Démarrez avec Elastic Security à partir de votre agent d'IA
Les compétences des agents Elastic sont des packages open source qui donnent à votre agent de codage IA une expertise Elastic native. Si vous utilisez déjà Elastic Agent Builder, vous bénéficiez d'agents d'intelligence artificielle qui fonctionnent nativement avec vos données de sécurité. Les compétences de l'agent sont pour l'autre côté : apporter cette même connaissance d'Elastic Security aux outils d'IA externes que votre équipe utilise déjà, comme Cursor, Claude Code, ou GitHub Copilot.
Si vous utilisez un agent de codage d'IA et que vous souhaitez évaluer Elastic Security, ou si vous êtes une équipe de sécurité qui souhaite utiliser Elastic Security rapidement sans avoir à naviguer dans les documents de configuration, ces documents sont faits pour vous. Aujourd'hui, nous livrons des compétences en matière de sécurité qui vous permettent de passer de zéro à un environnement Elastic Security entièrement peuplé, sans quitter votre environnement de développement intégré (IDE).
Avant de vous lancer, notez qu'il s'agit d'une v0.1.0 de la libération. Consultez également cette documentation pour connaître les étapes de démarrage et les considérations importantes en matière de sécurité.
Étape 1 : Créer un projet de sécurité
Vous ouvrez votre agent de codage AI et vous êtes invité à le faire : Créez un projet de sécurité sur Elastic Cloud.
Cette compétence create-project met en place un projet Elastic Cloud Serverless Security via l'API Elastic Cloud, gère les informations d'identification de manière sécurisée et vous restitue les URL d'Elasticsearch et de Kibana.
Elastic Cloud Serverless prend en charge des régions sur Amazon Web Services (AWS), Google Cloud Platform (GCP) et Azure, de sorte que vous pouvez choisir celle qui convient à votre environnement.
Un seul message. Projet prêt.
Étape 2 : Création d'un échantillon de données
Un projet Elastic Security vide n'est pas très convaincant. Pas d'alertes, pas de délais, pas d'arbres de processus. Vous avez besoin de données, mais vous ne voulez pas toujours activer des sources réelles de données avant d'avoir eu l'occasion de les explorer.
La compétence generate-security-sample-data alimente votre projet avec des événements de sécurité réalistes, conformes à Elastic Common Schema (ECS), et des alertes synthétiques dans le cadre de quatre scénarios d'attaque :
- Chaîne de ransomware Windows : Macro Word, PowerShell et déploiement du ransomware, avec des arborescences de processus qui éclairent la vue de l'analyseur.
- Accès aux données d'identification : Vidages de mémoire LSASS et collecte d'informations d'identification.
- L'escalade des privilèges dans le nuage AWS : Manipulation de la politique IAM et création de clés d'accès non autorisées.
- Attaque de l'identité Okta : Désactivation du facteur d'authentification multifactorielle (MFA) et modèles d'authentification suspects.
Il ne s'agit pas d'événements aléatoires. Chaque alerte est liée aux techniques MITRE ATT& CK. Les arbres de processus ont des identifiants d'entité appropriés, de sorte que l'analyseur rende compte des véritables relations parent-enfant. Attack Discovery reprend les récits de menaces corrélées. Vous bénéficiez de l'expérience d'un environnement réel sans en avoir besoin.
Lorsque vous avez terminé votre exploration, demandez à votre agent de codage de l'IA de supprimer l'échantillon de données. Tous les échantillons d'événements, d'alertes et de cas sont nettoyés sans affecter le reste de votre environnement.
Étape 3 : Que faire après les données d'échantillonnage ?
Une fois que votre environnement est rempli, le même agent de codage IA peut vous aider à travailler avec lui. Nous expédions également des compétences en matière de triage des alertes (récupération et examen des alertes, classification des menaces et accusé de réception des alertes), de gestion des règles de détection (recherche des règles bruyantes, ajout d'exceptions et création d'une nouvelle couverture) et de gestion des cas (création et suivi des cas du centre d'opérations de sécurité [SOC] et lien entre les alertes et les incidents).
Pourquoi des compétences et pas seulement des documents ?
La documentation de l'API d'Elastic est publique. Votre agent d'intelligence artificielle peut déjà le lire. Pourquoi les compétences sont-elles importantes ?
Les compétences sont importantes car les documents décrivent les points d'extrémité individuels et codent les flux de travail. Il existe un véritable fossé entre le fait de savoir que POST /api/detection_engine/signals/search existe et le fait de savoir que vous devez récupérer la plus ancienne alerte non acquittée, interroger l'arborescence des processus et les alertes connexes dans une fenêtre de cinq minutes à partir de l'heure de déclenchement, vérifier s'il existe un cas avant d'en créer un nouveau, joindre l'alerte avec son UUID de règle, puis acquitter toutes les alertes connexes sur le même hôte, dans cet ordre, avec les bons noms de champs, par le biais de trois API différentes.
Les compétences codent également ce qu'il ne faut pas faire : Ne jamais afficher d'informations d'identification dans le chat, confirmer avant de créer des ressources facturables et gérer les bizarreries de l'API spécifiques à Serverless. Il s'agit de la connaissance experte qui transforme un agent d'IA polyvalent en un agent qui connaît réellement Elastic.
Lancez-vous
Toutes les compétences sont open source et fonctionnent avec n'importe quel agent de codage d'IA pris en charge :
- Curseur
- Code Claude
- Copilote GitHub
- Planche à voile
- Cline
- Code open
- CLI Gemini
Ouvrez un terminal dans l'espace de travail de votre projet et exécutez :
Ou installer des compétences spécifiques :
Consultez le catalogue complet sur github.com/elastic/agent-skills.