使用 Elastic AI Assistant 简化威胁情报报告

作者：来自 Tommy Bumford

了解 SRE 不断扩展的角色以及所需的新技能：成本管理和 AI。

通过 AI 驱动的报告为分析师提供支持

在不断发展的网络安全领域，威胁分析师不断被新的威胁情报 (threat intelligence - TI) 数据淹没。挑战不仅在于理解和缓解这些威胁，还在于有效地记录和报告这些威胁。传统的威胁情报报告方法可能非常耗时，而且通常需要对细节一丝不苟。为了解决这个问题，我们引入了一种简化的方法，使用 Elastic AI Assistant for Security 来帮助编写这些报告。此方法使用 markdown 模板和 Elastic AI Assistant 的知识库来生成全面而高效的报告。

转变威胁情报文档和报告

威胁分析师在识别和减轻潜在威胁方面发挥着至关重要的作用。然而，记录这些威胁的过程可能很费力。通过使用 Elastic AI Assistant for Security，分析师可以更多地专注于分析威胁，而不是繁琐的报告方面。通过使用 Elastic AI Assistant for Security，我们可以从开源威胁报告中提取相关信息，并使用存储在 AI Assistant 知识库中的模板对这些信息进行格式化。这种方法不是威胁分析师的替代品，而是一种提高他们效率的工具。

使用 Elastic AI Assistant for Security，威胁情报专业人员能够以有利于其报告工作流程的标准化格式分析他们所报告主题的信息。这通过消除收集和规范特定报告的威胁数据的许多手动步骤节省了大量时间。

生成威胁报告的九个步骤

每个威胁情报程序都有自己的生成威胁报告的流程。在 Elastic，我们将此流程分解为以下九个步骤。但是，使用 Elastic AI Assistant 的基本概念可以修改并纳入几乎任何生成威胁报告的工作流程中：

了解所需的报告类型。
为每种报告类型创建模板。
使用 Elastic AI Assistant 将这些模板存储在知识库中。
开发一种收集威胁报告和数据的方法。
将威胁数据提供给 Elastic AI Assistant 以获取适当的模板。
提供额外的上下文或数据。
分析报告模板中的威胁数据以确保准确性和理解性。
提供相关性、影响和任何建议。
发布报告。

使用这些工作流程需要对 Elastic AI Assistant 进行一些设置。还提供 Elastic AI Assistant for Security 的特定文档。现在，让我们深入了解这九个步骤中的每一个。

1. 了解所需的报告类型

每个威胁情报计划都会有所不同，报告要求也各不相同。了解利益相关者以及他们将如何使用威胁情报报告对于计划的成功至关重要。有些计划可能只需要一两种类型的报告，而其他计划可能需要更多类型的报告。在 Elastic，我们使用多种类型的模板来满足不同的报告需求。这些包括：

情报报告 (Intelligence report - INTREP)：INTREP 提供特定威胁的全面概述，包括详细的分析和缓解步骤。这是我们最常见的报告类型。它可以处理从发现新的恶意软件家族到最近更新的威胁行为者策略、技术和程序 (tactics, techniques, and procedures - TTP) 等任何事情。
重大活动报告 (Significant activity report - SIGACT)：这些报告侧重于特定的重大威胁活动或事件。通常，这种类型的报告将用于描述广为人知的事件，例如大规模数据泄露或地缘政治事件。
威胁趋势报告 (Threat trend report - TTR)：TTR 分析一段时间内威胁活动的趋势，帮助识别模式并预测未来威胁。TTR 通常源自其他报告类型，当多个报告在一段时间内具有共同特征时，例如重复使用特定 TTP 或发生在一年中某些时间（例如纳税季节）的攻击主题。
威胁行为者资料 (Threat actor profiles - TAP)：TAP 描述特定的威胁行为者，详细说明他们的 TTP、历史活动和潜在目标。当有关威胁行为者的新信息曝光时，这些报告会定期更新，并帮助分析师了解这些威胁团体的运作方式以及未来的潜在目标可能是什么。
FLASH 报告：这些报告适用于需要快速传播的主题。通常，FLASH 报告用于在进行额外分析的同时将信息传递给更广泛的受众。一旦完成额外分析，FLASH 报告随后被转换为另一种类型的更长报告的情况并不少见。

