作者：来自 Elastic Security Team

作为一名安全专业人士，你进入这个领域时大概不是因为喜欢统一日志格式或编写解析器。但现实是，许多宝贵的防御者每天都被困在这些工作中 —— 在 CSV、纯文本文件和自定义日志模式之间穿梭，只为让数据变成可用格式。

任何在安全运营中心（SOC）工作过的人都知道，数据接入意味着要处理各种来源，每个都有自己的术语和格式。无论是结构化还是非结构化数据，每种技术都有自己的“语言”，分析人员必须在任何威胁检测、异常狩猎或仪表盘构建之前，将它们全部转换为统一、标准化的格式。

但现实是，数据接入是实现高效网络安全运营的必要前提。好消息是，AI 终于正在帮助团队摆脱这种手工、耗时且容易出错的过程。

用 AI 重新想象数据接入

那么，AI 究竟能怎么帮忙？在最近发布的 “AI can do what now?!” 一集中，Elastic 的安全解决方案架构师 Anas Khatri 分享了大型语言模型（LLM）如何承担大部分繁重的数据接入任务。它们可以自动标准化并丰富几乎任何格式的数据（例如 CSV、JSON、平面文件和专有模式），以便导入安全信息与事件管理（SIEM）平台或其他安全分析平台。

这种转变并非理论上的，它正在今天发生。像 Elastic 这样的安全平台，正在将这些 AI 功能直接嵌入数据接入流程，把过去需要数小时甚至数天的任务，缩短到几分钟就能完成。

Khatri 在节目中解释道：“数据接入实际上是第一步。无论是仪表盘、可视化、检测工程、威胁狩猎，还是你要做的自定义查询，都是基于你接入的数据。因此，我们必须以正确的方式接入数据，并确保数据被正确地丰富。”

当然，总会存在内部工具、小众平台、遗留系统和一次性集成等复杂情况，这些超出了任何 AI 功能所能完全解决的范围 —— 这就是复杂多样环境的现实。但在可以标准化多样数据源的地方，可执行的结果包括：

• 更快的检测时间

• 更好的数据质量与一致性

• 更可靠的仪表盘与威胁狩猎

• 更快速地响应新出现的攻击面

简而言之，如果你的日志数据已经被标准化、丰富并接近实时可用，那么你就能回归安全分析师的核心工作 —— 检测入侵与响应事件。

从手动到现代化

如果你还在花几个小时编写自定义脚本、映射字段或排查数据接入问题，那你不必再这样做了。AI 可以承担繁重的工作，这意味着你可以回到你最擅长的事情上 —— 保护你的组织。

数据接入不仅仅发生在 SIEM 部署或迁移期间，它是一个持续的过程。每当你的企业添加新工具、更换旧系统或创建新功能时，就会有更多的数据需要接入和标准化。随着组织的发展，这是一项不断演进的任务。这种操作上的痛点在最初的 SIEM 设置之后依然存在，这正是让 Elastic Security 的 Automatic Import 功能令人兴奋的原因。

Khatri 说：“过去我们需要写正则表达式和脚本来解析数据的日子已经过去了。现在该直接进入有趣的部分，开始真正该做的工作了。”

查看 “AI Can Do What Now?!” 的 “Data onboarding” 一集，了解 AI 如何重塑安全工作流程中最痛苦的部分，以及你今天如何开始使用它。

本文所描述的任何功能或特性的发布时间和时机均由 Elastic 全权决定。当前不可用的任何功能或特性可能无法按时提供，甚至可能根本无法提供。

在本文中，我们可能使用或提及第三方生成式 AI 工具，这些工具由各自所有者拥有和运营。Elastic 对第三方工具不具有控制权，也不对其内容、操作或使用承担任何责任或义务，也不对你使用这些工具可能产生的任何损失或损害负责。使用涉及个人、敏感或机密信息的 AI 工具时，请谨慎操作。你提交的任何数据可能会被用于 AI 训练或其他用途。不能保证你提供的信息会被安全或保密地保存。使用任何生成式 AI 工具前，你应熟悉其隐私政策和使用条款。

Elastic、Elasticsearch 及相关标志是 Elasticsearch N.V. 在美国及其他国家的商标、标识或注册商标。所有其他公司和产品名称为其各自所有者的商标、标识或注册商标。

原文：https://www.elastic.co/blog/ai-security-data-onboarding