SOAR 内置于 Elastic Security 中。无需购买、集成或维护任何独立工具。

Elastic Workflows 将自动化功能直接引入 Elastic Security 这一智能体驱动的安全运营平台。您可以使用操作手册一致、可靠地处理预定义任务;当调查超出标准脚本范围时,AI 智能体会介入并展开推理。

开始免费试用

  • 博文

    从自动化税到原生工作流,了解 Elastic Workflows 如何让独立的 SOAR 对安全团队变得过时。

    阅读博文

  • 文档

    开始使用 Elastic Workflows。探索面向安全自动化的触发器、步骤、连接器和 AI 功能。

    查看文档

引导式演示

单一引擎支持告警分流与 AI 调查

操作手册负责丰富化、升级处置和响应。当调查偏离预设脚本时,AI 智能体会进行推理。两者均运行于您的安全数据所在之处。

差异化优势

Elastic Workflows:消除自动化税

独立的 SOAR 往往要求您额外采购工具、搭建脆弱的集成,并在各系统之间迁移数据,才能基于 SIEM 已掌握的信息采取行动。Elastic Workflows 则可免去这些繁琐环节。自动化在 Elastic Security 内原生运行,可直接访问您的告警、案例和安全数据。

  • 原生自动化

    消除自动化税

    自动化是 Elastic Security 的原生特性。无需购买独立的 SOAR 工具,也无需构建或维护脆弱的集成。

  • 直接数据访问

    无需集成即可获得上下文

    无需再为了基于 SIEM 已掌握的信息采取行动,而在系统间来回迁移数据。工作流直接运行于 Elastic Security 内部,可直接访问告警、案例与安全数据。上下文更丰富,执行更快速。

  • 智能自动化

    可靠性与推理能力兼备

    单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且一致的方式执行;当调查需要判断时,AI 智能体则会对复杂情况进行推理。

  • 可行动的 AI 智能体

    从调查到行动

    工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步都清晰可见。

实现 SOC 自动化

从警报到响应:Elastic Security

将分析师每天重复执行的工作自动化,并调查未知问题,全程无需离开平台。

“采用 Workflows 之后,我们的安全运营中心能够将更多时间投入到真正重要的工作上。在日常工作中,我们每天要处理 500 条告警,还要花 3 个小时手动创建案件并补充相关信息。借助 Workflows,这些工作如今都可自动完成,每天最多可节省 2.5 小时。”

SOC leader, European government agency

原生内置 vs. 外挂拼接

Elastic Workflows 直接将原生自动化引入 Elastic Security,这是一个智能体驱动的安全运营平台。自动化直接落地于安全数据所在之处,从此告别独立工具、脆弱集成与多余的数据迁移。

Elastic Workflows
独立的 SOAR 解决方案
数据架构
自动化运行在您的安全数据所在之处。可直接访问告警、案例和安全数据,无需迁移数据、无需管理凭据,也无需构建集成。
作为独立系统运行。必须通过 API 将数据从 SIEM 中提取出来才能实现自动化。每一条连接都可能是潜在的故障点,需要持续维护。
运营成本
自动化是 Elastic Security 的原生功能。无需单独购买工具,无需实施项目,也无需额外管理供应商。开箱即可开始自动化,并包含一定数量的工作流执行额度。
需要单独购买产品、签订新合同、投入专门的实施资源,并持续维护整个技术栈中的各项集成。
脚本化自动化和 AI 推理
单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且可靠的方式执行。当调查需要判断时,AI 智能体会对复杂情况进行推理。无需被迫取舍。
团队常常被迫二选一:要么使用静态操作手册,但调查一旦偏离预设路径便会失效;要么使用 AI 工具,虽具备推理能力,却缺乏可靠执行。
AI 功能
工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步操作和推理过程都清晰可见。
AI 作为外部附加组件运行,可获得的上下文有限。为了对调查进行推理,AI 必须通过 API 拉取数据,这会限制其准确性和覆盖范围。大多数 AI 工具可以推理,但无法可靠地执行响应操作。
实现价值所需的时间
一级和二级分析师从第一天起即可上手使用。无需连接外部系统。基于 YAML 的编写方式与编写检测规则的体验相似。预构建的安全模板可在 GitHub 上获取
往往需要专门的工程资源、繁重的脚本编写以及漫长的部署周期,自动化能力才能真正投入运行。
数据架构
运营成本
脚本化自动化和 AI 推理
AI 功能
实现价值所需的时间
Elastic Workflows
独立的 SOAR 解决方案
自动化运行在您的安全数据所在之处。可直接访问告警、案例和安全数据,无需迁移数据、无需管理凭据,也无需构建集成。
作为独立系统运行。必须通过 API 将数据从 SIEM 中提取出来才能实现自动化。每一条连接都可能是潜在的故障点,需要持续维护。
自动化是 Elastic Security 的原生功能。无需单独购买工具,无需实施项目,也无需额外管理供应商。开箱即可开始自动化,并包含一定数量的工作流执行额度。
需要单独购买产品、签订新合同、投入专门的实施资源,并持续维护整个技术栈中的各项集成。
单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且可靠的方式执行。当调查需要判断时,AI 智能体会对复杂情况进行推理。无需被迫取舍。
团队常常被迫二选一:要么使用静态操作手册,但调查一旦偏离预设路径便会失效;要么使用 AI 工具,虽具备推理能力,却缺乏可靠执行。
工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步操作和推理过程都清晰可见。
AI 作为外部附加组件运行,可获得的上下文有限。为了对调查进行推理,AI 必须通过 API 拉取数据,这会限制其准确性和覆盖范围。大多数 AI 工具可以推理,但无法可靠地执行响应操作。
一级和二级分析师从第一天起即可上手使用。无需连接外部系统。基于 YAML 的编写方式与编写检测规则的体验相似。预构建的安全模板可在 GitHub 上获取
往往需要专门的工程资源、繁重的脚本编写以及漫长的部署周期,自动化能力才能真正投入运行。

