作者:Tommy Bumford
2024 年 12 月 5 日
赋能分析师:以 AI 驱动的报告
在不断变化的网络安全环境中,威胁分析师经常被新的威胁情报 (TI) 数据淹没。挑战不仅在于理解和缓解这些威胁,还在于有效地记录和报告它们。传统的威胁情报报告方法可能非常耗时,而且通常需要对细节一丝不苟。为了解决这个问题,我们引入了一种使用 Elastic AI 安全助手来简化编写这些报告过程的精简方法。此方法使用 Markdown 模板和 Elastic AI 助手的知识库来生成全面而高效的报告。
转变威胁情报文档和报告
威胁分析师在识别和缓解潜在威胁方面发挥着至关重要的作用。然而,记录这些威胁的过程可能非常费力。通过使用 Elastic AI 安全助手,分析师可以将更多精力放在分析威胁上,而不是报告的繁琐方面。通过使用 Elastic AI 安全助手,我们可以从开源威胁报告中提取相关信息,并使用存储在 AI 助手知识库中的模板格式化这些信息。这种方法不是要取代威胁分析师,而是一个提高他们效率的工具。
使用 Elastic AI 安全助手,威胁情报专业人员能够以有利于其报告工作流程的标准化格式分析他们正在报告的主题信息。这通过消除为特定报告收集和规范化威胁数据的许多手动步骤,节省了大量时间。
生成威胁报告的九个步骤
每个威胁情报程序都有自己的生成威胁报告的流程。在 Elastic,我们将此过程分解为以下九个步骤。但是,使用 Elastic AI 助手的基本概念可以修改并融入几乎任何生成威胁报告的工作流程:
- 了解所需的报告类型。
- 为每种报告类型创建模板。
- 使用 Elastic AI 助手将这些模板存储在知识库中。
- 制定收集威胁报告和数据的方法。
- 将威胁数据提供给 Elastic AI 助手以用于相应的模板。
- 提供额外的上下文或数据。
- 分析报告模板中的威胁数据以确保准确性和理解。
- 提供相关性、影响和任何建议。
- 发布报告。
使用这些工作流程需要对 Elastic AI 助手进行一些设置。还可以参考 Elastic AI 安全助手的特定文档。现在,让我们更深入地了解这九个步骤。
1. 了解所需的报告类型
每个威胁情报程序都将有所不同,具有不同类型的报告要求。了解利益相关者以及他们将如何使用和利用威胁情报报告对于一个成功的程序至关重要。有些程序可能只需要一两种类型的报告,而其他程序可能需要更多。在 Elastic,我们使用几种类型的模板来满足不同的报告需求。这些包括:
- 情报报告 (INTREP):INTREP 提供特定威胁的全面概述,包括详细分析和缓解步骤。这是我们最常见的报告类型。它可以处理从发现新的恶意软件家族到最近更新的威胁参与者战术、技术和程序 (TTP) 的任何事情。
- 重大活动报告 (SIGACT):这些报告侧重于具体的、重大的威胁活动或事件。通常,这类报告将用于描述广泛公开的事件,例如大规模数据泄露或地缘政治事件。
- 威胁趋势报告 (TTR):TTR 分析一段时间内威胁活动的趋势,帮助识别模式并预测未来威胁。TTR 通常源于其他报告类型,当多个报告随着时间的推移共享共同特征时,例如重复使用特定的 TTP 或在一年中的某些时间(例如纳税季节)发生的攻击主题。
- 威胁参与者画像 (TAP):TAP 描述特定威胁参与者的画像,详细说明他们的 TTP、历史活动和潜在目标。当有关威胁参与者的新信息出现时,这些报告会定期更新,并帮助分析师了解这些威胁组织的运作方式以及潜在的未来目标。
- 快速报告 (FLASH):这些报告用于需要快速传播的主题。通常,FLASH 报告用作在进行额外分析的同时向更广泛的受众发布信息的一种方式。一旦完成额外的分析,FLASH 报告通常会被转换为其他类型的更长报告。
2. 创建 Markdown 模板
此过程的第二步是为不同的威胁情报报告类型创建 Markdown 模板。这些模板用作标准化格式,以确保报告的一致性和全面性。它们还将允许 Elastic AI 助手将适当的信息放入适当的位置,从而节省分析师的时间和繁琐的工作。
有很多不同的方法来创建这些模板,但最好的方法是对每个特定的威胁情报程序最有效的方法。在 Elastic,我们使用 Google Docs 来创建我们的模板,使用适合我们需求的品牌、样式、图像和部分。然后,我们使用 Google Docs 内置的 Markdown 转换工具将我们的模板转换为 Markdown 格式。
其他威胁情报程序的流程可能看起来不同,但重要的是所有威胁报告模板都转换为 Markdown 格式,以便 Elastic AI 助手可以处理它们。
威胁趋势报告 (TTR)
