使用 AI 加速你从当前 SIEM 迁移到 Elastic Security

于 2025-06-19 11:11:50 发布
阅读量517 收藏 8
点赞数 11
CC 4.0 BY-SA版权
分类专栏: Security Elastic 文章标签: 人工智能 elasticsearch 大数据 搜索引擎 全文检索 安全威胁分析
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/148761358

作者:来自 Elastic Charles Davison, Mark Settle

利用 Search AI 驱动的 Automatic Migration,更快采用 Elastic Securit y—— 无需手动重建 SIEM 内容

迁移检测规则、仪表板和其他内容是切换 SIEM 中最具挑战性的部分之一。生成式 AI 可以减轻这一负担。

Elastic Security 8.18 和 9.0 新增的 Automatic Migration(自动迁移)功能,能够映射和转换现有的检测规则,降低迁移到新 SIEM 的工作量和复杂性。它与 Automatic Import(自动导入)功能互补,后者可创建自定义数据集成,同时还结合了 Elastic 的其他基于 AI 的功能。我们目前先支持 Splunk 的自动迁移,计划很快支持更多 SIEM 系统。同时,还会支持仪表板、可视化等更多 SIEM 内容的迁移。

Automatic Migration 可以可靠地将复杂的 Splunk 检测规则迁移到 Elastic Security。该功能使用基于 ELSER 自然语言处理(NLP)模型的语义搜索,将现有规则映射到 Elastic 内置规则,即使没有完全匹配的文本,也能匹配相应规则。未映射的规则(包括关联的查找表和宏)会通过基于自定义知识的生成式 AI 转换成新的 Elastic 查询。迁移完成后,Automatic Migration 会验证转换的规则,并提供直观界面便于快速安装。

Elastic 工程师通过真实规则集的性能评估和大量错误测试验证了 Automatic Migration 的可靠性。我们还在多个 AI 模型上进行了测试,结果可以在 Elastic Security 的 LLM 性能矩阵中查看。

Automatic Migration 目前以技术预览形式向所有拥有 Enterprise 许可证或 Elastic Cloud Serverless 的 Security Analytics Complete 级别客户开放。

Automatic Migration 现场演示

让我们看看该功能的实际使用情况。

Automatic Migration 可从 Elastic Security 的 “Get started” 页面访问。它支持按需运行,允许客户按照自己的节奏迁移规则,同时支持合并多个 Splunk 部署。

该功能引导用户从 Splunk 导出检测规则并上传。它会扫描规则中对宏和查找表的引用,发现后会提示你一并上传。系统通过这些逻辑确保迁移后的检测规则与原规则功能等效。

使用语义搜索将现有规则映射到预构建规则

Automatic Migration 会将许多现有规则映射到 Elastic Security Labs 提供的 1300 多条预构建检测规则,这些规则涵盖了 MITRE ATT&CK 矩阵中的各种用例。借助由 ELSER 驱动的语义搜索,系统解析每条规则的标题、描述和查询,根据意图识别等效规则,而不仅仅依赖于完全匹配的文本。这些规则由 Elastic 工程师持续维护,极大减少了客户的维护工作。相比人工映射规则需要大量时间和领域知识,Automatic Migration 通常能在几分钟内完成映射。

利用基于自定义知识的 AI 将现有规则翻译为新规则

当没有对应的预构建规则时,Automatic Migration 会创建自定义规则并验证其功能。它首先使用检索增强生成(retrieval augmented generation - RAG)识别与查询相关的预构建数据集成。然后将查询从 Search Processing Language(SPL)翻译为 ES|QL,利用基于自定义知识的 AI 进行转换。接着系统确定性地验证语法,如有必要会循环修改并重新测试逻辑。该流程确保每条完整翻译的规则符合 Elastic 的模式和结构,实现规则的可靠执行和性能。

规则映射与翻译流程详解

下图展示了 Automatic Migration 的工作流程:

让我们分解以上提到的步骤。

  1. 用户上传通过提供的 SPL 查询导出的 Splunk 规则、宏和查找表,该查询可以修改,比如按应用或时间筛选规则。
  2. Automatic Migration 试图将 Splunk 规则映射到 Elastic 的预构建规则。后台会使用 ELSER 生成 Elastic 预构建检测规则的向量表示(embedding)。
  3. 该功能使用大型语言模型(LLM)生成与每条 Splunk 规则内容相关的关键词。
  4. Automatic Migration 用每条 Splunk 规则的关键词对 Elastic 预构建规则的向量表示进行语义搜索,识别潜在匹配项。
  5. Automatic Migration 将语义搜索结果传给 LLM,由其判断是否为完全或非常接近的匹配。
  6. 如果找到匹配,预构建规则会被加入已翻译规则集中。
  7. 如果未找到匹配,Automatic Migration 继续翻译 SPL 规则。
  8. LLM 会将 SPL 查询中的宏替换为其展开形式。如果查询引用了查找表,查找文件会作为查找索引(lookup index)被索引到 Elasticsearch。
  9. 当 LLM 返回替换了宏的 SPL 查询后,Automatic Migration 会进行另一轮语义查询,识别执行查询可能需要的预构建数据集成。
  10. 然后,Automatic Migration 使用一个推理插件将 SPL 查询翻译成 ES|QL,这个插件能够根据自然语言请求生成 ES|QL 查询,与 Elastic AI Assistant 使用的是同一插件。插件包含所有可用 ES|QL 函数目录及其用法,LLM 会利用与原始查询相关的指令。
  11. Automatic Migration 验证翻译后查询的语法。如果语法无效,查询和错误代码会返回给 LLM 进行修改。该循环最多运行三次。
  12. 如果查询有效,Automatic Migration 指导 LLM 将 Splunk 通用信息模型(CIM)中的特定字段映射到 Elastic 通用架构(ECS)。如果没有找到直接映射且 LLM 无法确定合适的 ECS 字段,则保留原字段名不变。

审查并安装你的翻译规则

Automatic Migration 会显示所有翻译规则,并提供直接访问。规则根据翻译状态排序:

  • 已映射或自定义的规则,已完全翻译且准备安装

  • 部分翻译的规则,需用户操作

  • 无法翻译的规则,可能因查询语言功能差异导致

你可以一键查看单条规则。Translation(翻译)标签页并排展示源规则和 Elastic 版本,方便高效对比。你可以进行编辑,并获得 Elastic AI Assistant 提供的关于规则语法和逻辑的上下文帮助。在 Overview(概览)标签页,可以查看规则的严重性、风险评分和执行间隔等详细信息。

自己体验 AI 的工作过程

理解并信任你的检测结果至关重要,因此 Automatic Migration 会详细说明每条规则是如何映射或翻译的。Summary(摘要)标签页概述了关键决策的理由 —— 比如字段分配和特定 ES|QL 命令的使用 —— 并突出显示任何缺失的宏或查找表。这种透明度帮助你验证翻译规则的行为,确保符合你的检测目标。

当规则仅部分翻译时,Automatic Migration 会识别阻碍因素,比如索引名称不匹配或缺失列。你可以按照步骤指引上传缺失的宏或查找表,如果缺少所需数据,系统还会建议相关集成。

准备就绪后,你可以一键安装已完全翻译的规则。

Elastic 的 AI 功能如何帮助 SOC 团队

Elastic Security 的 AI 功能帮助 SOC 团队加强整个 IT 环境的防御:

  • Automatic Migration 补充了 Elastic 丰富的预构建规则库,扩大检测用例覆盖范围。

  • Automatic Import 通过快速接入自定义数据源,扩展可视化并支持检测规则。

  • Attack Discovery 精炼检测规则产生的警报,精准定位威胁并建议后续步骤。

  • Elastic AI Assistant 使用自然语言指导分析员完成调查和响应。

探索切换到 Elastic Security

我们期待你开始使用 Automatic Migration。如有反馈,请在 Elastic 社区 Slack 频道Elastic Security 论坛告诉我们你的想法。

想在你的 SOC 使用 Elastic Security?免费试用或联系我们

Splunk 及其他相关标识为 Splunk Inc. 在美国及其他国家的商标或注册商标。所有其他品牌名称、产品名称、标识或商标均归其各自所有者所有。

本文描述的任何功能发布时间及发布权完全由 Elastic 决定。当前未提供的功能可能无法按时或完全发布。

本文可能使用或引用了由第三方所有和运营的生成式 AI 工具。Elastic 无法控制这些工具,对其内容、操作或使用不承担责任,也不对因你使用这些工具可能产生的任何损失或损害负责。使用 AI 工具处理个人、敏感或机密信息时请谨慎。你提交的任何数据可能被用于 AI 训练或其他用途,无法保证信息安全或保密。请在使用前熟悉相关工具的隐私政策和使用条款。

Elastic、Elasticsearch 及相关标识为 Elasticsearch B.V. 在美国及其他国家的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。

原文:Fast-track your switch from your current SIEM with Automatic Migration | Elastic Blog

