Elastic 中国社区官方博客

摘要：AI正成为网络安全领域的关键力量，既是最大威胁也是最强防御。AI驱动的解决方案能提供实时威胁洞察，实现从被动防御到主动"反脆弱"的转变。生成式AI通过分析海量安全数据，帮助分析师快速处理事件并优化响应策略。自适应安全理念结合AI技术，使系统能动态应对变化威胁环境。Elastic开发的AI助手等工具正在重塑安全运营模式，将重复工作自动化，让专业人员专注于战略决策。虽然AI不会取代网络安全岗位，但已成为现代安全体系的基础要素，实现人机协同防御。

AI在网络安全领域呈现双重影响：既提升防御能力又加剧威胁复杂性。文章探讨了AI改变安全运营的五大核心用例：威胁检测、SOC自动化、事件响应、欺诈分析和数据接入。同时指出实施AI时需避免的常见错误：治理不足、访问控制薄弱、数据隐私风险、过度依赖自动化等。建议组织采取数据质量优先、系统集成、人员培训等最佳实践，并强调ElasticSecurity平台如何将AI深度集成到安全分析流程中。文中特别提醒使用第三方AI工具时的数据安全风险，体现了对AI应用合规性的重视。

Elastic重新定义XDR安全防护，通过收购Endgame技术深度整合EDR能力，打造原生统一的安全平台。该方案突破传统EDR的数据处理瓶颈，支持PB级端点、网络、云端数据的实时关联分析，提供跨厂商的无缝防护。平台包含获奖级恶意软件防护、勒索软件防御和行为检测能力，支持Windows/macOS/Linux全平台。创新采用"数据湖"付费模式，仅按实际使用数据计费，包含无限端点授权。通过开源检测规则、AI辅助分析和自动故障排查等功能，实现透明化安全运营。在AV-Comparatives测

Elastic入选Forrester 2025年Q2安全分析平台领导者象限。报告指出，Elastic以工程驱动方式解决安全问题，整合SIEM、XDR和云安全于统一平台，提供AI驱动的检测、开放架构和灵活部署。其优势包括：RAG技术加速警报处理、透明AI增强分析、MITRE ATT&CK规则库，以及混合部署支持。客户数据显示，该平台可缩短99%平均修复时间。Elastic Security将多种安全功能整合，支持SaaS/本地部署，所有检测规则开源。近期与AWS达成战略合作，持续强化安全创新。

摘要：现代网络战场面临数据孤岛挑战，65%的公共部门在实时数据应用上存在困难。Elastic提出数据网格解决方案，通过跨集群搜索技术实现分布式数据协作，无需集中存储敏感数据。该方法基于四大原则：领域所有权、数据产品化、自助平台和联合治理，可提升90%运维效率，将威胁响应从数天缩短至分钟。为国防部门提供安全、高效的互操作性平台，在尊重数据主权的同时增强决策优势。典型实施周期仅6个月即见效。

摘要： 英国（MOD）面临安全分析师倦怠和运营效率低下的挑战，每天需处理大量警报，数据泄露事件激增400%。《国防人工智能战略（2022）》提出通过AI自动化提升效率，Elastic的AI工具（如AIAssistant和AttackDiscovery）可整合多源数据，快速识别威胁，将调查时间从数小时缩短至几分钟，减少74%的人力消耗。统一数据模型支持零信任架构，简化流程并降低成本25%。MOD计划2026年前实现零信任，需依赖数据整合而非增加工具。Elastic的解决方案助力国防安全实现实时协作与高效

摘要：Elastic Security 8.18/9.0推出Automatic Migration功能，利用生成式AI实现SIEM的无缝迁移。该功能通过ELSER NLP模型进行语义匹配，将Splunk规则自动映射到1300+预建检测规则，未匹配规则则通过RAG技术转换为ES|QL查询。系统提供三重验证机制确保翻译准确性，并支持可视化对比和AI辅助编辑。目前以技术预览形式开放给企业级客户，未来将扩展支持更多SIEM系统和仪表板迁移。该功能与AutomaticImport等AI工具协同，可大幅降低迁移复杂度

