Les dirigeants de SOC sont confrontés quotidiennement à des calculs de base qui ne correspondent pas à la réalité. Les volumes de données augmentent de manière exponentielle, les surfaces d'attaque s'étendent à l'échelle mondiale, mais la capacité de votre équipe reste linéaire. Vous ne pouvez pas vous sortir de ce problème en embauchant.
La recherche d'alertes individuelles est une stratégie perdante. Pour réussir, nous devons aller au-delà des simples scripts d'automatisation et entrer dans l'ère de l'IA agentique.
Chez Elastic, nous considérons les opérations de sécurité modernes comme un système nerveux opérationnel. Il a besoin de sens (la base de données pour tout voir), d'un cerveau 🧠(l'analyse pilotée par l'IA pour trouver le signal dans le bruit), et de mains 🙌(les flux de travail pour exécuter les actions et conduire les résultats).
Avec l'introduction d'Agent Builder et d'Elastic Workflows, nous unifions ces éléments. Nous ne nous contentons pas de vous donner un chatbot, nous vous donnons la possibilité de construire un SOC autonome où les agents raisonnent sur les données et où les flux de travail exécutent des actions sophistiquées - de manière bidirectionnelle.
Voici comment ces deux puissants moteurs fonctionnent ensemble pour transformer vos opérations de sécurité.
Le pouvoir du cerveau "" et des mains "" travaillant ensemble
Pour comprendre l'importance de cette combinaison, nous devons différencier leurs rôles.
- Flux de travail élastiques (les mains) : Ils sont déterministes. Ils sont parfaits pour les processus rigides et reproductibles -"Si X se produit, créez un ticket Jira, envoyez un ping à Slack et isolez l'hôte." Ils offrent une structure, une possibilité d'audit et une fiabilité.
- Constructeur d'agents (le cerveau) : Les agents sont probabilistes et fondés sur le raisonnement. Ils perçoivent l'environnement, planifient une séquence d'étapes et s'adaptent. Un agent peut examiner un vague rapport de menace et décider des requêtes à exécuter pour trouver des preuves.
La magie opère lorsqu'ils interagissent : auparavant, vous deviez choisir entre un cahier des charges rigide et une enquête manuelle. Désormais, les flux de travail peuvent invoquer les agents pour effectuer des analyses complexes au cours d'une boucle d'automatisation, et les agents peuvent invoquer les flux de travail en tant qu'outils pour effectuer des actions fiables et lourdes au cours d'un chat.
Ce qui n'est pas le cas
Soyons clairs : il ne s'agit pas de remplacer vos analystes. Il s'agit d'éliminer le labeur qui les empêche de faire le travail qui compte vraiment - la pensée créative et contradictoire qu'aucun modèle ne peut reproduire. L'objectif est de faire passer votre équipe du statut de chasseur de logs réactif à celui de chasseur de menaces proactif. L'agent s'occupe du travail de base, votre personnel s'occupe des décisions.
Cas d'utilisation : Triage automatisé au moment de l'alerte
De l'alerte à l'analyse sans intervention humaine
Examinons un scénario réel impliquant une attaque de ransomware (ex : BlackCat/ALPHV - une opération de ransomware en tant que service). Dans une configuration traditionnelle, une alerte se déclenche et un analyste passe 30 minutes à rassembler les journaux, à vérifier les totaux de virus et à rédiger un résumé.
Avec Elastic, toute cette phase de triage est automatisée avant que l'analyste n'ouvre son ordinateur portable, ce qui réduit le temps moyen de triage de 30 minutes à moins de 2 minutes.
Le flux de travail :
- Déclencheur : Attack Discovery s'exécute selon un calendrier et met en corrélation 15 des alertes disparates en une chaîne d'attaque unique et de haute fidélité.
- Étape du flux de travail (enrichissement) : Le flux de travail est déclenché automatiquement et passe en boucle par toutes les entités concernées (hôtes, utilisateurs, hachages de fichiers). Il effectue une recherche dans des sources d'informations sur les menaces telles que VirusTotal.
- Étape du flux de travail (Invoke Agent) : Le flux de travail transmet cet ensemble de données à un agent de triagespécifique (")."