2. 创建 Markdown 模板

此流程的第二步是为不同的威胁情报报告类型创建 Markdown 模板。这些模板是一种标准化格式，可确保报告的一致性和全面性。它们还将允许 Elastic AI Assistant 将适当的信息放入适当的位置，从而为分析师节省时间和繁琐的工作。

有多种不同的方法来创建这些模板，但最好的方法是针对每个特定威胁情报程序最有效的方法。在 Elastic，我们使用 Google Docs 使用适合我们需求的品牌、样式、图像和部分来创建模板。然后，我们使用 Google Docs 内置的 Markdown 转换工具将模板转换为 Markdown 格式。

其他威胁情报程序的流程可能看起来不同，但重要的是，所有威胁报告模板都转换为 Markdown，以便 Elastic AI Assistant 可以处理它们。

有趣的事实：如果你需要帮助制作 Markdown 中的模板或特定类型的报告，Elastic AI Assistant 也可以提供帮助！尝试这样说：“你是专业的威胁情报分析师。请帮我开发可用于以下类型的威胁情报报告的模板：情报报告 (INTREP)、重大活动报告 (SIGACT) 和威胁趋势报告 (TTR)。/ou are an expert threat intelligence analyst. Help me develop templates that can be used for threat intelligence reporting of the following types: Intelligence report (INTREP), significant activity report (SIGACT), and threat trend report (TTR).”

你可以微调提示以添加其他报告类型、每个报告所需的特定部分或格式选项。

3. 使用 Elastic AI Assistant 将模板存储在知识库中

创建 Markdown 模板后，下一步是将它们存储在 Elastic AI Assistant 的知识库 (knowledge base - KB) 中。这样分析师就可以在需要时快速检索和使用这些模板。

存储模板的步骤：

1. 访问 Elastic AI Assistant：打开 Elastic AI Assistant 界面。这可以通过单击 Kibana 右上角的 AI Assistant 来完成。这将打开一个新的提示。

2. 存储模板：有多种方法可以将内容存储在 Elastic AI Assistant 的知识库中以供将来参考。在 8.16.0 版本中，Elastic 对知识库的管理和使用方式进行了一些非常大的改进。现在，将内容存储在知识库中比以往任何时候都更容易，管理项目也很简单：

从 Elastic AI Assistant 中，单击助手窗口右上角的导航到知识库管理（KB management）页面。然后，单击 Knowledge Base。

从这里，你可以看到已添加到 KB 的所有项目以及右上角的按钮，该按钮可让你直接上传项目。单击 + New 以将项目添加到 KB。这将为你提供如下所示的下拉菜单：

出于我们的目的，选择 Document。有关可以添加到 KB 的不同类型信息的更多详细信息，你可以参考 AI Assistant 知识库文档。

单击 “Document” 将出现一个新面板，你可以在其中直接向知识库添加信息。你需要为知识库条目提供一些特定信息：

Name
Sharing (permissions)
Markdown text
Required knowledge

Name 是知识库用来引用项目的标题。因此，在我们的例子中，它类似于 “威胁报告模板：TTR/Threat Report Template: TTR.”。

Sharing 允许我们指定谁将有权访问知识库项目，并且根据个人设置和情况提供许多可用选项（有关知识库权限的更多信息，请点击此处）。在此示例中，我允许所有有权访问该空间的人查看此知识库项目。

Markdown text 字段是我们将粘贴之前创建的 Markdown 模板的地方。

最后一步是选中 “Required knowledge” 框 - 这将允许助手使用这些模板生成报告而无需特定提示。可以不选中此选项，但要求报告的提示需要指定应从知识库中检索内容。选中该框后，单击 Save。