网络威胁解析：如何保护你的企业。​网络威胁（Cyber threats - 网络安全威胁）是指那些可能通过利用安全漏洞，对个人或组织产生负面影响的事件、行为或情况。网络威胁可能影响数据、系统、运营或人们数字存在的机密性、完整性或可用性。​Elastic Security 提供对威胁的无限可见性，缩短调查时间，保护你的企业免受不断演变的威胁。借助由 Search AI Platform 驱动的 Elastic Security，安全团队能够全面了解攻击面，发现隐藏威胁，并以前所未有的规模阻止攻击。

Elastic Security在AV-Comparatives商业安全测试中斩获双项满分，成为17家供应商中唯一在真实世界防护和恶意软件防护测试均获100%的解决方案。测试采用220个攻击场景和1,018个最新恶意样本，验证了其对复杂威胁的全面防御能力。该方案通过XDR技术提供跨端点、网络和云的统一安全视图，包含AI威胁检测、75+机器学习规则及MITRE ATT&CK映射功能，且无隐藏费用。Elastic强调安全与性能的平衡，其优化设计确保防护效率不影响系统性能。企业可免费试用获得完整XDR防护

Elastic Security正式发布两项生成式AI功能：自动导入和攻击发现，推动安全运营进入AI时代。自动导入能在几分钟内构建数据集成，大幅提升效率；攻击发现将警报转化为可操作洞察，提高响应精准度。这两项功能基于Elastic的SearchAI平台和RAG技术，支持多种主流LLM模型，包括Google Gemini、Anthropic Claude和OpenAI GPT-4系列。企业战略研究显示，这些功能可显著优化安全分析流程，如将1018条警报浓缩为8个可操作发现。用户可通过Elastic Cloud

恶意浏览器扩展已成为企业安全重大威胁，但多数组织缺乏有效检测手段。Elastic信息安全团队通过整合osquery和Elastic Stack构建了解决方案：1) 利用osquery每6小时扫描所有工作站的浏览器扩展，建立实时清单；2) 通过Elastic SIEM功能创建检测规则，当发现已知恶意扩展时自动告警。该方案克服了多用户配置文件的管理难题，能识别包括旁加载扩展在内的风险项，支持基于威胁情报的动态检测。典型应用场景包括匹配Cyberhaven事件中的46个恶意扩展IOC，有效提升企业对浏览器扩展威胁

《AI驱动的SIEM：网络安全新战略》摘要 面对云化趋势和AI网络威胁，传统SIEM已无法应对现代网络安全挑战。本文阐述了选择新一代AI驱动SIEM的关键要素：1）需与业务风险状况和未来需求深度契合；2）通过自动化减轻分析师负担；3）实现跨云/终端/网络的全面威胁可见性；4）集成多层AI分析检测未知威胁；5）支持长期数据存储与实时合规监控。文章强调开放架构、灵活扩展和避免厂商锁定的重要性，建议组织选择能降低MTTD/MTTR、随数据规模弹性扩展的SIEM解决方案。

人工智能正在改写网络安全领域的规则，无论是防守方还是攻击方。随着云的普及、攻击面扩大以及由 AI 驱动的网络威胁不断增加，组织正重新思考自己的安全策略。在适应高度动态的威胁环境时，讨论自然会转向升级 SIEM，因为它是当今安全运营的核心。传统的 SIEM 无法预见如今威胁环境的规模和激烈程度。为了适应新的网络安全实践，我们需要一个现代化的平台，它能提供全面可视性，利用高级分析技术，结合 AI 实现自动化，并支持在混合云和多云环境中的灵活部署。

LOOKUP JOIN 在许多安全工作流中已经证明了其极大的实用性，但这只是开始。如Elasticsearch 博客中所述，这种类型的连接最接近于 SQL 风格的 LEFT OUTER JOIN，除了改善整体用户体验外，我们还计划扩展连接功能（例如 INNER 连接）。此外，这项功能还使其他搜索语言的语法转换成为可能。请阅读我们最近的博客，了解更多有关自动迁移的信息！总结一下，这种新的连接功能是安全分析师工具箱中的另一个工具，Elastic 搜索 AI 技术提供了许多先进的技术来保护您的数据免受攻击。

