作者来自 Elastic Sneha Sachidananda标题从你的 AI agent 开始使用 Elastic SecurityElastic Agent Skills 是开源包为你的 AI coding agent 提供原生 Elastic 专业知识。如果你已经在使用 Elastic Agent Builder你会得到与安全数据原生配合的 AI agents。Agent Skills 面向另一端将相同的 Elastic Security 知识带给你的团队已经在使用的外部 AI 工具比如 Cursor、Claude Code 或 GitHub Copilot。如果你使用 AI coding agent 并想评估 Elastic Security或者你是安全团队希望快速上手 Elastic Security 而无需查阅配置文档这些技能适合你。今天我们提供的安全技能可以让你从零开始快速建立完整的 Elastic Security 环境而无需离开你的集成开发环境 (IDE)。在开始之前请注意这是 v0.1.0 版本。同时查看这份文档了解入门步骤及重要安全注意事项。步骤 1创建安全项目打开你的 AI coding agent 并提示Create a Security project on Elastic Cloud.。create-project skill 通过 Elastic Cloud API 配置一个 Elastic Cloud Serverless Security 项目安全地处理凭证并返回你的 Elasticsearch 和 Kibana URL。确认信息显示在 us‑east‑1 区域创建了一个名为 “security‑eval” 的新 Elastic Security 项目并保存了凭证及 Elasticsearch 和 Kibana 链接。Elastic Cloud Serverless 支持 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Azure 的各个区域因此你可以选择最适合你环境的区域。一个提示。项目就绪。步骤 2生成示例数据一个空的 Elastic Security 项目并不直观。没有警报没有时间线没有进程树。你需要数据但在探索之前你未必想启用真实数据源。generate-security-sample-data skill 会为你的项目填充真实的、符合 Elastic Common Schema (ECS) 的安全事件和四种攻击场景的合成警报Windows 勒索软件链从 Word 宏到 PowerShell 再到勒索软件部署包含在 Analyzer 视图中显示的完整进程树。凭证访问LSASS 内存转储和凭证收集。AWS 云权限升级IAM 策略操作和未经授权的访问密钥创建。Okta 身份攻击多因素认证 (MFA) 因子停用及可疑认证模式。这些事件不是随机生成的。每个警报都映射到 MITRE ATTCK 技术。进程树有正确的实体 ID因此Analyzer会呈现真实的父子关系。Attack Discovery 会捕获关联的威胁叙事。你可以在无需真实环境的情况下体验实时环境。界面显示生成的示例安全数据共 301 条已索引事件、15 条合成警报并提示打开 Kibana Security 警报。探索完成后指示你的 AI coding agent 删除示例数据。所有示例事件、警报和案件都会被清理而不会影响环境中的其他内容。终端输出确认示例事件、警报和案件已被删除。第 3 步示例数据之后的下一步一旦你的环境已填充 同一个 AI 编码 agent 可以帮助你使用它。 我们还提供警报分流技能获取并调查警报、分类威胁、确认警报、检测规则管理技能查找噪声规则、添加例外、创建新覆盖范围和案件管理技能创建并跟踪安全运营中心 [SOC] 案件并将警报链接到事件。为什么使用技能而不仅仅是文档Elastic 的 API 文档是公开的。 你的 AI agent 已经可以阅读它。 那么为什么技能重要技能重要因为文档描述单个端点并编码工作流程。 知道 POST /api/detection_engine/signals/search 存在与知道你需要获取最早未确认警报、查询触发时间五分钟窗口内的进程树及相关警报、在创建新案件前检查现有案件、附加警报及其规则 UUID、然后按顺序在同一主机上确认所有相关警报、并使用正确字段名跨三个不同 API 执行这之间存在真正差距。技能还编码了不该做的事绝不在聊天中显示凭证、创建计费资源前确认、处理 Serverless 特定 API 异常。 这些是将通用 AI agent 转变为真正了解 Elastic 的专家知识。开始使用所有技能都是开源的并支持任何受支持的 AI 编码 agentCursorClaude CodeGitHub CopilotWindsurfClineOpenCodeGemini CLI在你的项目工作区打开终端并运行npx skills add elastic/agent-skillsCode line: npx skills add elastic/agent-skills.或者安装特定技能npx skills add elastic/agent-skillscloud-create-project npx skills add elastic/agent-skillssecurity-generate-sample-dataCode lines to add specific skills.在 github.com/elastic/agent-skills 查看完整目录。原文https://www.elastic.co/security-labs/agent-skills-elastic-security