保存知识库项目后，你应该会在 “Security AI settings” > “Knowledge Base” 下看到所有知识库项目的列表。

如果需要进行任何更改，你也可以从此处删除或编辑这些项目。

将项目存储在知识库中的原始方法是直接告诉 Elastic AI Assistant 执行此操作。例如：

使用以下提示存储模板：将以下 Markdown 模板存储在知识库中：<在此处插入 Markdown 模板>/Store the following Markdown template in the knowledge base: <insert Markdown template here>

现在，有趣的部分开始了！

3. 验证存储：通过查询知识库确认模板已成功存储。尝试以下提示：向我展示存储在你的知识库中的 TTR 威胁报告模板。/Show me the TTR Threat Report Template stored in your knowledge base.

Elastic AI Assistant 应该返回一条消息，向你展示模板，但未填写任何信息：

4. 开发一种收集威胁报告和数据的方法

建立一种系统的方法，从各种来源（例如威胁源、安全博客和事件报告）收集威胁情报数据。这可确保数据全面且最新。这将因程序而异，并且至少略微取决于可用的来源。有几种方法可以很好地实现这一点，从手动扫描新闻网站到通过 RSS 源自动执行该过程，甚至将威胁报告导入威胁情报平台 (threat intelligence platform - TIP)。

归根结底，只要有一个收集开源报告和其他威胁数据的流程，它就适用于这些工作流程。在 Elastic，我们有一个流程，它使用 RSS 源将开源报告和威胁数据汇总到一个可以系统地使用的地方（请留意即将发布的另一篇博客，了解我们如何做到这一点！）。

拥有一个明确的流程来收集这些信息可以提高流程的效率，并提供许多与外部威胁形势相关的有趣分析机会。

5. 将威胁数据提供给 Elastic AI Assistant 以获取适当的模板

下一步是将正在分析的特定威胁文章中的信息提供给 Elastic AI Assistant — 手动或自动方式（查看这些示例以获得灵感）。这就是奇迹发生的地方。提示应该是这样的：

“使用存储在知识库中的 <模板名称> 模板，分析以下信息并根据信息创建新的 <报告类型> 报告。/Using the <template name> template stored in your knowledge base, analyze the following information and create a new <report type> report from the information.”

注意：除非知识提交为 “不需要”，否则不需要“ 存储在你的知识库中” 字样。

你还可以随意对提示进行更详细的说明，例如告诉 AI 助手，如果提供的数据中不存在相关信息，则将字段留空。为了举例说明，我们使用 Elastic Security Labs 发布的有关 XZ / liblzma 后门的报告，500ms to midnight: XZ / liblzma backdoor。

然后，助手将使用你提供的威胁数据信息填充你的模板。

6. 提供额外的背景信息或数据

如果我们有关于同一事件的多个报告或数据源，并希望包含所有这些报告或数据源的信息，该怎么办？Elastic AI Assistant 也可以处理这种情况。只需在同一个 AI Assistant 聊天中重复该过程并提供附加信息即可。尝试以下提示：

“看起来不错。请同时包含以下信息：<插入其他报告来源或数据>/That looks good. Please include this information as well: <insert additional reporting source or data>”

然后，Elastic AI Assistant 将获取附加信息并将其合并到之前提供的相同模板报告中。

这可以通过多个报告和数据源来实现，并且是一种很好的方式，可以在不重复信息的情况下包含来自不同来源和观点的见解。

7. 分析报告模板中的威胁数据以确保准确性和理解力

填充模板后，分析师将审查报告以确保其准确性和全面性。此步骤对于维护报告的完整性至关重要。Elastic AI Assistant 擅长收集数据并将其放入正确的格式和部分，但它并不完美，无法保证 100% 的准确性。

仔细阅读当前状态的报告可确保所提供的信息已正确格式化为模板，同时也让分析师有机会更好地理解主题并开始分析。

8. 提供相关性、影响和任何建议

尽管 Elastic AI Assistant 高效而智能，但有些事情并不是机器可以做的。这就是优秀分析师的价值所在。分析师应该对与所分析事件相关的环境、组织和技术因素有扎实的了解。