Elastic Security 8.18 和 9.0 带来了帮助安全运营团队更高效工作、快速响应威胁的更新。此版本包括为 Splunk SIEM 用户提供的迁移支持、新的 ES|QL Lookup Join 功能，简化数据丰富和分析，以及多个可用性改进。攻击发现和自动导入现在已正式发布（GA），并且对 Elastic AI Assistant 的改进以及对自定义检测规则的支持也已加入。

自定义和更新预构建 SIEM 检测规则变得更简单了，提升了精准度，扩大了覆盖范围，并节省了时间。使用 Elastic Security，定制和更新预构建检测规则变得前所未有的简单。我们简化了检测工程工作流程，并通过开箱即用的 SIEM 检测规则实现了更广泛的用例覆盖。提供了 1,300 多条由专家编写的检测规则，这些规则映射到中的战术、技术和程序（TTPs）。我们的研究工程师积极维护和优化这些规则，每两周发布一次更新，帮助你在不断演变的威胁面前保持领先，而无需手动维护的负担。

特权访问活动是指由具有高权限的用户（如系统管理员或服务账户）执行的操作。这些用户可以修改系统配置、访问敏感数据、管理用户角色、安装软件、更改安全策略，并直接与关键控制系统进行交互。传统的安全措施依赖于预定义的规则和特征签名，但这些方法往往无法检测出新型或复杂的攻击模式。由于特权用户会执行各种管理任务，区分正常操作和可疑行为是一个挑战。特权访问检测包通过机器学习建立用户和实体的行为基线，从而检测出偏离正常使用模式的异常行为。目前，该包主要关注来自合法账户的异常特权访问活动，例如基于管理员的事件和命令。

与 Enterprise Strategy Group 一起量化经济影响安全行业十分复杂，变化速度极快。攻击面、利益相关者需求、对手战术以及你使用的工具都在不断演变，导致许多安全团队不确定自己是否已做好准备。在这场无休止的战斗中，你需要值得信赖的工具，同时还能带来可观的投资回报。这些工具应提供无与伦比的可见性、降低风险，并具备与数据需求匹配的可扩展性，而不会造成高昂成本。

因其卓越的防护性能、卓越的性能表现以及极低的误报率而获奖。Elastic Security 荣获。这一荣誉体现了其出色的恶意软件防御、最佳的系统性能和最小的误报率。在保护、性能和误报基准测试中表现卓越，Elastic Security 证明了其无妥协地保护组织的能力。这一独立认可强调了我们致力于为企业提供世界级安全解决方案的承诺。

AI 会开始取代网络安全工作吗？不会，但它正在从根本上改变这些工作。正迅速成为日常安全工作流程中的一个重要组成部分。那么，它是合作伙伴还是竞争对手？GenAI 技术在安全堆栈几乎每个方面的广泛应用，整体上帮助安全团队更高效地应对威胁。GenAI 使安全从业者能够访问并分析他们原本无法获得的数据，从而使他们的工作比以往任何时候都更具影响力。然而，与此同时，GenAI 也扩展了攻击面 —— 无论是通过对手能够大规模生产恶意代码，，还是日益复杂的社交工程攻击。那么，这一切如何影响今天的安全专业人士呢？

作者：来着 Elastic当你的 CISO 询问你的任何工作站上是否安装过特定的浏览器扩展时，你多快能得到正确答案？恶意浏览器扩展是一个重大威胁，许多组织无法管理或检测。这篇博文探讨了 Elastic Infosec 团队如何使用和 Elastic Stack 创建所有浏览器扩展和检测规则的实时清单，以及如何在工作站有已知的受损浏览器扩展时通知团队。该解决方案完全使用 osquery、和中的构建。

​安全运营团队通常会维护威胁情报报告的存储库，这些报告包含由报告提供商生成的大量知识。然而，挑战在于，这些报告的内容通常以 PDF 格式存在，使得在处理安全事件或调查时难以检索和引用相关信息，或者难以利用其中的威胁指标（indicators of compromise - IoC）进行威胁狩猎。通过将这些报告作为知识在 Elastic AI Assistant 中使用，这种情况将完全改变。让我们以 2024 年 Elastic 全球威胁报告为例。

