作者:来自 Elastic Sumana Mannem
Elastic Workflows 将自动化直接引入 Elastic Security。从剧本中执行已定义任务,同时 AI agents 推理处理复杂调查以更快地阻止威胁。
Elastic Workflows,目前处于技术预览阶段,将原生自动化引入 Elastic Security,这个 agentic 安全运营平台已包括统一 SIEM 和 XDR。停止支付自动化税。不需要购买、集成或维护单独的 SOAR(Security Orchestration, Automation, and Response)工具。
原生构建在 Elastic Security 内,Workflows 可直接访问你的 alerts、cases 和调查数据。通过从剧本中执行已定义任务,同时 AI agents 推理处理复杂调查以更快地阻止威胁,消除人工分流。
挑战:自动化税与被迫的权衡
安全团队无法跟上不断增长的 alert 量和 AI 驱动的威胁。自动化是必需的。但传统做法是购买独立 SOAR 并附加到 SIEM,这带来了自己的问题类别。结果是在 SOC 上产生了自动化税。
SOAR 独立于你的安全数据。这迫使团队构建和维护脆弱的集成,仅为了处理 SIEM 已知的信息。这意味着更多供应商、更多成本、更高复杂性,以及分析师花费大量时间在集成开销上,而不是调查威胁。根据 State of the SOC 报告,平均 SOC 操作涉及 11 个安全控制台,91% 的安全负责人将严重事件直接归因于断开工具之间的摩擦。
团队还面临可靠性与推理之间的权衡。传统剧本以一致性处理已定义任务,但在调查不符合已知模式时无法适应。AI 工具提供推理能力,但往往缺乏安全运营所需的可靠性。
Elastic Workflows:终结自动化税
Workflows 原生运行在 Elastic Security 中,而不是维护独立的自动化平台 — 无需构建复杂集成,也无需在平台间移动数据。与数据的紧密接触为自动化提供了更丰富的上下文和更快的执行。
Workflows 在 YAML 中定义,由内置引擎执行,设计上可在大规模环境下保持可靠性。它们完全可组合并基于事件驱动,可响应 alerts、计划、外部系统事件以及分析师发起的操作。
一旦运行,Workflows 可与 SOC 依赖的外部系统无缝连接,如 cloud providers、identity platforms、service desks 和 messaging tools,使单个自动化能够在你的安全堆栈中同步上下文。
Workflows 与 agents 实现智能自动化
Elastic Workflows 将脚本化自动化与 AI 推理结合。以一致性和可靠性从剧本中执行已定义任务,同时 AI agents 推理处理复杂调查。
Workflows 通过与 Elastic Agent Builder 集成获得其 agentic 能力,Elastic Agent Builder 是 Elasticsearch 的原生功能,用于创建自定义 AI agents。该集成是双向的。Workflows 可调用 agents 作为智能步骤进行分析和决策。Agents 可调用 Workflows 作为工具执行具体操作,如隔离 host、查询 threat intel、升级 incident 或更新 case。每个操作和推理步骤都是透明且可配置的。
由于 Elastic Security 构建在 Elasticsearch Platform 上,agents 可以利用来自你的安全数据的丰富上下文进行推理,提供更准确、针对你环境定制的结果。AI Skills 会通过为 agents 提供模块化、领域特定的推理(如 alert 分流或 malware 分析),按需动态加载,从而在大规模环境中保持 agents 的速度和准确性。
实际情况如下。假设一个高权限账户在未识别地点的可疑登录触发了 alert。通常,这就是人工处理开始的地方。但使用 Workflows 时,alert 一触发,系统会立即开始验证用户的典型行为,检查其他近期登录异常,并将发现打包到新 case 中,同时在 Slack 上通知团队。
如果没有为自动分流这个特定场景定义的剧本,workflow 可以调用 AI agent 介入。agent 分析活动,将其与已知攻击模式进行比较,并提供实际发生情况的总结。当分析师打开 case 时,他们不是从模糊的 alert 和空白屏幕开始,而是从已经整理好的上下文开始。
使用 Workflows 使我们的 SOC 能将更多时间花在重要的事情上。每天,我们需要处理 500 个 alerts,手动创建和丰富 cases 花费 3 小时。使用 Workflows 后,这些都自动完成,每天节省最多 2.5 小时。
- SOC 负责人,欧洲政府机构
对于已有 SOAR 的团队
如果你的团队已经有 SOAR 平台,Workflows 不需要你替换它。涉及你的 Elastic 数据的自动化,如 alert 分流、丰富、case 管理和响应操作,会原生转移到 Workflows。跨平台对非 Elastic 系统的编排仍在现有 SOAR 中进行。随着时间推移,你可以按自己的节奏进行整合。
开始使用 Elastic Workflows
Elastic Workflows 现已作为技术预览在 Elastic Security(agentic 安全运营平台)中提供。正式上线(GA)即将到来。通过 Elastic Cloud 试用开始使用,并查看文档。
Workflows 在技术预览期间目前无需额外费用。定价将在正式发布附近公布。
如果想亲身体验使用 Workflows 构建安全剧本,可观看 B 站上的演示或阅读 Security Labs 技术博客。
如果你的团队一直在寻找无需在堆栈中增加新工具即可自动化 SOC 操作的方法,这是一个不错的起点。
本文中提到的任何功能或特性发布及时间安排均由 Elastic 全权决定。当前不可用的任何功能或特性可能无法按时或根本不提供。
在本文中,我们可能使用或提及了第三方生成式 AI 工具,这些工具由各自所有者拥有和运营。Elastic 对第三方工具不具任何控制权,也不对其内容、操作或使用承担责任或义务,也不对因使用此类工具可能产生的任何损失或损害负责。使用 AI 工具处理个人、敏感或机密信息时,请谨慎。你提交的任何数据可能被用于 AI 训练或其他用途。不能保证你提供的信息会被安全或保密保存。在使用任何生成式 AI 工具前,你应熟悉其隐私实践和使用条款。
Elastic、Elasticsearch 及相关标识是 Elasticsearch B.V. 在美国及其他国家的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。
