从您的人工智能代理开始使用弹性安全功能
Elastic Agent Skills是开源软件包,可为您的人工智能编码代理提供本地 Elastic 专业技能。如果您已经在使用 Elastic Agent Builder ,您将获得可与您的安全数据原生协同工作的人工智能 代理 。代理技能用于另一面:将相同的弹性安全知识应用到团队已经使用的外部人工智能工具中,如 Cursor、Claude Code 或 GitHub Copilot。
如果您使用人工智能编码代理并希望评估 Elastic Security,或者您是一个安全团队,希望在不浏览设置文档的情况下快速使用 Elastic Security,那么这些就是为您准备的。今天,我们将为您提供安全技能,让您无需离开集成开发环境 (IDE),就能从零开始创建完整的弹性安全环境。
在您深入了解之前,请注意这是一个 v0.1.0 版本。释放。此外,请查看本文档,了解开始操作的步骤和重要的安全注意事项。
步骤 1:创建安全项目
打开人工智能编码代理并提示:在弹性云上创建一个安全项目。
该技能 create-project技能通过 Elastic Cloud API 提供一个 Elastic Cloud Serverless Security 项目,安全地处理凭证,并将 Elasticsearch 和 Kibana URL 交还给您。
Elastic Cloud Serverless 支持跨亚马逊网络服务(AWS)、谷歌云平台(GCP)和 Azure 的区域,因此您可以选择适合自己环境的区域。
一个提示项目准备就绪。
步骤 2:生成样本数据
空洞的 "弹性安全 "项目并不令人信服。没有警报、没有时间表、没有流程树。你需要数据,但你并不总是希望在有机会探索之前就启用真正的数据源。
该 generate-security-sample-data技能可为您的项目填充符合弹性通用模式(ECS)的真实安全事件和四种攻击场景的合成警报:
- Windows 勒索软件链:从 Word 宏到 PowerShell,再到勒索软件的部署,并配有可点亮分析器视图的进程树。
- 凭证访问:LSASS 内存转储和凭证获取。
- AWS 云特权升级:IAM 策略操纵和未经授权的访问密钥创建。
- Okta 身份攻击:多因素身份验证 (MFA) 因子停用和可疑身份验证模式。
这些都不是随机事件。每个警报都映射到MITRE ATT&CK 技术。流程树有正确的实体 ID,因此分析器能呈现真实的父子关系。攻击发现 "会收集相关的威胁信息。您不需要现场环境,也能获得现场环境的体验。
完成探索后,请人工智能编码代理删除样本数据。所有样本事件、警报和案例都会被清理,不会影响环境的其他部分。
步骤 3:样本数据之后的下一步工作
环境填充完成后,同样的人工智能编码代理可以帮助您进行操作。我们还在提供警报分流(获取和调查警报、对威胁进行分类并确认警报)、检测规则管理(查找嘈杂规则、添加例外情况并创建新的覆盖范围)和案例管理(创建和跟踪安全运营中心 [SOC] 案例并将警报与事件联系起来)方面的技能。
为什么是技能,而不仅仅是医生?
Elastic 的 API 文档是公开的。您的人工智能代理已经可以读取它。那么,为什么技能很重要?
技能很重要,因为文档描述了各个端点并编码了工作流程。从知道POST /api/detection_engine/signals/search 的存在,到知道需要获取最旧的未确认警报、在触发时间的五分钟窗口内查询流程树和相关警报、在创建新案例之前检查现有案例、将警报附加到其规则 UUID 上,然后通过三个不同的 API,以正确的字段名依次确认同一主机上的所有相关警报,这之间确实存在差距。
技能还包括哪些事情不能做:切勿在聊天中显示凭证,在创建计费资源前进行确认,以及处理 Serverless 特有的 API 怪癖。这就是将通用人工智能代理转变为真正了解 Elastic 的专家知识。
准备工作
所有技能都是开源的,可与任何受支持的人工智能编码代理配合使用:
- 光标
- 克劳德代码
- GitHub 飞行员
- 滑浪风帆
- 克莱因
- 开放代码
- 双子座 CLI
在项目工作区打开终端并运行:
或安装特定技能:
请访问github.com/elastic/agent-skills 查看完整目录。