​通过 AI 驱动的报告为分析师提供支持在不断发展的网络安全领域，威胁分析师不断被新的威胁情报 (threat intelligence - TI) 数据淹没。挑战不仅在于理解和缓解这些威胁，还在于有效地记录和报告这些威胁。传统的威胁情报报告方法可能非常耗时，而且通常需要对细节一丝不苟。为了解决这个问题，我们引入了一种简化的方法，使用 Elastic AI Assistant for Security 来帮助编写这些报告。此方法使用 markdown 模板和 Elastic AI Assistant 的

在严格的评估中提供卓越的性能和保护。Elastic Security 在最近的中取得了显著的成绩。这项独立评估彰显了我们致力于提供世界一流的恶意软件防护的承诺。

​正如我们在过去一年半中看到的那样，生成式 AI 对安全分析师的工作流程非常有益。大型语言模型 (Large language models- LLMs) 是有关网络安全的所有事物的庞大知识资源，几乎可以提出与安全分析师工作流程相关的任何问题。我们看到客户在其安全运营工作流程中使用 Elastic AI Assistant 取得了令人难以置信的成果，从而实现了高效的运营和更高的生产力。但是，在回答有关超出其培训截止日期的公共内容的问题或与私人数据源相关的问题时，LLMs 显得力不从心。

与传统的 SIEM 解决方案相比，人工智能驱动的安全信息和事件管理 (security information and event management -) 解决方案使从业人员能够更高效、更有效地工作，而传统的 SIEM 解决方案依赖于手动流程来配置数据提取、分类警报和创建事件响应剧本（仅举几例）。这个新时代 SIEM 工具中最先进的工具使用生成式人工智能 (GenAI) 来简化从业人员的工作流程。

Elastic 在 IDC MarketScape 2024 年企业 SIEM 供应商评估中被评为领导者。Elastic Security 利用的未来）实现威胁检测、调查和响应的现代化。它是 SOC 团队的首选工具，因为它可以消除盲点、提高从业人员的工作效率并加速 SecOps 工作流程。

​Elastic Stack 是一个模块化数据分析生态系统。虽然这允许工程灵活性，但建立开发实例进行测试可能很麻烦。建立 Elastic Stack 的最简单方法是使用 Elastic Cloud - 这是完全一站式的。但是，在某些情况下，Elastic Cloud 可能不适用于你的测试环境。为了帮助解决这个问题，本博客将为你提供必要的信息，以便快速轻松地建立本地、完全容器化、TLS 安全的 Elastic Stack，并启用 Fleet 和检测引擎。你将能够创建 Fleet 策略，在本地主机或 VM 上

Elastic 提供 AI 驱动的日志分析，并提供激励措施以加速从 Splunk 等传统日志供应商进行的日志迁移运营团队面临着一个充满挑战的环境：在数据量呈指数级增长的复杂、分布式、云原生环境中防止停机，同时避免成本失控。SRE 需要准确且具有上下文可观察性的见解来解决问题并确保弹性。建立在 Search AI 之上，通过基于 RAG 的 Elastic AI Assistant 的上下文见解提供。

针对真实恶意软件提供 100% 防护，零误报Elastic Security 在最近的 AV-Comparatives 恶意软件防护测试中取得了显著的成绩，防护率达到 100%，且对真实恶意软件样本无误报。这项独立评估凸显了我们致力于提供世界一流的恶意软件防护，实现零误报和零用户影响。

​传统的安全信息与事件管理系统（SIEM）在很大程度上依赖屏幕背后的人类才能取得成功。警报、仪表盘、威胁猎杀以及在信号洪流中找到上下文，所有这些都需要大量的人力。搜索人工智能将颠覆这一旧模式，并将传统的 SIEM 替换为适用于现代安全运营中心的人工智能驱动的安全分析解决方案。想象一下，一个系统可以筛选所有的数据，忽略噪音并识别出关键信息，发现特定的攻击，并制定具体的修复措施。Elastic Search AI 平台支持的 Elastic Security 正在实现这一进化，用人工智能取代了配置、调查和响应

