Sneha Sachidananda

Comece a usar o Elastic Security a partir do seu agente de IA.

Crie um ambiente Elastic Security completo, do zero, sem sair do seu IDE, usando as habilidades de agente de código aberto.

3 min de leituraAtualizações de produtos, Habilitação, IA generativa
Comece a usar o Elastic Security a partir do seu agente de IA.

Comece a usar o Elastic Security a partir do seu agente de IA.

As Elastic Agent Skills são pacotes de código aberto que conferem ao seu agente de codificação de IA conhecimentos nativos da Elastic. Se você já utiliza o Elastic Agent Builder, obtém agentes de IA que funcionam nativamente com seus dados de segurança. As Habilidades de Agente servem para o outro lado: levar esse mesmo conhecimento de Segurança Elástica para as ferramentas externas de IA que sua equipe já utiliza, como Cursor, Claude Code ou GitHub Copilot.

Se você usa um agente de codificação de IA e deseja avaliar o Elastic Security, ou se você é uma equipe de segurança que deseja começar a usar o Elastic Security rapidamente, sem precisar consultar documentação de configuração, estas dicas são para você. Hoje, estamos disponibilizando recursos de segurança que permitem que você comece do zero e tenha um ambiente Elastic Security totalmente implementado, sem sair do seu ambiente de desenvolvimento integrado (IDE).

Antes de começar, observe que esta é a versão 0.1.0. liberar. Consulte também esta documentação para obter instruções sobre como começar e considerações importantes de segurança.

Etapa 1: Crie um projeto de segurança

Você abre seu agente de codificação de IA e solicita: Crie um projeto de segurança na Elastic Cloud.

A habilidade create-project provisiona um projeto de segurança sem servidor do Elastic Cloud por meio da API do Elastic Cloud, lida com as credenciais de forma segura e retorna seus URLs do Elasticsearch e do Kibana.

O Elastic Cloud Serverless oferece suporte a regiões na Amazon Web Services (AWS), Google Cloud Platform (GCP) e Azure, para que você possa escolher a que melhor se adapta ao seu ambiente.

Uma pergunta. Projeto concluído.

Etapa 2: Gerar dados de amostra

Um projeto vazio no Elastic Security não é muito convincente. Sem alertas, sem cronogramas, sem árvores de processos. Você precisa de dados, mas nem sempre é aconselhável habilitar fontes de dados reais antes de ter a oportunidade de explorá-las.

A habilidade generate-security-sample-data preenche seu projeto com eventos de segurança realistas e compatíveis com o Elastic Common Schema (ECS), além de alertas sintéticos em quatro cenários de ataque:

  • Cadeia de ransomware do Windows: macro do Word, PowerShell e implantação do ransomware, completa com árvores de processos que iluminam a visualização do Analisador.
  • Acesso a credenciais: despejos de memória do LSASS e coleta de credenciais.
  • Escalada de privilégios na nuvem AWS: manipulação de políticas do IAM e criação não autorizada de chaves de acesso.
  • Ataque de identidade Okta: desativação do fator de autenticação multifator (MFA) e padrões de autenticação suspeitos.

Esses não são eventos aleatórios. Cada alerta corresponde às técnicas do MITRE ATT&CK . As árvores de processos possuem IDs de entidade adequados, permitindo que o analisador renderize relações reais entre pai e filho. A ferramenta de Descoberta de Ataques identifica narrativas de ameaças correlacionadas. Você tem a experiência de um ambiente ao vivo sem precisar de um.

Ao terminar de explorar, peça ao seu agente de codificação de IA para remover os dados de amostra. Todos os eventos de amostra, alertas e casos são limpos sem afetar o restante do seu ambiente.

Etapa 3: O que vem a seguir após os dados de amostra?

Uma vez que seu ambiente esteja populado, o mesmo agente de codificação de IA poderá ajudá-lo a trabalhar com ele. Também estamos lançando funcionalidades para triagem de alertas (buscar e investigar alertas, classificar ameaças e confirmar alertas), gerenciamento de regras de detecção (encontrar regras irrelevantes, adicionar exceções e criar nova cobertura) e gerenciamento de casos (criar e acompanhar casos do centro de operações de segurança [SOC] e vincular alertas a incidentes).

Por que habilidades, e não apenas documentos?

A documentação da API da Elastic é pública. Seu agente de IA já consegue lê-lo. Então, por que as habilidades são importantes?

As habilidades são importantes porque a documentação descreve os pontos de extremidade individuais e codifica os fluxos de trabalho. Existe uma lacuna real entre saber que POST /api/detection_engine/signals/search existe e saber que você precisa buscar o alerta não reconhecido mais antigo, consultar a árvore de processos e alertas relacionados dentro de uma janela de cinco minutos do horário do gatilho, verificar se existe um caso antes de criar um novo, anexar o alerta com seu UUID de regra e, em seguida, reconhecer todos os alertas relacionados no mesmo host, nessa ordem, com os nomes de campo corretos, em três APIs diferentes.

As habilidades também codificam o que não fazer: nunca exibir credenciais no chat, confirmar antes de criar recursos faturáveis e lidar com peculiaridades da API específicas do Serverless. É esse conhecimento especializado que transforma um agente de IA de propósito geral em um que realmente conhece o Elastic.

Começar

Todas as habilidades são de código aberto e funcionam com qualquer agente de codificação de IA compatível:

  • Cursor
  • Código Claude
  • GitHub Copilot
  • Windsurf
  • Cline
  • Código aberto
  • Gemini CLI

Abra um terminal no seu espaço de trabalho do projeto e execute:

Ou instale habilidades específicas:

Confira o catálogo completo em github.com/elastic/agent-skills.

Compartilhe este artigo

XFacebookLinkedInReddit