作者：来自 Elastic Michael Calizo

利用人工智能、异常检测和增强攻击发现功能，在一个平台上增强组织的可观察性和安全性能力

当今数字环境中的组织越来越关注服务可用性，并保护其软件免受恶意篡改和攻击。传统的安全和可观察性工具通常以孤岛形式运行，导致观点分散，事件响应延迟。

集成可观察性和安全性的统一平台对于加速软件交付和性能以及增强安全性至关重要。利用 AI 和 ML 技术以及先进的攻击发现方法可以显著改善这种集成，从而提供一种全面而主动的方法来管理安全性和应用程序运行状况。

挑战：工具分散和数据孤岛

当今的企业面临着几个紧迫的问题：

• 工具蔓延：专用工具的激增使数据共享变得复杂。
• 以系统/网络为中心的方法：这妨碍了协作和数据关联。
• 数据重复和保留：冗余数据和权限问题减慢了运营速度。
• 专有软件：数据通常被困在专有系统和多个特定于功能的协议中。

这些问题导致了 IT 格局的碎片化，使团队难以有效应对威胁。根据 Mimecast 的电子邮件和协作安全状况报告，高达 74% 的网络攻击是由人为因素造成的，41% 的组织最近经历了更多基于电子邮件的威胁。这种分散的方法也对用户管理和系统集成构成了挑战，因为组织难以适应和发展。

解决方案：采用 AI 和 ML 的统一方法

将可观察性和安全性整合到一个平台中可带来诸多好处，尤其是在通过 AI 和 ML 技术增强时：

• 统一工具和集中分析：通过整合可观察性和安全性，团队可以共享见解和数据，从而做出更明智的决策。
• 节省成本：减少工具和平台数量可直接节省成本并减少管理开销。
• 增强上下文和可见性：统一方法允许全面监控所有数据点，从日志和指标到跟踪、事件甚至业务数据。
• AI 驱动的见解：生成式 AI 和 ML 提供高级数据分析，识别人类分析师可能错过的模式和异常。

Elastic AI Assistant：结合可观察性和安全性的桥梁

Elastic AI Assistant 是这种集成方法的关键组件，可提供更快的检测和响应时间。具体方法如下：

• 生成式 AI：Elastic AI Assistant 利用生成式 AI 的强大功能，为业务、运营和安全团队创造量身定制的体验。这种交互式自然语言聊天界面允许用户快速找到最相关的信息 - 打破知识孤岛并缩短响应时间。
• 增强调查：助手通过利用 AI 提供上下文见解和可操作建议来加强调查 - 增强 SRE 和安全团队的现有知识库。
• 交互式聊天界面：Elastic AI Assistant 基于 Elasticsearch 相关性引擎 (ESRE​​) 构建并由生成式 AI 提供支持，将组织特定知识与检索增强生成 (RAG) 相结合，并将传统搜索方法转变为交互式直观体验。

利用人工智能和机器学习加速问题解决

人工智能和机器学习在加速可观察性和安全性功能方面的问题解决方面发挥着至关重要的作用。

• 实时 KPI：提供实时关键绩效指标 (KPI)，例如用户体验、客户满意度、应用程序性能和系统健康指标。
• 异常检测：高级 ML 算法通过建立基线行为配置文件和识别偏差来检测异常。这有助于发现异常模式、潜在问题和运营效率低下。
• 预测洞察：人工智能驱动的洞察支持预测分析，有助于在潜在中断升级之前预见和缓解它们。与事件管理系统集成的主动警报使团队能够在用户意识到之前解决潜在问题。

攻击发现：增强安全运营

攻击发现（attack discovery）是统一可观察性和安全性的关键方面。Elastic Security 由 Elastic Search AI 平台提供支持，引入了用于高级攻击检测和响应的创新功能：

• AI 驱动的安全分析：Elastic Security 由 Elastic Search AI 平台提供支持，可自动执行配置、调查和响应的手动流程。该平台结合了搜索和检索增强生成 (RAG)，可提供高度相关的结果。它与安全工作流无缝集成，提供预构建的提示和添加自定义提示的能力。
• Elastic Attack Discovery：此功能对数百个警报进行分类，以识别少数重要的攻击，为安全运营团队提供直观的界面，以了解并快速应对攻击。

通过整合可观察性和安全性功能并利用 AI 和 ML 的强大功能，企业可以简化数据收集、增强威胁检测并优化运营效率。这种统一方法不仅可以增强安全态势，还可以促进协作环境，让所有相关团队都可以轻松访问数据和见解。

统一方法的重要性

软件供应链的复杂性要求统一的安全性和可观察性方法。传统的应用程序安全措施不足以解决软件供应链的复杂性。Elastic 采用软件工件供应链级别 (supply chain levels for software artifacts - SLSA) 框架，通过防止篡改、提高完整性以及保护软件包和基础设施来增强安全性。这种主动立场可确保缓解潜在威胁并确保软件供应链的安全。

整合由 AI 和 ML 增强的统一可观察性和安全性平台不仅仅是技术升级，更是战略要务。随着网络威胁变得越来越复杂，数据环境变得越来越复杂，对提供可见性和安全性的集成解决方案的需求变得至关重要。通过采用这种方法，组织可以确保拥有弹性、安全和高效的数字环境，随时准备应对当前和未来的挑战。

阅读 SANS 报告《黑暗中的光芒：可观察性 + 安全性》，或观看网络研讨会，了解有关这一新兴战略的更多信息以及如何采取措施统一组织的可观察性和安全性功能。

本文中描述的任何特性或功能的发布和时间均由 Elastic 自行决定。任何当前不可用的特性或功能可能无法按时交付或根本无法交付。

在这篇博文中，我们可能使用或提及了第三方生成式 AI 工具，这些工具由其各自的所有者拥有和运营。Elastic 无法控制第三方工具，我们对其内容、操作或使用不承担任何责任，也不对你使用此类工具可能产生的任何损失或损害承担任何责任。在使用 AI 工具处理个人、敏感或机密信息时，请谨慎行事。你提交的任何数据都可能用于 AI 培训或其他目的。我们无法保证你提供的信息将得到安全或保密。在使用任何生成式 AI 工具之前，你应该熟悉其隐私惯例和使用条款。

Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine 和相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。

原文：How can unifying observability and security strengthen your business? | Elastic Blog