利用 Elastic 工作流实现原生自动化——无需 SOAR

Elastic 工作流现已推出技术预览版，它为 Elastic Security 带来了原生自动化功能。Elastic Security 是一个自主化安全操作平台，已包含统一的 SIEM 和 XDR。不要再支付“自动化税”了。您无需购买、集成或维护单独的 SOAR 工具。

Elastic 工作流内置于 Elastic Security 中，它可以直接访问您的警报、案例和调查数据。通过执行操作手册中定义的任务，它可以消除人工分流环节，同时 AI 智能体通过复杂的调查来进行推理，以更快地遏制威胁。

Elastic 工作流一旦开始运行，便可无缝连接您的 SOC 所依赖的外部系统（例如云服务提供商、身份平台、服务台和消息工具），使单个自动化流程能够在您的整个安全堆栈中同步上下文信息。

Elastic 工作流将脚本化自动化与 AI 推理相结合。执行操作手册中定义的任务，确保一致性和可靠性，同时 AI 智能体对复杂的调查进行推理。

Elastic 工作流通过与 Elastic Agent Builder 集成实现其自主功能。Elastic Agent Builder 是 Elasticsearch 的原生功能，用于创建自定义 AI 智能体。该集成支持双向协作：Elastic 工作流可将智能体作为智能步骤调用，用于分析和决策；智能体也可将工作流作为工具调用，以执行具体操作，例如隔离主机、查询威胁情报、上报事件或更新案例。每个操作和推理步骤均透明且可配置。

由于 Elastic Security 建立在 Elasticsearch 平台之上，智能体能够利用源自您安全数据的优质上下文进行推理，并根据您的环境提供更准确的结果。AI 技能将通过为智能体提供模块化、特定领域的推理（如警报分流或恶意软件分析）来扩展这一能力，这些功能可按需动态加载，从而确保智能体在大规模应用场景下依然保持快捷与精准。

在实际应用中，具体情境如下：假设系统触发了一项警报，提示某个高权限账户有一次来自未知地点的可疑登录。通常您会从这里开始手动介入。但是通过 Elastic 工作流，一旦警报触发，系统会立即开始验证用户的典型行为，检查其他最近的登录异常，并将发现的结果汇总到一个新案例中，同时在 Slack 上向团队发出告警。

如果没有为此特定场景定义自动分流的操作手册，Elastic 工作流可以调用 AI 智能体介入。智能体会分析活动，将其与已知攻击模式进行比较，并提供实际发生情况的摘要。当分析人员打开案例时，他们面对的不是模糊的警报和空白的屏幕，而是已经整合好的上下文，并据此进行响应。

如果您的团队已经拥有 SOAR 平台，Elastic 工作流不需要您替换该平台。涉及 Elastic 数据的自动化——如警报分流、扩充、案例管理和响应操作——将原生导入 Elastic 工作流。非 Elastic 系统的跨平台编排仍保留在您现有的 SOAR 中。随着时间的推移，您可以按照自己的节奏进行整合。

本文中描述的任何功能或功能性的发布和时间均由 Elastic 自行决定。当前尚未发布的任何功能或功能性可能无法按时提供或根本无法提供。

在本博文中，我们可能使用或提到了第三方生成式 AI 工具，这些工具由其各自所有者拥有和运营。Elastic 对第三方工具没有任何控制权，对其内容、操作或使用不承担任何责任或义务，对您使用此类工具可能造成的任何损失或损害也不承担任何责任或义务。请谨慎使用 AI 工具处理个人、敏感或机密信息。您提交的任何数据都可能用于 AI 训练或其他目的。Elastic 不保证您所提供信息的安全性或保密性。在使用任何生成式 AI 工具之前，您都应自行熟悉其隐私惯例和使用条款。

Elastic、Elasticsearch 及相关标志是 Elasticsearch B.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。