有趣的事实:如果您需要帮助以 Markdown 格式制作模板或特定类型的报告,Elastic AI 助手也可以提供帮助!尝试类似“您是一位专家级威胁情报分析师。请帮助我开发可用于以下类型的威胁情报报告的模板:情报报告 (INTREP)、重大活动报告 (SIGACT) 和威胁趋势报告 (TTR)”的内容。
您可以微调提示以添加其他报告类型、每个报告中必要的特定部分或格式选项。
3. 使用 Elastic AI 助手将模板存储在知识库中
创建 Markdown 模板后,下一步是将它们存储在 Elastic AI 助手的知识库 (KB) 中。这使分析师能够在需要时快速检索和使用这些模板。
存储模板的步骤:
访问 Elastic AI 助手:打开 Elastic AI 助手界面。这可以通过单击 Kibana 右上角的 AI 助手来完成。这将打开一个新的提示。
存储模板:有多种方法可以将内容存储在 Elastic AI 助手的知识库中以供将来参考。在 8.16.0 版本中,Elastic 对知识库的管理和使用方式进行了一些非常重要的改进。现在,在知识库中存储内容比以往任何时候都更容易,管理项目也很简单:
从 Elastic AI 助手,通过单击助手窗口右上角的按钮导航到知识库管理页面。然后,单击知识库。
从这里,您可以看到已添加到知识库中的所有项目,以及右上角的一个按钮,可让您直接上传项目。单击“+ 新建”将项目添加到知识库。这将为您提供一个如下所示的下拉菜单:
就我们的目的而言,选择“文档”。有关可以添加到知识库中的不同类型信息的更多详细信息,您可以参考 AI 助手知识库文档。
单击“文档”将为您提供一个新面板,您可以在其中直接将信息添加到知识库。您需要为知识库条目提供一些特定的信息:
- 名称
- 共享(权限)
- Markdown 文本
- 必需知识
名称是知识库用来引用项目的标题。因此,在我们的例子中,它类似于“威胁报告模板:TTR”。
共享允许我们指定谁可以访问知识库项目,并根据个人设置和情况提供许多可用选项(有关知识库权限的更多信息,请参见此处)。在本例中,我允许有权访问该空间的每个人都能够查看此知识库项目。
Markdown 文本字段是我们粘贴先前创建的 Markdown 模板的地方。
最后一步是选中“必需知识”框 - 这将使助手能够使用这些模板生成报告,而无需特定的提示。可以不选中此框,但要求报告的提示需要指定应从知识库中检索内容。选中该框后,单击“保存”。
保存知识库项目后,您应该会在“安全 AI 设置”>“知识库”下看到所有知识库项目的列表。
您也可以从此处删除或编辑这些项目,如果您需要进行任何更改。
将项目存储在知识库中的原始方法是直接告诉 Elastic AI 助手执行此操作。例如:
使用以下提示存储模板:将以下 Markdown 模板存储在知识库中:<在此处插入 Markdown 模板>
现在,有趣的部分开始了!
- 验证存储:通过查询知识库确认模板已成功存储。尝试以下提示:显示存储在您的知识库中的 TTR 威胁报告模板。
Elastic AI 助手应返回一条消息,显示没有填写任何信息的模板:
情报趋势报告
4. 制定收集威胁报告和数据的方法
建立一种系统方法,从各种来源(例如威胁源、安全博客和事件报告)收集威胁情报数据。这可确保数据全面且最新。这将因程序而异,并且至少略微依赖于可用的来源。有几种方法可以很好地做到这一点,从手动扫描新闻网站到通过 RSS 源自动化流程,甚至将威胁报告摄取到威胁情报平台 (TIP) 中。
最终,只要有一个收集开源报告和其他威胁数据的流程,它就可以用于这些工作流程。在 Elastic,我们有一个使用 RSS 源将开源报告和威胁数据聚合到一个地方的流程,以便系统地使用所有这些数据(请留意即将发布的另一篇关于我们如何做到这一点的博客!)。
拥有一个定义好的流程来收集这些信息可以提高流程的效率,并允许多个与外部威胁环境相关的有趣的分析机会。
5. 将威胁数据提供给 Elastic AI 助手以用于相应的模板
下一步是将来自正在分析的特定威胁文章的信息提供给 Elastic AI 助手——手动或自动方式(查看这些示例以获取灵感)。这就是神奇之处。提示应如下所示:
“使用存储在您的知识库中的 <模板名称> 模板,分析以下信息并根据该信息创建新的 <报告类型> 报告。”
注意:除非知识提交为“非必需”,否则不需要“存储在您的知识库中”字样。
也可以更详细地使用提示,例如告诉 AI 助手如果提供的数据中不存在相关信息,则将字段留空。出于示例目的,我们使用 Elastic Security Labs 发布的关于 XZ / liblzma 后门的报告,500ms to midnight: XZ / liblzma backdoor.