此时，分析师需要根据威胁数据添加他们对相关性、潜在影响和建议的见解。此步骤利用分析师的专业知识提供可操作的情报。本质上，这是获取威胁数据并将其转化为对组织内部利益相关者有用的东西的步骤。

9. 预处理、审查和发布报告

现在，大部分或全部分析都已完成，是时候将报告转换为可呈现的格式了。这将因程序而异，具体取决于用于传播的方法和样式指南。在 Elastic，我们以 Markdown 格式获取报告并将其导入 Google Docs 进行样式编辑，例如添加图片和设置格式。但对于其他程序，这基本上可以在分析师通常用于编写和准备报告的任何平台上完成。重要的是，信息已被收集、分析并放入模板中，该模板可以轻松移动到另一个平台进行发布。

一旦报告起草完毕，这就是我们一直在等待的时刻。是时候对报告进行一次（或多次）最后阅读，修复任何格式问题，添加一两张好图片，然后发布！审查和传播的工作流程对于每个单独的威胁情报程序都是独一无二的，可能需要考虑以下几点：

这份报告将发给谁？哪些个人利益相关者或团队将从这份报告中受益？
报告应该发在哪里？哪个位置最适合受众获取报告？是消息平台、维基页面、电子邮件群发还是其他地方？
什么时候发送？时机至关重要，尤其是在发布到集中位置时。在决定何时发布和传播时，请考虑时区、工作时间和休假安排等因素。还需要考虑信息的重要性，以确保报告在收到时仍然有价值。这肯定是一种平衡行为，但在发布时应该考虑。
是否有任何指标可以帮助推动情报计划向前发展？许多计划传播报告并在那里结束该过程。了解报告发布后会发生什么对威胁情报计划来说非常有价值。谁在阅读报告？他们多久读一次？报告发布后阅读速度有多快？所有这些问题的答案都有助于塑造未来的报告、传播工作流程和整个流程的其他方面，从而制作出更好的产品。

在 Elastic，我们使用已经可用于传播渠道（消息平台、共享驱动器和 Wiki 页面）的日志来制作仪表板，以显示参与率、后续活动以及我们制作的报告的其他指标。通过了解哪些报告被阅读得更多或更少，我们可以根据利益相关者正在阅读和使用的主题和威胁来定制分析。

Elastic AI Assistant 提高效率和效力

Elastic AI Assistant 提供了一个强大的工具来增强威胁情报报告。通过遵循这些步骤，分析师可以更有效地生成高质量的报告。这种方法不仅节省时间，而且还确保威胁情报报告全面一致。虽然 Elastic AI Assistant 有助于报告过程，但威胁分析师的专业知识和见解仍然不可替代 —— 使其成为提高其效率和效力的宝贵工具，同时又不会失去从威胁分析师那里获得的见解和知识。

想亲自尝试 Elastic AI Assistant 吗？下载我们的免费版本并简化威胁情报报告创建！

本文中描述的任何特性或功能的发布和时间均由 Elastic 自行决定。任何当前不可用的特性或功能可能无法按时交付或根本无法交付。

在这篇博文中，我们可能使用或引用了第三方生成 AI 工具，这些工具由其各自的所有者拥有和运营。Elastic 无法控制第三方工具，我们对其内容、操作或使用不承担任何责任，也不对你使用此类工具可能产生的任何损失或损害承担任何责任。将 AI 工具用于个人、敏感或机密信息时，请务必谨慎。你提交的任何数据都可能用于 AI 培训或其他目的。我们无法保证你提供的信息会得到安全或保密。在使用任何生成式 AI 工具之前，你应该熟悉其隐私惯例和使用条款。

Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine 和相关标志是 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。

原文：Streamlining threat intelligence reporting with Elastic AI Assistant | Elastic Blog