博客
Elastic 线下 Meetup 将于 2025 年 6 月 28 号下午在南京举行
05-19 1708
​2025 Elastic Meetup 南京站活动,由 Elastic、TechTalk 社区、新智锦绣联合举办,现诚邀广大技术爱好者及开发者参加。2025年6月28日 13:30-18:00江苏省南京市秦淮区汉中路189号平安金融中心三楼2025 Elastic Meetup 南京站_发现精彩城市生活-活动发布及直播平台!!请报名成功后,扫码加入本次活动群,接收活动相关信息讲师:Elastic 社区首席布道师 —— 刘晓国现为 Elastic 社区首席布道师。新加坡国立大学硕士,西北工业大学本硕。曾就职
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elastic 在 Microsoft Build 2025 —— 开发者,开发者,开发者!
06-19 481
Elastic以顶级赞助商身份亮相Microsoft Build 2025开发者大会,重点展示其AI创新成果。大会期间,Elastic将通过技术会议、现场演示(5月20日Theater B)和展台交流(#200),向开发者介绍Azure LLM与Elasticsearch的智能搜索集成、LLM可观测性方案等新技术。同时宣布多项重要进展:Elasticsearch正式支持混合搜索和BBQ向量数据库优化技术;推出Security自动迁移功能;Elastic Cloud Serverless即将在Azure正式发
博客
炒作已经结束:生成式 AI 正推动企业搜索的发展
06-18 440
Accenture与Elastic合作推动企业生成式AI应用转型。随着2025年生成式AI进入生产阶段,企业需要构建强大的数据基础。双方合作结合Elastic的AI搜索技术和Accenture的行业专长,帮助企业优化数据利用。Elastic的多阶段检索策略和Accenture的"手术室"流程显著提升搜索准确性。典型案例显示,采用该方案的企业已实现95%相关性提升和50%检索加速。文章强调,企业应着眼AI驱动的业务流程重塑,而非简单自动化,并建议从高成功率的内部场景切入。通过建立可搜索的知
博客
使用 Elasticsearch 提升 Copilot 能力
06-18 1121
了解如何将 Elasticsearch 与 Microsoft 365 Copilot Chat 和 Microsoft Teams 中的 Copilot 搭配使用。
博客
Elasticsearch Open Inference API 新增对 Cohere 的 Rerank 3 模型支持
06-17 705
Reranker 会对现有向量搜索或关键词搜索系统返回的 “前 n 个结果” 进行语义增强,不需要更换模型或更改数据索引,就能显著提升这些结果的相关性,使其更适合作为上下文传递给大语言模型(LLMs)。Elastic 最近与 Cohere 合作,使 Elasticsearch 开发者能轻松使用 Cohere 的。
博客
IBM 与 Elasticsearch 合作,通过 watsonx Assistant 提供对话式搜索
06-17 600
IBM与Elasticsearch合作,为watsonx Assistant集成检索增强生成(RAG)能力,提供基于企业数据的对话式AI搜索功能。通过Elasticsearch向量数据库支持多模态数据检索和混合搜索,结合IBM Granite等大语言模型,实现业务上下文的智能对话体验。IBM watsonx Discovery平台与Elasticsearch深度整合,提供语义搜索、联合搜索和向量搜索能力,助力企业快速构建AI助手。该方案显著提升AI应用开发效率(8-32倍),支持开箱即用的ELSER语义搜索
博客
Elasticsearch 开放推理 API 增加对 IBM watsonx.ai rerank 模型的支持
06-17 1141
Elasticsearch开放推理API新增对IBM watsonx.ai rerank模型的支持,提升语义搜索体验。通过集成IBM watsonx reranker,用户无需重新索引即可实现高相关性搜索排序。文章详细介绍了在Elasticsearch Serverless项目中使用IBM watsonx API密钥创建推理端点、配置索引数据,以及通过text_similarity_reranker进行语义重排搜索的完整流程。测试结果显示,相比传统关键词匹配,语义重排能更准确地返回上下文相关结果。该集成增强
博客
Elastic:什么是 MLOps?
06-16 545
MLOps(机器学习运维)是一套流程,旨在简化机器学习模型的开发、部署及维护。它结合了机器学习、DevOps和数据工程,通过自动化、持续监控和治理确保模型可靠性。MLOps框架包括数据准备、模型训练、部署和监控等组件,面临成本、工具选择和技能要求等挑战,但能提升效率、网络安全和模型可观察性。Elastic等工具可帮助实现MLOps的可观察性和数据分析需求。
博客
Elasticsearch:什么是搜索分析?
06-16 585
