在安全数据所在之处实现原生自动化

Elastic Workflows 将自动化直接引入 Elastic Security,这是一个智能体驱动的安全运营平台。您可以使用操作手册,可靠地处理已定义的任务;当调查偏离标准脚本时,AI 智能体会介入并展开推理。无需购买、集成或维护任何独立的 SOAR 工具。

开始免费试用

  • 博文

    从自动化税到原生工作流,了解 Elastic Workflows 如何让独立的 SOAR 对安全团队变得过时。

    阅读博文

  • 文档

    开始使用 Elastic Workflows。探索面向安全自动化的触发器、步骤、连接器和 AI 功能。

    查看文档

引导式演示

单一引擎支持告警分流与 AI 调查

操作手册负责丰富化、升级处置和响应。当调查偏离预设脚本时,AI 智能体会进行推理。两者均运行于您的安全数据所在之处。

差异化优势

Elastic Workflows:消除自动化税

独立的 SOAR 往往要求您额外采购工具、搭建脆弱的集成,并在各系统之间迁移数据,才能基于 SIEM 已掌握的信息采取行动。Elastic Workflows 则可免去这些繁琐环节。自动化在 Elastic Security 内原生运行,可直接访问您的告警、案例和安全数据。

  • 原生自动化

    消除自动化税

    自动化是 Elastic Security 的原生功能。无需单独购买工具,也无需构建或维护脆弱的集成。

  • 直接数据访问

    无需集成即可获得上下文

    无需再为了基于 SIEM 已掌握的信息采取行动,而在系统间来回迁移数据。工作流直接运行于 Elastic Security 内部,可直接访问告警、案例与安全数据。上下文更丰富,执行更快速。

  • 智能自动化

    可靠性与推理能力兼备

    单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且一致的方式执行;当调查需要判断时,AI 智能体则会对复杂情况进行推理。

  • 可行动的 AI 智能体

    从调查到行动

    工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步都清晰可见。

实现 SOC 自动化

从警报到响应:Elastic Security

将分析师每天重复执行的工作自动化,并调查未知问题,全程无需离开平台。

“采用 Workflows 之后,我们的安全运营中心能够将更多时间投入到真正重要的工作上。在日常工作中,我们每天要处理 500 条告警,还要花 3 个小时手动创建案件并补充相关信息。借助 Workflows,这些工作如今都可自动完成,每天最多可节省 2.5 小时。”

SOC leader, European government agency

原生内置 vs. 外挂拼接

Elastic Workflows 直接将原生自动化引入 Elastic Security,这是一个智能体驱动的安全运营平台。自动化直接落地于安全数据所在之处,从此告别独立工具、脆弱集成与多余的数据迁移。

Elastic Workflows
独立的 SOAR 解决方案
数据架构
自动化运行在您的安全数据所在之处。可直接访问告警、案例和安全数据,无需迁移数据、无需管理凭据,也无需构建集成。
作为独立系统运行。必须通过 API 将数据从 SIEM 中提取出来才能实现自动化。每一条连接都可能是潜在的故障点,需要持续维护。
运营成本
自动化是 Elastic Security 的原生功能。无需单独购买工具,无需实施项目,也无需额外管理供应商。开箱即可开始自动化,并包含一定数量的工作流执行额度。
需要单独购买产品、签订新合同、投入专门的实施资源,并持续维护整个技术栈中的各项集成。
脚本化自动化和 AI 推理
单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且可靠的方式执行。当调查需要判断时,AI 智能体会对复杂情况进行推理。无需被迫取舍。
团队常常被迫二选一:要么使用静态操作手册,但调查一旦偏离预设路径便会失效;要么使用 AI 工具,虽具备推理能力,却缺乏可靠执行。
AI 功能
工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步操作和推理过程都清晰可见。
AI 作为外部附加组件运行,可获得的上下文有限。为了对调查进行推理,AI 必须通过 API 拉取数据,这会限制其准确性和覆盖范围。大多数 AI 工具可以推理,但无法可靠地执行响应操作。
实现价值所需的时间
一线和二线分析师从第一天起即可上手使用。无需连接外部系统。基于 YAML 的编写方式与编写检测规则的体验相似。预构建的安全模板可在 GitHub 上获取。
往往需要专门的工程资源、繁重的脚本编写以及漫长的部署周期,自动化能力才能真正投入运行。
数据架构
运营成本
脚本化自动化和 AI 推理
AI 功能
实现价值所需的时间
Elastic Workflows
独立的 SOAR 解决方案
自动化运行在您的安全数据所在之处。可直接访问告警、案例和安全数据,无需迁移数据、无需管理凭据,也无需构建集成。
作为独立系统运行。必须通过 API 将数据从 SIEM 中提取出来才能实现自动化。每一条连接都可能是潜在的故障点,需要持续维护。
自动化是 Elastic Security 的原生功能。无需单独购买工具,无需实施项目,也无需额外管理供应商。开箱即可开始自动化,并包含一定数量的工作流执行额度。
需要单独购买产品、签订新合同、投入专门的实施资源,并持续维护整个技术栈中的各项集成。
单一工作流将操作手册步骤与 AI 推理融为一体。已定义的任务可按可预测且可靠的方式执行。当调查需要判断时,AI 智能体会对复杂情况进行推理。无需被迫取舍。
团队常常被迫二选一:要么使用静态操作手册,但调查一旦偏离预设路径便会失效;要么使用 AI 工具,虽具备推理能力,却缺乏可靠执行。
工作流赋予智能体执行实际操作的能力:隔离主机、查询威胁情报、升级处置事件。基于 Elasticsearch 数据与 AI 平台,智能体能够依托更丰富的上下文进行推理,从而提供更准确的结果。每一步操作和推理过程都清晰可见。
AI 作为外部附加组件运行,可获得的上下文有限。为了对调查进行推理,AI 必须通过 API 拉取数据,这会限制其准确性和覆盖范围。大多数 AI 工具可以推理,但无法可靠地执行响应操作。
一线和二线分析师从第一天起即可上手使用。无需连接外部系统。基于 YAML 的编写方式与编写检测规则的体验相似。预构建的安全模板可在 GitHub 上获取。
往往需要专门的工程资源、繁重的脚本编写以及漫长的部署周期,自动化能力才能真正投入运行。

开始使用

开始构建智能工作流所需的一切资源

查找工具、教程与技术洞察,助您启动首个工作流并扩展自动化规模。