Elastic 的 AI 驅動方法如何重塑現代 SIEM 策略

傳統的安全資訊與事件管理（SIEM）領域正經歷一場根本性的轉變。Elastic，搜尋AI公司，推出了一個範式轉移，改變了安全運營團隊管理現代SOC中泛濫的海量安全警報的方式——引入攻擊發現（Attack Discovery），這是其Elastic Security平台中的一項突破性功能。

核心挑戰：警報疲勞與真正威脅

安全團隊面臨一個持續不斷的問題：每天數千個警報競爭注意力，但只有一小部分是真正的威脅。這造成了關鍵的瓶頸。分析師花費大量時間手動篩選噪音、配置偵測規則和調查誤報——同時，複雜攻擊可能會從中漏網之魚。資安人力短缺更使這一挑戰加劇，讓精簡的安全運營團隊捉襟見肘。

攻擊發現：規模化自動化警報分類

攻擊發現不再要求分析師手動解析數百個每日警報，而是利用Elastic的搜尋AI平台即時篩選和優先排序威脅。該解決方案結合搜尋技術與增強檢索生成（Retrieval Augmented Generation，RAG）(，智能地根據多個因素對警報進行排名：主機與用戶風險評分、資產重要性、警報嚴重程度以及情境描述。

結果令人震驚——過去需要一組分析師的工作，現在只需點擊一個按鈕，即可立即呈現真正重要的攻擊。攻擊發現將相關警報映射到離散的攻擊鏈，揭示看似無關的信號如何形成一個連貫的威脅故事。

為何基於搜尋的RAG對安全AI重要

大型語言模型（LLM）的效能取決於其處理的數據。傳統的LLM方法困難重重，因為它們依賴於快速過時的靜態訓練資料。Elastic的方法則截然不同：將LLM與即時搜尋能力結合，確保AI用你環境中最新、最相關的資料來評估警報。

透過查詢Elasticsearch的混合搜尋能力，攻擊發現自動檢索LLM應分析的精確資料——免去建立自訂模型或不斷重新訓練系統的麻煩，隨著安全環境的演變，仍能保持高準確度，且運營負擔低。

實務影響：從理論到實戰成果

已經使用Elastic Security的AI助手的組織反映出明顯的效率提升。Bolt的雲端安全團隊主管Kadir Burak Mavzer指出，作為一個依賴現有團隊並輔以生成式AI的精簡運作，攻擊發現提供了一條更快保護資產的令人振奮的途徑。

業界分析師也認同這一點。EMA資訊安全研究主管Ken Buckler形容攻擊發現為「具有轉型性」，能解決持續的人才短缺問題——曾經需要整個團隊調查的工作，現在由個別分析師在更短時間內完成。

市場準備度與Elastic Security的更廣能力

攻擊發現是Elastic Security最新的演進，該平台自2019年推出以來已成熟，內建超過100個基於機器學習的異常偵測任務，用於識別先前未知的威脅。平台已經透過Elastic AI Assistant for Security提供AI輔助工作流程，協助分析師進行規則撰寫、警報摘要和整合建議。

此解決方案立即向所有企業授權持有人提供，隨著Elastic 8.14版本推出，代表Elastic在AI驅動安全分析方面的策略轉型已達到高潮。

為何這對SIEM的未來如此重要

Elastic安全事業部總經理Santosh Krishnan直言不諱：「我們近20%的安全客戶已經使用我們的AI助手來提升團隊效率。」攻擊發現將這一生產力優勢擴展到整個警報生命週期——偵測、調查與回應。

對於被誤報和警報噪音淹沒的安全團隊來說，從數量警報轉向優先處理真正攻擊，不僅是功能更新，更是對現代SOC運作方式的根本重新想像——由理解情境而非僅僅識別模式的AI所驅動。