节省分析师时间:用 AI 实现更智能的防御调查

已于 2025-06-21 09:20:40 修改
阅读量566 收藏 10
点赞数 15
CC 4.0 BY-SA版权
分类专栏: Security Elastic 文章标签: 人工智能 elasticsearch 大数据 搜索引擎 全文检索 ai 安全威胁分析
于 2025-06-21 09:18:25 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/148804774

作者:来自 Elastic Crossley McEwen

如何减少调查疲劳并提升运营效率。

英国(MOD)的安全分析师 —— 以及全球各地的安全分析师 —— 面临着巨大的挑战:他们每天可能收到成千上万条警报,在没有技术干预的情况下,及时区分真实威胁和误报几乎变得不可能。人力成本很高 —— 超过 70% 的 SOC 分析师(各行业)报告出现倦怠,同时 MOD 在过去五年中数据泄露事件增长了 400%。组织通常通过增加更多工具、人员和(不必要的)开支来应对,而没有解决根本的效率问题。

实现 MOD 的 AI 生产力目标

英国《国防人工智能战略(2022)》认识到这一挑战,指出“在数据无处不在的环境中,情报分析师越来越需要自动化汇总和分析大规模数据集。”MOD 也认识到 AI 改善生产力、减轻安全分析师工作负担的潜力,计划建立生产力组合,用以识别和跟踪新兴技术的潜在应用,如 AI:

  • 自动化并加速日常业务和政策工作

  • 提升决策速度

  • 优化物流

  • 增强军事能力的可用性

Elastic 的灵活性和可扩展性使其能够支持 MOD 的战略,不仅仅是增加噪音和复杂度的另一个工具,而是作为一种能力倍增器,改变分析师的工作方式。通过将 AI 直接集成到工作流程中,像 AI AssistantAttack Discovery 这样的工具可以同时处理多条数据流,将数百条警报浓缩为可操作的情报。它能提升一线分析师的能力,将数小时的枯燥调查和重复任务缩短为数分钟的聚焦高价值分析和行动。

立即看到完整全貌

MOD 希望实现日常操作的自动化,同时提升安全运营中的决策速度。实际上,这意味着快速区分真实威胁与消耗分析师宝贵时间的背景噪声。

这可以通过 AI 驱动的系统实现,这些系统将看似无关的警报连接成完整的攻击叙事。通过同时分析数百条警报,并根据资产重要性、风险评分和行为模式进行评估,安全团队能够识别出最需要立即关注的关键攻击。当对手试图在多个系统间建立持久存在时,像 Attack Discovery 这样的工具能够识别出模式,并将其呈现为一个连贯的攻击故事。

自然语言界面辅佐这一能力,使分析师可以无技术障碍地进行更深入调查。分析师能快速提出后续问题,比如“显示过去一周我们网络中所有类似活动”,并获得通常需要复杂查询才能得到的上下文洞察。AI Assistant 就是实现这种更直观调查过程的一种方式。

安全团队能够在几分钟内识别、理解并应对威胁,而非数小时,从而收回多达 74% 的全职员工(FTE)之前用于日常任务的时间——这直接支持了《国防 AI 战略》将速度和效率视为未来冲突决定因素的重点。

现在观看

简化安全运营

这个统一的数据模型将终端、网络和云的遥测数据汇集到一个可搜索的数据视图中。分析师可以快速从警报切换到详细调查,无需更换操作环境。通过消除对独立工具及其相关授权费用的需求,总体安全工具成本可减少约 25%,同时提升能力并降低复杂度。调查指南和预构建的流程手册规范响应流程,而基于机器学习的检测规则能够识别可能被遗漏的威胁。

在补救方面,安全团队可以同时在分布式终端执行操作 —— 隔离受感染的机器、终止恶意进程或部署补丁,而无需离开平台。这个端到端的工作流自动化将曾经需要数小时、多工具完成的流程变为简化操作。

构建零信任基础

MOD 面临 2026 年实施零信任架构截止日期——这并非易事。应对这一挑战的实际方法是侧重于数据整合,而不是增加更多安全工具。将身份验证日志、网络流量和应用遥测数据收集到一个地方,实现了跨传统分隔领域的可视化。这对零信任至关重要。当用户访问敏感数据时,系统不仅要验证其身份,还要检查设备健康状况、网络路径,甚至访问的时间和地点。没有统一数据,这些检查变得繁琐甚至不可能,威胁可能因此被漏检或困在孤立系统中。

数据基础使零信任的实施变得切实可行,确保 MOD 达成 2026 年目标。

了解国防领导者如何借助 AI 和统一数据可视化,实现跨领域的安全实时协作。观看我们的系列网络研讨会

更多资源:

来源:

  1. Tines,“Voice of the SOC Analyst,” 2021。

  2. Intersec,“MOD Fights Back,” 2024。

  3. Ministry of Defence,“Defence Artificial Intelligence Strategy,” 2022。

  4. Civil Service World,“MoD to investigate potential for AI to improve productivity,” 2024。

本文所述的任何功能发布及时间均由 Elastic 全权决定。当前不可用的功能可能无法按时或完全提供。

本文可能使用或提及了由第三方拥有和运营的生成式 AI 工具。Elastic 无法控制这些第三方工具,对其内容、运行或使用不承担任何责任,也不对你使用这些工具可能造成的任何损失或损害负责。使用 AI 工具处理个人、敏感或机密信息时,请务必谨慎。你提交的任何数据可能会用于 AI 训练或其他用途,无法保证信息安全或保密。使用前,请熟悉相关生成式 AI 工具的隐私政策和使用条款。

Elastic、Elasticsearch 及相关标识为 Elasticsearch N.V. 在美国及其他国家的商标或注册商标。所有其他公司和产品名称为其各自所有者的商标、标识或注册商标。

原文:Reducing security analyst fatigue with AI in defence cybersecurity operations | Elastic Blog

博客
Elastic 线下 Meetup 将于 2025 年 6 月 28 号下午在南京举行
05-19 1715
​2025 Elastic Meetup 南京站活动,由 Elastic、TechTalk 社区、新智锦绣联合举办,现诚邀广大技术爱好者及开发者参加。2025年6月28日 13:30-18:00江苏省南京市秦淮区汉中路189号平安金融中心三楼2025 Elastic Meetup 南京站_发现精彩城市生活-活动发布及直播平台!!请报名成功后,扫码加入本次活动群,接收活动相关信息讲师:Elastic 社区首席布道师 —— 刘晓国现为 Elastic 社区首席布道师。新加坡国立大学硕士,西北工业大学本硕。曾就职
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
从 Elasticsearch 集群中移除一个节点
06-21 633
摘要:本文介绍了从Elasticsearch集群安全移除节点的步骤:1)可选执行同步刷新;2)获取节点名称;3)通过更新集群设置将节点排除;4)等待分片迁移完成后停止节点进程;5)验证集群状态。整个过程确保无数据丢失和性能影响。对于不想管理节点的用户,推荐使用ElasticCloud Serverless托管服务。文章还提供了相关命令和操作指南。(150字)
博客
ECK 简化:在 GCP GKE Autopilot 上部署 Elasticsearch
06-20 364
本文介绍了如何在Google Kubernetes Engine(GKE) Autopilot上部署Elasticsearch集群。主要内容包括:1) 使用GKE Autopilot全托管Kubernetes服务简化集群管理;2) 通过Elastic Cloud on Kubernetes(ECK)运维工具快速部署Elasticsearch和Kibana;3) 详细配置步骤,包括创建集群、安装ECK Operator、部署单节点实例及调整资源配置;4) 如何通过LoadBalancer公开访问Kibana;
博客
使用 AI 加速你从当前 SIEM 迁移到 Elastic Security
06-19 608
摘要:Elastic Security 8.18/9.0推出Automatic Migration功能,利用生成式AI实现SIEM的无缝迁移。该功能通过ELSER NLP模型进行语义匹配,将Splunk规则自动映射到1300+预建检测规则,未匹配规则则通过RAG技术转换为ES|QL查询。系统提供三重验证机制确保翻译准确性,并支持可视化对比和AI辅助编辑。目前以技术预览形式开放给企业级客户,未来将扩展支持更多SIEM系统和仪表板迁移。该功能与AutomaticImport等AI工具协同,可大幅降低迁移复杂度
博客
Elastic 在 Microsoft Build 2025 —— 开发者,开发者,开发者!
06-19 703
Elastic以顶级赞助商身份亮相Microsoft Build 2025开发者大会,重点展示其AI创新成果。大会期间,Elastic将通过技术会议、现场演示(5月20日Theater B)和展台交流(#200),向开发者介绍Azure LLM与Elasticsearch的智能搜索集成、LLM可观测性方案等新技术。同时宣布多项重要进展:Elasticsearch正式支持混合搜索和BBQ向量数据库优化技术;推出Security自动迁移功能;Elastic Cloud Serverless即将在Azure正式发
博客
炒作已经结束:生成式 AI 正推动企业搜索的发展
06-18 652
Accenture与Elastic合作推动企业生成式AI应用转型。随着2025年生成式AI进入生产阶段,企业需要构建强大的数据基础。双方合作结合Elastic的AI搜索技术和Accenture的行业专长,帮助企业优化数据利用。Elastic的多阶段检索策略和Accenture的"手术室"流程显著提升搜索准确性。典型案例显示,采用该方案的企业已实现95%相关性提升和50%检索加速。文章强调,企业应着眼AI驱动的业务流程重塑,而非简单自动化,并建议从高成功率的内部场景切入。通过建立可搜索的知
博客
使用 Elasticsearch 提升 Copilot 能力
06-18 1263