- Exécution de l'agent : L'agent ne se contente pas de copier-coller les données. Il raisonne sur la chaîne d'attaque, la compare au cadre MITRE ATT&CK, met en corrélation les journaux connexes et génère un résumé d'enquête lisible par l'homme, adapté à un analyste de niveau 2 .
- Résultat : Le flux de travail enregistre cette analyse générée par l'IA directement dans un nouveau cas, avec une évaluation de la gravité, une enquête approfondie, une analyse des causes profondes et des recommandations pour les prochaines étapes.
Impact sur l'utilisateur : L'analyste commence sa journée en examinant un cas entièrement contextualisé, et non en poursuivant des logs bruts.
Cas d'utilisation : l'enquête "Human-in-the-Loop"
Transformer le langage naturel en action déterministe
Une fois qu'un analyste a enquêté, il doit souvent effectuer des tâches administratives qui interrompent son travail, comme trouver qui est d'astreinte, mettre en place des salles de crise ou avertir la direction.
Dans Elastic Security, l'analyste reste dans l'interface de discussion. Comme nous vous permettons de définir des flux de travail en tant qu'outils pour vos agents, l'analyste peut simplement demander à l'agent de s'occuper de la logistique.
Le flux de travail :
- Promesse de l'analyste : "Nous avons un incident confirmé. Qui est de garde ? Veuillez créer un canal Slack pour cet incident et invitez-les."
- Raisonnement de l'agent : L'agent reconnaît que l'intention correspond à un outil de workflow "Incident Response Setup" que vous avez préconfiguré.
- Exécution du flux de travail :
- Étape 1 : Interroger l'intégration PagerDuty pour trouver l'ingénieur de garde.
- Étape 2 : Appelle l'API de Slack pour créer un canal nommé
#incident-[id]. - Étape 3 : Publier le résumé initial de l'affaire dans ce canal.
- Résultat : L'agent confirme à l'analyste : "J'ai créé le canal #incident-982 et ajouté Jane Doe (On-Call) au canal."
Cas d'utilisation : Remédiation et confinement guidés
Réponse précise à la vitesse
Lorsqu'il s'agit de contenir une menace, la vitesse est essentielle, mais la sécurité l'est tout autant. Vous ne voulez pas qu'un LLM "hallucine" un appel API à un pare-feu. C'est là que la combinaison agent + flux de travail est la plus efficace en matière de sécurité.
Le flux de travail :
- Promesse de l'analyste : "Isolez l'hôte impliqué dans l'alerte BlackCat."
- Raisonnement de l'agent : L'agent identifie l'hôte
host123à partir du contexte de l'enquête. Il crée un plan pour invoquer le flux de travail "Host Isolation". - Point de décision : L'agent présente le plan à l'utilisateur : "Je suis sur le point de déclencher le flux de travail 'Isoler l'hôte' pour host123 via Elastic Defend."
- Exécution du flux de travail : Le flux de travail déterministe exécute la commande d'isolation via Elastic Defend (XDR), en veillant à ce que l'action soit enregistrée et exécutée exactement comme l'a défini votre équipe d'ingénieurs.
- Résultat : L'hôte est immédiatement isolé.
Impact sur l'utilisateur : Vous bénéficiez de la facilité d'une interaction en langage naturel avec la sécurité et les pistes d'audit d'une automatisation codée en dur.
Nous nous éloignons d'un monde où vous devez choisir entre un chat AI flexible et des playbooks SOAR rigides. L'avenir est un SOC autonome où les deux sont inextricablement liés.
En utilisant Agent Builder pour créer des agents personnalisés qui comprennent votre environnement spécifique (en utilisant RAG avec vos propres données) et en les équipant d'Elastic Workflows comme outils, vous multipliez efficacement la capacité et l'expertise de votre équipe. Vous ne déployez pas seulement un chatbot ; vous déployez un membre de l'équipe virtuelle qui connaît vos runbooks, respecte vos autorisations et travaille 24 heures sur 24, 7 jours sur 7.
Pour plus d'informations sur la façon de démarrer avec Agent Builder, lisez ce blog.
Agent Builder et Workflows sont disponibles dès à présent en tant qu'aperçu technique. Commencez par essayer Elastic Cloud, et consultez la documentation pour Agent Builder ici, et Workflows ici.