计划二、查看执行计划的方法(一)使用 EXPLAIN PLAN 命令(二)通过 S