搜索分析很重要,因为它让企业和网站所有者能够深入了解用户的行为和偏好。它衡量网站搜索功能的整体有效性,提供优化网站和知识库所需的洞察。搜索分析在搜索引擎优化( search engine optimization - SEO )和搜索引擎营销( SEM )等领域,以及任何拥有搜索应用的组织中都很有用,因为它可以提升搜索相关性和搜索引擎排名,从而通过搜索带来更好的用户体验。
博客
Elasticsearch:什么是异常检测?
06-16 829
异常检测摘要 异常检测是识别数据中偏离正常模式的技术,用于发现潜在问题或威胁。常见异常类型包括点异常(单个异常值)、上下文异常(环境相关异常)、集体异常(群体模式异常)、时间异常(时序偏差)及空间异常(地理分布异常)。其核心流程为建立基线模型、比对新数据、验证并处理异常。主要技术分为基于规则和机器学习(监督/无监督/半监督学习)两类,广泛应用于网络安全、系统监控、欺诈检测等领域。虽然能提前预警风险,但也面临数据标注不足、误报/漏报平衡等挑战。最佳实践强调数据理解、技术适配和持续优化。Elastic等工具提供
博客
什么是商业中的人工智能 ?
06-16 1088
什么是商业中的人工智能 ?​商业中的 AI 有助于提升生产力并简化运营,从而提升商业价值。像 machine learning、 deep learning 和 natural language processing (NLP) 这样的人工智能技术利用数据的力量,在解决问题和做决策方面实现了超越人类能力的规模。诸如 predictive analysis 这样的能力 —— 可以使用数据预测未来结果并基于趋势建模可能性——以实际方式体现了 AI 的优势。从日常生产力到推动创新, AI 也彻底改变了商业。
博客
Elasticsearch:什么是混合搜索?
06-15 866
混合搜索(Hybridsearch)是一种融合关键词搜索和语义搜索的新型检索方式,通过结合传统精确匹配与语义理解的优势,显著提升搜索精准度。它将BM25排序算法与向量搜索技术相结合,既能处理精确关键词匹配(稀疏向量),又能理解查询意图和上下文(密集向量)。混合搜索特别适合处理模糊查询和复杂语义场景,在电商、企业文档等应用中展现优势。与检索增强生成(RAG)技术结合后,还能为生成式AI提供更准确的上下文信息。Elastic等平台已提供开箱即用的混合搜索解决方案,使开发者能轻松实现更智能的搜索体验。
博客
什么是 traces?
06-14 1095
分布式追踪是实现云原生应用可观测性的关键技术,它通过记录请求在微服务架构中的完整调用链(包含traceID、span层级和时间戳等元数据),帮助开发者快速定位性能瓶颈和错误根源。与传统追踪相比,分布式追踪能应对复杂的服务网络,提供端到端的代码级可视化。OpenTelemetry作为开源标准,统一了追踪数据采集方式。结合日志、指标和持续分析三大支柱,分布式追踪使运维团队能全面监控系统健康状态,通过AI增强的异常检测优化应用性能。实施时需完成工具选型、代码埋点、数据收集分析和可视化等步骤。
博客
使用 Azure LLM Functions 与 Elasticsearch 构建更智能的查询体验
06-14 1487
摘要:本文介绍了一个结合Azure GenAI LLM与Elasticsearch的智能房地产搜索应用示例。通过GitHub Codespaces可快速配置运行该应用,实现精准灵活的混合搜索体验。文章详细说明了从创建Elasticsearch索引、配置搜索模板,到部署Azure OpenAI服务和Azure Maps的完整流程。该应用采用分层架构,利用LLM解析用户查询,并通过参数提取、地理编码和搜索工具生成结构化搜索请求,最终在Elasticsearch中执行混合搜索。读者可按照教程创建云资源,配置环境,
博客
什么是 OpenSearch?- 比较 OpenSearch 及 Elasticsearch
06-13 1162
OpenSearch是Amazon基于旧版Elasticsearch(7.10.2之前版本)和Kibana创建的分支项目,主要用于支持其Amazon OpenSearch Service。性能测试显示,Elasticsearch在速度、可扩展性和资源效率方面全面优于OpenSearch。Elastic强调其开源承诺,虽然曾因Amazon的行为调整许可证,但现已回归AGPL许可证。对比显示,Elasticsearch在搜索、数据分析、云中立性和十年积累的技术经验方面具有明显优势,而OpenSearch缺乏El
博客
下一代观测技术的进化:通过 OpenTelemetry 和生成式 AI 实现数据统一
06-13 1040
生成式AI与机器学习正在重塑观测技术,但数据孤岛阻碍了其潜力发挥。本文探讨如何通过OpenTelemetry统一日志、指标和追踪,打破数据壁垒,释放生成式AI在自然语言调查、根因分析和主动运维中的全部能力。传统观测工具将数据割裂存储,导致AI分析时面临信息不完整、关联困难等问题。而统一存储的丰富日志(包含完整上下文数据)与生成式AI结合,可实现跨维度智能分析、自然语言查询和预测性维护。文章展示了OpenTelemetry实现方案,并指出统一数据将推动观测从被动响应向主动运维进化,为企业带来更高效的问题诊断和
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值