开始使用

开始构建智能工作流所需的一切资源

查找工具、教程与技术洞察,助您启动首个工作流并扩展自动化规模。

常见问题

什么是 Elastic 工作流?

Elastic Workflows 是直接内置于 Elastic Security 的原生安全自动化功能。它无需独立的 SOAR 平台,只需在安全数据所在之处运行自动化,并可直接访问警报、案例和调查数据。无需单独集成。

如果您已经使用 Elastic Security,是否还需要 SOAR 平台?

不需要。Elastic Workflows 原生集成于 Elastic Security,包含独立 SOAR 所提供的自动化能力。警报分诊、上下文增强、案例管理和响应操作,都在安全数据所在之处运行。已在使用 Elastic Security 的团队无需额外工具即可开始构建 Workflows。

Elastic Workflows 是否能完全取代 SOAR 平台?

对于在 Elastic Security 内运行的安全运营场景,答案是肯定的。Workflows 可自动化完整生命周期:检测、分诊、上下文增强、升级和响应。依赖独立 SOAR 对非 Elastic 系统进行跨平台编排的团队,可以同时使用两者;涉及 Elastic 数据的自动化则可原生迁移至 Workflows。

Elastic Workflows 能否与我现有的 SOAR 平台兼容?

是的。Elastic Workflows 旨在与现有 SOAR 投资共存。涉及 Elastic 数据的自动化可原生迁移至 Workflows。非 Elastic 系统的跨平台编排仍可保留在现有 SOAR 中。

为什么组织正在远离独立的 SOAR 平台?

独立 SOAR 平台需要单独购买,需要专门的工程资源来构建和维护集成,还需要在系统之间持续移动数据。当警报量上升,或调查偏离既定脚本时,这些集成就会失效。组织正在将自动化整合进 SIEM,以降低复杂性,并缩小检测与响应之间的差距。

Elastic Workflows 消除的“自动化税”是什么?

自动化税是指在 SIEM 之外并行运行独立 SOAR 的隐藏成本:额外的供应商合同、脆弱的集成,以及自动化采取行动前必须先从 SIEM 中拉取的数据。每多一步,攻击者就多一分可利用的时间。Elastic Workflows 通过原生运行在 Elastic Security 内部,消除这些额外开销。

Elastic Workflows 可以自动化哪些类型的安全运营?

Workflows 覆盖完整生命周期:在任何警报触发前主动监控威胁情报并扫描 IOC;在警报触发时进行警报分诊和上下文增强;在确认威胁后进行案例管理、升级和响应操作,包括主机隔离。AI 智能体可以作为 Workflow 中的步骤被调用,负责收集上下文、基于发现进行推理,并在执行操作前将结论提交给分析师批准。可连接 Slack、Jira、VirusTotal、PagerDuty、AWS 以及任何 REST API。

部署 Elastic 工作流需要多长时间?

已经使用 Elastic Security 的团队可以立即开始使用。无需连接外部系统,无需实施项目。工作流使用基于 YAML 的编写方式,类似于编写检测规则,预构建的安全模板可在 GitHub 上获取。大多数团队在第一天就能运行他们的第一个工作流。

Elastic Workflows 现已可用吗?费用是多少?

Elastic Workflows 在 9.4 版本中正式发布。它在 Elastic Cloud Hosted 和自管型部署中可通过 Enterprise 许可提供,在 Elastic Cloud Serverless for Security 中通过 Complete 层级提供。定价基于执行次数,包含每月基准配额。查看完整定价详细信息