作者:来自 Elastic jamesspi
安全运营团队通常会维护威胁情报报告的存储库,这些报告包含由报告提供商生成的大量知识。然而,挑战在于,这些报告的内容通常以 PDF 格式存在,使得在处理安全事件或调查时难以检索和引用相关信息,或者难以利用其中的威胁指标(indicators of compromise - IoC)进行威胁狩猎。通过将这些报告作为知识在 Elastic AI Assistant 中使用,这种情况将完全改变。
让我们以 2024 年 Elastic 全球威胁报告为例。
更多阅读,请参阅 "利用 Elastic AI Assistant 的自定义知识源增强威胁响应"。
步骤 1:启用和设置知识库
这是一个非常简单的步骤,它处理了 Elastic AI Assistant 使用知识库内容所需的一些先决条件。它是助手管理设置中的一个按钮。该过程只需几分钟即可完成。
步骤二:上传 PDF
知识库设置完成后,我们可以继续上传 PDF。为此,我们可以使用集成页面中名为 "Upload a file" 的集成。
你可以从下一个屏幕中选择 PDF。
出现提示时单击 Import。
下一步,我们需要转到 "Advanced" 选项卡。上传后,此 PDF 将保存在其自己的索引中,因此请随意命名索引。无需创建数据视图。
在单击导入按钮之前还有最后一步。我们需要添加一个 semantic text 字段。这允许助手从报告中检索正确的信息。
单击 Add additional field ,然后单击 Add semantic text field。
你可以保留单击 "Add semantic text field" 后出现的默认设置。
你现在可以单击 "Import"。
当文件导入成功后,你应该看到以下状态:
值得注意的是,虽然我们使用文件上传用户界面来添加此 PDF,但可以使用附件处理器(attachment processor)将此功能作为任何摄取过程的一部分自动执行。
步骤 3:将 PDF 索引添加为自定义知识
返回 AI 设置页面,选择新建以添加新知识条目,然后从列表中选择索引。
然后,系统会要求你选择刚刚创建的索引(在我们的示例中为 "global-threat-report-kb")、我们刚刚创建的语义文本字段(内容)以及助手应如何以及何时使用这些知识的描述。这应该是一个简单的句子描述,说明数据是什么以及何时以及如何查询数据。你还可以从此视图中设置此知识条目的相关权限。准备就绪后,点击 Save。
添加后,你应该在列表中看到新的知识条目:
威胁报告现已作为知识提供,可供助手使用。
比较结果
如果我们比较添加知识库条目之前和之后助手的结果,我们可以看到明显的差异。
在添加知识之前:
补充完知识之后:
我们的 PDF 从一堆无用的重要但难以使用的信息变成了我们的安全运营团队可以立即访问的信息。知识源的优点在于,Elastic AI Assistant 可以根据所提出的问题组合使用它们。请记住,默认情况下,Elastic AI Assistant 还可以将 500 条最新警报作为知识提取,从而可以提出强大的问题组合。
这个示例清楚地强调了为助手提供自定义知识源的实用性。正如我们之前强调的那样,还有许多其他场景和示例,其中自定义知识源很有用。
有关如何添加不同类型知识源的更多信息,您可以参考我们的详细文档。