了解如何将 Elasticsearch 与 Microsoft 365 Copilot Chat 和 Microsoft Teams 中的 Copilot 搭配使用。
博客
Elasticsearch Open Inference API 新增对 Cohere 的 Rerank 3 模型支持
06-17 862
Reranker 会对现有向量搜索或关键词搜索系统返回的 “前 n 个结果” 进行语义增强,不需要更换模型或更改数据索引,就能显著提升这些结果的相关性,使其更适合作为上下文传递给大语言模型(LLMs)。Elastic 最近与 Cohere 合作,使 Elasticsearch 开发者能轻松使用 Cohere 的。
博客
IBM 与 Elasticsearch 合作,通过 watsonx Assistant 提供对话式搜索
06-17 615
IBM与Elasticsearch合作,为watsonx Assistant集成检索增强生成(RAG)能力,提供基于企业数据的对话式AI搜索功能。通过Elasticsearch向量数据库支持多模态数据检索和混合搜索,结合IBM Granite等大语言模型,实现业务上下文的智能对话体验。IBM watsonx Discovery平台与Elasticsearch深度整合,提供语义搜索、联合搜索和向量搜索能力,助力企业快速构建AI助手。该方案显著提升AI应用开发效率(8-32倍),支持开箱即用的ELSER语义搜索
博客
Elasticsearch 开放推理 API 增加对 IBM watsonx.ai rerank 模型的支持
06-17 1307
Elasticsearch开放推理API新增对IBM watsonx.ai rerank模型的支持,提升语义搜索体验。通过集成IBM watsonx reranker,用户无需重新索引即可实现高相关性搜索排序。文章详细介绍了在Elasticsearch Serverless项目中使用IBM watsonx API密钥创建推理端点、配置索引数据,以及通过text_similarity_reranker进行语义重排搜索的完整流程。测试结果显示,相比传统关键词匹配,语义重排能更准确地返回上下文相关结果。该集成增强
博客
Elastic:什么是 MLOps?
06-16 561
MLOps(机器学习运维)是一套流程,旨在简化机器学习模型的开发、部署及维护。它结合了机器学习、DevOps和数据工程,通过自动化、持续监控和治理确保模型可靠性。MLOps框架包括数据准备、模型训练、部署和监控等组件,面临成本、工具选择和技能要求等挑战,但能提升效率、网络安全和模型可观察性。Elastic等工具可帮助实现MLOps的可观察性和数据分析需求。
博客
Elasticsearch:什么是搜索分析?
06-16 601
搜索分析很重要,因为它让企业和网站所有者能够深入了解用户的行为和偏好。它衡量网站搜索功能的整体有效性,提供优化网站和知识库所需的洞察。搜索分析在搜索引擎优化( search engine optimization - SEO )和搜索引擎营销( SEM )等领域,以及任何拥有搜索应用的组织中都很有用,因为它可以提升搜索相关性和搜索引擎排名,从而通过搜索带来更好的用户体验。
博客
Elasticsearch:什么是异常检测?
06-16 837
异常检测摘要 异常检测是识别数据中偏离正常模式的技术,用于发现潜在问题或威胁。常见异常类型包括点异常(单个异常值)、上下文异常(环境相关异常)、集体异常(群体模式异常)、时间异常(时序偏差)及空间异常(地理分布异常)。其核心流程为建立基线模型、比对新数据、验证并处理异常。主要技术分为基于规则和机器学习(监督/无监督/半监督学习)两类,广泛应用于网络安全、系统监控、欺诈检测等领域。虽然能提前预警风险,但也面临数据标注不足、误报/漏报平衡等挑战。最佳实践强调数据理解、技术适配和持续优化。Elastic等工具提供
博客
什么是商业中的人工智能 ?
06-16 1093
什么是商业中的人工智能 ?​商业中的 AI 有助于提升生产力并简化运营,从而提升商业价值。像 machine learning、 deep learning 和 natural language processing (NLP) 这样的人工智能技术利用数据的力量,在解决问题和做决策方面实现了超越人类能力的规模。诸如 predictive analysis 这样的能力 —— 可以使用数据预测未来结果并基于趋势建模可能性——以实际方式体现了 AI 的优势。从日常生产力到推动创新, AI 也彻底改变了商业。
博客
Elasticsearch:什么是混合搜索?
06-15 880
混合搜索(Hybridsearch)是一种融合关键词搜索和语义搜索的新型检索方式,通过结合传统精确匹配与语义理解的优势,显著提升搜索精准度。它将BM25排序算法与向量搜索技术相结合,既能处理精确关键词匹配(稀疏向量),又能理解查询意图和上下文(密集向量)。混合搜索特别适合处理模糊查询和复杂语义场景,在电商、企业文档等应用中展现优势。与检索增强生成(RAG)技术结合后,还能为生成式AI提供更准确的上下文信息。Elastic等平台已提供开箱即用的混合搜索解决方案,使开发者能轻松实现更智能的搜索体验。
博客
什么是 traces?
06-14 1100
分布式追踪是实现云原生应用可观测性的关键技术,它通过记录请求在微服务架构中的完整调用链(包含traceID、span层级和时间戳等元数据),帮助开发者快速定位性能瓶颈和错误根源。与传统追踪相比,分布式追踪能应对复杂的服务网络,提供端到端的代码级可视化。OpenTelemetry作为开源标准,统一了追踪数据采集方式。结合日志、指标和持续分析三大支柱,分布式追踪使运维团队能全面监控系统健康状态,通过AI增强的异常检测优化应用性能。实施时需完成工具选型、代码埋点、数据收集分析和可视化等步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值