作者：來自 Elastic?Michael Calizo

利用人工智能、異常檢測和增強攻擊發現功能，在一個平臺上增強組織的可觀察性和安全性能力

當今數字環境中的組織越來越關注服務可用性，并保護其軟件免受惡意篡改和攻擊。傳統的安全和可觀察性工具通常以孤島形式運行，導致觀點分散，事件響應延遲。

集成可觀察性和安全性的統一平臺對于加速軟件交付和性能以及增強安全性至關重要。利用 AI 和 ML 技術以及先進的攻擊發現方法可以顯著改善這種集成，從而提供一種全面而主動的方法來管理安全性和應用程序運行狀況。

挑戰：工具分散和數據孤島

當今的企業面臨著幾個緊迫的問題：

• 工具蔓延：專用工具的激增使數據共享變得復雜。
• 以系統/網絡為中心的方法：這妨礙了協作和數據關聯。
• 數據重復和保留：冗余數據和權限問題減慢了運營速度。
• 專有軟件：數據通常被困在專有系統和多個特定于功能的協議中。

這些問題導致了 IT 格局的碎片化，使團隊難以有效應對威脅。根據 Mimecast 的電子郵件和協作安全狀況報告，高達 74% 的網絡攻擊是由人為因素造成的，41% 的組織最近經歷了更多基于電子郵件的威脅。這種分散的方法也對用戶管理和系統集成構成了挑戰，因為組織難以適應和發展。

解決方案：采用 AI 和 ML 的統一方法

將可觀察性和安全性整合到一個平臺中可帶來諸多好處，尤其是在通過 AI 和 ML 技術增強時：

• 統一工具和集中分析：通過整合可觀察性和安全性，團隊可以共享見解和數據，從而做出更明智的決策。
• 節省成本：減少工具和平臺數量可直接節省成本并減少管理開銷。
• 增強上下文和可見性：統一方法允許全面監控所有數據點，從日志和指標到跟蹤、事件甚至業務數據。
• AI 驅動的見解：生成式 AI 和 ML 提供高級數據分析，識別人類分析師可能錯過的模式和異常。

Elastic AI Assistant：結合可觀察性和安全性的橋梁

Elastic AI Assistant 是這種集成方法的關鍵組件，可提供更快的檢測和響應時間。具體方法如下：

• 生成式 AI：Elastic AI Assistant 利用生成式 AI 的強大功能，為業務、運營和安全團隊創造量身定制的體驗。這種交互式自然語言聊天界面允許用戶快速找到最相關的信息 - 打破知識孤島并縮短響應時間。
• 增強調查：助手通過利用 AI 提供上下文見解和可操作建議來加強調查 - 增強 SRE 和安全團隊的現有知識庫。
• 交互式聊天界面：Elastic AI Assistant 基于 Elasticsearch 相關性引擎 (ESRE??) 構建并由生成式 AI 提供支持，將組織特定知識與檢索增強生成 (RAG) 相結合，并將傳統搜索方法轉變為交互式直觀體驗。

利用人工智能和機器學習加速問題解決

人工智能和機器學習在加速可觀察性和安全性功能方面的問題解決方面發揮著至關重要的作用。

• 實時 KPI：提供實時關鍵績效指標 (KPI)，例如用戶體驗、客戶滿意度、應用程序性能和系統健康指標。
• 異常檢測：高級 ML 算法通過建立基線行為配置文件和識別偏差來檢測異常。這有助于發現異常模式、潛在問題和運營效率低下。
• 預測洞察：人工智能驅動的洞察支持預測分析，有助于在潛在中斷升級之前預見和緩解它們。與事件管理系統集成的主動警報使團隊能夠在用戶意識到之前解決潛在問題。

攻擊發現：增強安全運營

攻擊發現（attack discovery）是統一可觀察性和安全性的關鍵方面。Elastic Security 由 Elastic Search AI 平臺提供支持，引入了用于高級攻擊檢測和響應的創新功能：

• AI 驅動的安全分析：Elastic Security 由 Elastic Search AI 平臺提供支持，可自動執行配置、調查和響應的手動流程。該平臺結合了搜索和檢索增強生成 (RAG)，可提供高度相關的結果。它與安全工作流無縫集成，提供預構建的提示和添加自定義提示的能力。
• Elastic Attack Discovery：此功能對數百個警報進行分類，以識別少數重要的攻擊，為安全運營團隊提供直觀的界面，以了解并快速應對攻擊。

通過整合可觀察性和安全性功能并利用 AI 和 ML 的強大功能，企業可以簡化數據收集、增強威脅檢測并優化運營效率。這種統一方法不僅可以增強安全態勢，還可以促進協作環境，讓所有相關團隊都可以輕松訪問數據和見解。

統一方法的重要性

軟件供應鏈的復雜性要求統一的安全性和可觀察性方法。傳統的應用程序安全措施不足以解決軟件供應鏈的復雜性。Elastic 采用軟件工件供應鏈級別 (supply chain levels for software artifacts - SLSA) 框架，通過防止篡改、提高完整性以及保護軟件包和基礎設施來增強安全性。這種主動立場可確保緩解潛在威脅并確保軟件供應鏈的安全。

整合由 AI 和 ML 增強的統一可觀察性和安全性平臺不僅僅是技術升級，更是戰略要務。隨著網絡威脅變得越來越復雜，數據環境變得越來越復雜，對提供可見性和安全性的集成解決方案的需求變得至關重要。通過采用這種方法，組織可以確保擁有彈性、安全和高效的數字環境，隨時準備應對當前和未來的挑戰。

閱讀 SANS 報告《黑暗中的光芒：可觀察性 + 安全性》，或觀看網絡研討會，了解有關這一新興戰略的更多信息以及如何采取措施統一組織的可觀察性和安全性功能。

本文中描述的任何特性或功能的發布和時間均由 Elastic 自行決定。任何當前不可用的特性或功能可能無法按時交付或根本無法交付。

在這篇博文中，我們可能使用或提及了第三方生成式 AI 工具，這些工具由其各自的所有者擁有和運營。Elastic 無法控制第三方工具，我們對其內容、操作或使用不承擔任何責任，也不對你使用此類工具可能產生的任何損失或損害承擔任何責任。在使用 AI 工具處理個人、敏感或機密信息時，請謹慎行事。你提交的任何數據都可能用于 AI 培訓或其他目的。我們無法保證你提供的信息將得到安全或保密。在使用任何生成式 AI 工具之前，你應該熟悉其隱私慣例和使用條款。

Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine 和相關標志是 Elasticsearch N.V. 在美國和其他國家/地區的商標、徽標或注冊商標。所有其他公司和產品名稱均為其各自所有者的商標、徽標或注冊商標。

原文：How can unifying observability and security strengthen your business? | Elastic Blog