然后,助手将使用您提供的数据中的信息填充您的模板。
6. 提供额外的上下文或数据
如果我们有多个关于同一事件的报告或数据源,并且想要包含来自所有这些报告或数据源的信息怎么办?Elastic AI 助手也可以处理这个问题。只需在同一个 AI 助手聊天中重复该过程,并提供附加信息。尝试将其作为提示:
“看起来不错。也请包含此信息:<插入额外的报告来源或数据>”
然后,Elastic AI 助手将获取附加信息并将其合并到先前提供的同一个模板化报告中。
这可以用多个报告和数据源来完成,并且是包含来自不同来源和视角的见解而无需复制信息的好方法。
7. 分析报告模板中的威胁数据以确保准确性和理解
填充模板后,分析师会审查报告以确保其准确性和全面性。此步骤对于维护报告的完整性至关重要。Elastic AI 助手非常擅长收集数据并将其放入正确的格式和部分,但它并不完美,不能保证 100% 的准确性。
仔细阅读当前状态的报告可确保提供的信息已正确格式化为模板,同时也使分析师有机会更好地了解主题并开始分析。
8. 提供相关性、影响和任何建议
尽管 Elastic AI 助手非常高效和智能,但有些事情不适合由机器来完成。这就是优秀分析师的价值所在。分析师应充分了解与正在分析的事件相关的环境、组织和技术因素。
此时,分析师需要根据威胁数据添加他们对相关性、潜在影响和建议的见解。此步骤利用分析师的专业知识来提供可操作的情报。从本质上讲,这一步是获取威胁数据并将其转化为对组织内部利益相关者有用的东西。
9. 准备、审查和发布报告
现在大部分或所有分析都已完成,是时候将报告转换为可呈现的格式了。这将因程序而异,具体取决于传播方法和样式指南。在 Elastic,我们采用 Markdown 格式的报告并将其导入 Google Docs 以进行样式编辑,例如添加图片和格式化。但对于其他程序,这基本上可以在分析师通常用来编写和准备报告的任何平台中完成。重要的部分是信息已被收集、分析并放入可以轻松移动到另一个平台进行发布的模板中。
报告起草完成后,就是我们一直在等待的时刻。是时候对报告进行一次(或多次)最终通读、修复任何格式问题、添加一两张好图片并发布了!审查和传播的工作流程对于每个威胁情报程序都是独一无二的,并且可能需要考虑几个因素:
- 这是给谁的?哪些利益相关者或团队将从此报告中受益?
- 它应该放在哪里?哪个位置最适合受众阅读报告?是消息平台、维基页面、电子邮件群发还是其他地方?
- 何时发送?时间就是一切,尤其是在发布到中心位置时。在决定何时发布和传播时,请考虑时区、工作时间和假期安排等因素。还需要考虑信息的严重性,以确保报告在收到时仍然有价值。这绝对是一项平衡工作,但在发布时应予以考虑。
- 是否有任何可以帮助推动情报程序向前发展的指标需要收集?许多程序传播报告并在那里结束流程。了解报告发布后会发生什么对威胁情报程序非常有价值。谁在阅读报告?他们多久阅读一次?报告发布后阅读速度有多快?所有这些问题的答案都可以帮助塑造未来的报告、传播工作流程以及整个流程的其他方面,以产生更好的产品。
在 Elastic,我们使用可用于我们的传播渠道(消息平台、共享驱动器和维基页面)的日志来生成仪表板,显示参与率、后续活动以及我们生成的报告的其他指标等内容。通过了解哪些报告的阅读频率更高或更低,我们可以根据利益相关者正在阅读和使用的主题和威胁来调整所进行的分析。
Elastic AI 助手提高效率和有效性
Elastic AI 助手为增强威胁情报报告提供了一个强大的工具。通过遵循这些步骤,分析师可以更有效地生成高质量的报告。这种方法不仅节省了时间,还确保了威胁情报报告的彻底性和一致性。虽然 Elastic AI 助手有助于报告流程,但威胁分析师的专业知识和见解仍然是不可替代的——这使其成为在不损失威胁分析师获得的见解和知识的情况下提高其效率和有效性的宝贵工具。
想亲自试用 Elastic AI 助手吗?下载我们的免费版本并简化威胁情报报告的创建!
此博文中描述的任何特性或功能的发布和时间安排由 Elastic 自行决定。任何当前不可用的特性或功能可能不会按时或根本不会交付。
在本博文中,我们可能使用或引用了由其各自所有者拥有和运营的第三方生成式 AI 工具。Elastic 对第三方工具没有任何控制权,我们对其内容、操作或使用,或因您使用此类工具而可能产生的任何损失或损害不承担任何责任。使用 AI 工具处理个人、敏感或机密信息时请务必小心。您提交的任何数据都可能用于 AI 培训或其他目的。我们不保证您提供的信息将得到安全或保密。您在使用任何生成式 AI 工具之前,应熟悉其隐私惯例和使用条款。
Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine 和相关标志是 Elasticsearch N.V. 在美国和其他国家的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。