网络安全领域仿佛是现实世界的一个映射，安全运营中心（security operation center - SOC）就像是你的数字警察局。网络安全分析师就像是警察，他们的工作是阻止网络犯罪分子对组织发起攻击，或者在他们尝试攻击时将其阻止。当发生攻击时，类似于数字侦探的事件响应人员会从多个不同的来源收集线索，以确定事件的顺序和细节，然后制定补救计划。为了实现这一目标，团队需要将许多（有时是数十个）产品结合起来，以确定攻击的全貌并识别如何在业务遭受损失和损害之前停止威胁。

网站可靠性工程师（site reliability engineers - SREs）和安全分析师 (security analysts) —— 尽管担任着非常不同的角色 —— 分享了许多相同的目标。他们都采用主动监控和事件响应策略来识别和解决潜在问题，以避免这些问题影响服务。他们同样都将组织的稳定性和韧性作为优先事项，旨在最小化停机时间和中断。

你的企业很可能淹没在内部数据中。你拥有问题跟踪、笔记记录、会议记录、维基页面、视频录制、聊天以及即时消息和私信。并且不要忘记电子邮件！难怪如此多的企业都在尝试创造工作场所搜索体验 - 为员工提供集中、一站式的内部信息搜索服务。通过 Elastic 的连接器（）目录，这相对容易做到。但是，当你将所有数据编入索引并准备好进行搜索后，如何确保其安全？毕竟，苔丝（来自工程部门）不应该查看鲍勃（来自人力资源部门）关于绩效评估的笔记。

你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署？在本文中，我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示：你可以选择其中一种方法来在你的环境中创建和使用证书。

在过去的几年里，我们一直在讨论的好处，即向公众提供对我们的检测和预防功能、代码、文档等详细信息的访问，这将增强我们能够为客户提供的安全功能。在本博客中，我们将探讨我们的开放安全计划对 Elastic Security 社区产生影响的一些最新方式，特别是关于生成式 AI 和大型语言模型 (LLM) 的始终存在的主题，例如和提供的主题。

我们很高兴地宣布，Elastic 在 2022 年 Gartner® 洞察力引擎魔力象限™ 中被评为领导者。 这是我们第二年入选 Gartner 魔力象限，今年的评估将 Elastic 列为 “Completeness of Vison” 轴上最远的公司。 我们认为，这个位置、我们的市场势头和我们的愿景实力是由两个基本面驱动的结果

Elastic Security 将 Elastic SIEM（其检测引擎可自动检测威胁，以便快速调查和响应威胁）与 Endpoint Security 结合到一个解决方案中，从而统一整个网络的预防、检测和响应。本教程将引导你设置集成，以便你可以从主机收集数据。首先，你将网络数据包捕获集成添加到代理策略，然后你将在主机上部署 Elastic Agent 以收集网络数据包捕获数据。Elastic 的集成不仅提供了一种添加新数据源的简单方法，

超越阻止恶意软件、勒索软件和高级威胁。 在整个生态系统中统一检测、预防和响应。本指南将引导你完成一个简单的端点管理方案，以便你了解在 Kibana 中创建 Elasticsearch 集群、添加数据和分析结果的基础知识。 首先，你可以在 Elastic Cloud 中创建部署或自己搭建集群，其中大部分配置会自动发生。 只需几个步骤，你将了解如何实施威胁情报来保护端点并将安全信息直接输入 Elastic Stack 以供查看和监控。

Osquery 是一个开源工具，可让你像数据库一样查询操作系统，从而为你提供对基础架构和操作系统的可见性。 使用基本的 SQL 命令，你可以询问有关设备的问题，例如服务器、Docker 容器以及运行 Linux、macOS 或 Windows 的计算机。 广泛的架构有助于处理各种用例，包括漏洞检测、合规性监控、事件调查等。使用 Kibana 中的 Osquery，你可以：为一个或多个代理运行实时查询 安排查询包以捕获操作系统状态随时间的变化 查看过去查询的历史记录及其结果 保存查询并为特定用例