Sneha Sachidananda

Starten Sie mit Elastic Security über Ihren KI-Agenten.

Erstellen Sie mithilfe von Open-Source-Agent-Skills eine vollständig ausgestattete Elastic-Security-Umgebung, ohne Ihre IDE zu verlassen.

3 Minuten LesezeitProduktaktualisierungen, Aktivierung, generative KI
Starten Sie mit Elastic Security über Ihren KI-Agenten.

Starten Sie mit Elastic Security über Ihren KI-Agenten.

Elastic Agent Skills sind Open-Source-Pakete, die Ihrem KI-Codierungsagenten native Elastic-Expertise verleihen. Wenn Sie Elastic Agent Builder bereits verwenden, erhalten Sie KI-Agenten, die nativ mit Ihren Sicherheitsdaten arbeiten. Agent Skills sind für die andere Seite gedacht: die Anwendung desselben Elastic Security-Wissens auf die externen KI-Tools, die Ihr Team bereits nutzt, wie Cursor, Claude Code oder GitHub Copilot.

Wenn Sie einen KI-Codierungsagenten verwenden und Elastic Security evaluieren möchten, oder wenn Sie ein Sicherheitsteam sind, das Elastic Security schnell und ohne langes Suchen in Setup-Dokumenten in Betrieb nehmen möchte, dann sind diese Informationen genau das Richtige für Sie. Heute liefern wir Sicherheitsfunktionen, die Sie von Null auf eine vollständig ausgestattete Elastic Security-Umgebung bringen, ohne dass Sie Ihre integrierte Entwicklungsumgebung (IDE) verlassen müssen.

Bevor Sie loslegen, beachten Sie bitte, dass es sich um Version 0.1.0 handelt. freigeben. Lesen Sie außerdem diese Dokumentation , um die ersten Schritte und wichtige Sicherheitsaspekte zu erfahren.

Schritt 1: Erstellen Sie ein Sicherheitsprojekt

Sie öffnen Ihren KI-Codierungsagenten und werden aufgefordert: Erstellen Sie ein Sicherheitsprojekt in Elastic Cloud.

Die create-project -Funktion stellt ein Elastic Cloud Serverless Security-Projekt über die Elastic Cloud API bereit, verarbeitet Anmeldeinformationen sicher und gibt Ihnen Ihre Elasticsearch- und Kibana-URLs zurück.

Elastic Cloud Serverless unterstützt Regionen über Amazon Web Services (AWS), Google Cloud Platform (GCP) und Azure hinweg, sodass Sie diejenige auswählen können, die am besten zu Ihrer Umgebung passt.

Eine Aufforderung. Projekt abgeschlossen.

Schritt 2: Beispieldaten generieren

Ein leeres Elastic Security-Projekt ist nicht sehr überzeugend. Keine Warnmeldungen, keine Zeitpläne, keine Prozessbäume. Sie benötigen Daten, möchten aber nicht immer auf reale Datenquellen zugreifen, bevor Sie die Möglichkeit hatten, diese zu erkunden.

Die generate-security-sample-data -Funktion fügt Ihrem Projekt realistische, Elastic Common Schema-konforme (ECS-konforme) Sicherheitsereignisse und synthetische Warnmeldungen für vier Angriffsszenarien hinzu:

  • Windows-Ransomware-Kette: Von Word-Makro über PowerShell bis hin zur Ransomware-Bereitstellung, inklusive Prozessbäumen, die die Analyzer-Ansicht beleuchten.
  • Zugriff auf Anmeldeinformationen: LSASS-Speicherabbilder und Erfassung von Anmeldeinformationen.
  • AWS-Cloud-Berechtigungsausweitung: Manipulation von IAM-Richtlinien und Erstellung unautorisierter Zugriffsschlüssel.
  • Okta-Identitätsangriff: Deaktivierung der Multifaktor-Authentifizierung (MFA) und verdächtige Authentifizierungsmuster.

Das sind keine zufälligen Ereignisse. Jede Warnung ist einer MITRE ATT&CK -Technik zugeordnet. Prozessbäume verfügen über korrekte Entitäts-IDs, sodass der Analyzer echte Eltern-Kind-Beziehungen darstellt. Attack Discovery erfasst die korrelierten Bedrohungsnarrative. Sie erhalten das Erlebnis einer Live-Umgebung, ohne dass Sie eine benötigen.

Wenn Sie mit dem Erkunden fertig sind, bitten Sie Ihren KI-Codierungsagenten, die Beispieldaten zu entfernen. Alle Beispielereignisse, Warnungen und Fälle werden bereinigt, ohne den Rest Ihrer Umgebung zu beeinträchtigen.

Schritt 3: Was kommt nach den Beispieldaten?

Sobald Ihre Umgebung eingerichtet ist, kann Ihnen derselbe KI-Codierungsagent bei der Arbeit damit helfen. Wir liefern außerdem Funktionen für die Alarmtriage (Abrufen und Untersuchen von Alarmen, Klassifizieren von Bedrohungen und Bestätigen von Alarmen), die Verwaltung von Erkennungsregeln (Finden von Regeln mit vielen Treffern, Hinzufügen von Ausnahmen und Erstellen neuer Abdeckung) und das Fallmanagement (Erstellen und Verfolgen von Fällen im Security Operations Center [SOC] und Verknüpfen von Alarmen mit Vorfällen).

Warum Kompetenzen, nicht nur Dokumente?

Die API-Dokumentation von Elastic ist öffentlich. Ihr KI-Agent kann es bereits lesen. Warum sind Fähigkeiten also wichtig?

Fähigkeiten sind wichtig, weil Dokumente einzelne Endpunkte beschreiben und Arbeitsabläufe kodieren. Es besteht eine erhebliche Lücke zwischen dem Wissen, dass POST /api/detection_engine/signals/search existiert, und dem Wissen, dass man die älteste nicht bestätigte Warnung abrufen, den Prozessbaum und zugehörige Warnungen innerhalb eines Fünf-Minuten-Fensters um den Auslösezeitpunkt abfragen, prüfen muss, ob ein Fall bereits existiert, bevor ein neuer erstellt wird, die Warnung mit ihrer Regel-UUID verknüpfen und dann alle zugehörigen Warnungen auf demselben Host in dieser Reihenfolge mit den richtigen Feldnamen über drei verschiedene APIs bestätigen muss.

Die Skills legen auch fest, was man nicht tun sollte: Niemals Anmeldeinformationen im Chat anzeigen, vor dem Erstellen von abrechnungsfähigen Ressourcen eine Bestätigung abgeben und die Besonderheiten der Serverless-API beachten. Das ist das Expertenwissen, das einen Allzweck-KI-Agenten in einen Agenten verwandelt, der Elastic tatsächlich kennt.

Erste Schritte

Alle Fähigkeiten sind Open Source und funktionieren mit jedem unterstützten KI-Codierungsagenten:

  • Cursor
  • Claude Code
  • GitHub Copilot
  • Windsurf
  • Cline
  • Offener Code
  • Gemini CLI

Öffnen Sie ein Terminal in Ihrem Projektarbeitsbereich und führen Sie folgenden Befehl aus:

Oder spezifische Fähigkeiten installieren:

Den vollständigen Katalog finden Sie unter github.com/elastic/agent-skills.

Diesen Artikel teilen

FacebookLinkedInReddit (Englisch)