Elastic Security, Observability, and Search 现在可以在你的AI工具中提供交互式用户界面

Elastic Security, Observability, and Search 现在可以在你的 AI 工具中提供交互式用户界面

AI 代理的效果取决于它们返回的界面。纯文本的工具结果会抹平任何本来具有视觉或交互性的内容：一个仪表板、一个告警列表、一个调查关系图、一个分布式追踪。对话变成了一个你提问、代理回答的地方，但一旦工作变得复杂，你就不得不离开对话，转到另一个标签页、另一个产品、另一个认证边界。

MCP 应用改变了这种答案的形态。一个工具现在可以在其文本摘要旁边返回一个交互式用户界面，而宿主（Claude Desktop、Claude.ai、VS Code Copilot、Cursor）会在对话中内联渲染这个界面。模型保留简洁的文本用于推理。而用户则能在聊天界面旁边直接获得一个可实时操作、可点击的界面。

以下三个特性使得这种集成方式与“返回一个 URL 的 webhook”截然不同：

• • 上下文保持。 UI 存在于对话内部。无需切换标签页，无需交接。
• • 双向数据流。 UI 可以调用 MCP 服务器上的工具来获取最新数据，同时宿主也可以将代理的新结果推回给 UI。无需单独的 API 层或认证机制。
• • 沙箱信任边界。 MCP 应用在宿主控制的 iframe 中运行。它们无法访问父页面、读取 cookie 或逃逸出其容器。

安全运营依赖于事件分类、调查关系图和攻击发现——在这些场景中，AI 代理将数百条告警关联成少数几个攻击链。可观测性意味着分布式追踪和时间序列的深入分析。在 Kibana 中构建意味着一个仪表板网格。如果将这些内容中的任何一个扁平化为纯文本，你就会失去使其有用的东西。我们为所有这三个领域构建了 MCP 应用，并将其一起开源，因此同一个对话可以在事件分类队列、依赖关系图、实时仪表板之间无缝切换，而无需离开聊天界面。

这三个参考应用各自是一个 MCP 服务器，提供许多交互式视图，而不是一堆独立的产品。仅安全应用就提供了六个共享同一个服务器外壳、同一个工具可见性模型以及同一个宿主桥的仪表板。这种模式本身很小，但其覆盖范围正是价值倍增的地方。

Elastic Security MCP 应用

为什么这对 SOC 很重要

当代理告诉 SOC 分析师：“主机-314 上有 47 条告警，这是一个摘要。” 实际上它并没有完成任何工作。它只是指明了工作开始的地方。真正的工作存在于告警列表、进程树、调查关系图和案件文件中。你无法通过一段文字来完成这些工作。

Security MCP 应用返回的是工作流本身。分析师向代理发出提示，代理在聊天中返回一个交互式仪表板，分析师可以在其中深入查看告警、运行威胁狩猎、关联攻击链以及打开案件，所有这些操作都不会丢失对话的线索。而且，由于发现结果、查询和案件都会回传给 Elasticsearch，因此当对话结束，分析师可以在 Kibana 中找到相同的调查内容，并从中继续处理。

六个交互式仪表板

Elastic Security MCP 应用提供了六个交互式元素，每个对应一个主要的 SOC 工作流。每个元素都是一个 React UI，当代理调用相应的工具时，该 UI 会被内联渲染：

每个工具都会返回一个简洁的文本摘要（供模型推理）以及一个交互式 UI（供分析师操作）。UI 还可以通过 MCP 宿主桥在后台获取最新数据。完整的工具模型和桥 API 请见仓库架构文档。

该应用还附带了 Claude Desktop 技能，即 SKILL.md 文件，用于指导代理何时以及如何使用每个工具。你可以从最新发布版本下载预构建的技能压缩包。

从告警到案件

四个技能覆盖了核心的 SOC 循环。每个技能接收一个提示，调用一个工具，并返回一个交互式仪表板以及一个供模型推理的文本摘要。分析师的一天通常从告警队列开始。

分类告警。 要求代理按主机、规则、用户或时间窗口进行分类。告警分类技能会返回一个仪表板，在原始告警列表上方展示 AI 判定结果——每个检测规则对应一个判定，将该规则的活动分类为良性、可疑或恶意，并附有置信度评分和推荐操作。点击任意告警即可打开详细视图，其中包含进程树、网络事件、相关告警以及 MITRE ATT&CK 标签。无需在 AI 对话和 Kibana 内部的告警仪表板之间来回切换，一切都在你的对话中实时进行。

alt

威胁狩猎。 要求代理在整个索引中进行狩猎。威胁狩猎技能会返回一个 ES|QL 工作台，其中查询已预填并自动执行，结果中的每个实体都可点击以进行深入分析。模型会在表格下方写一段简短说明：什么是不寻常的、什么是关联的、什么值得进一步关注。然后它提供下一个方向：要么深入进行威胁狩猎，要么在 MCP 应用内启动一个新技能来补充已完成的工作。真正将这一切串联起来的是，你可以在深入分析过的告警和已狩猎过的威胁基础上启动一次攻击发现，以获取更多上下文。

alt

运行攻击发现。 攻击发现技能会触发攻击发现 API，并返回一个排序后的发现结果列表。每个发现结果是一组相关的告警，被编排成一个攻击链，包含 MITRE 战术、风险评分、置信度标签以及受影响的主机和用户，这些信息都清晰呈现。代理的摘要会以相同的排序顺序出现在发现结果下方，此时对话中已具备执行所有操作所需的内容：狩猎查询、分类决策、关联链，所有内容都已为下一步做好准备。

alt

无需离开聊天即可打开案件。 可以批量批准发现结果，或要求代理为特定告警打开案件。案件管理技能会为每个批准的发现结果创建一个案件（附带源告警，从攻击链继承 MITRE 战术），并在行内渲染实时案件列表。点击某个案件即可查看详情，其中包括一行 AI 操作按钮：总结案件、建议下一步、提取 IOC、生成时间线。每个按钮都会向聊天中发送一个结构化提示，这样代理就能直接获取案件上下文，无需重新介绍。代理的摘要会出现在案件列表下方，涵盖整个 IR 队列，包括刚刚打开的案件以及仍需要处理的早期发现结果。

alt

这个演练中的每一步都运行着相同的循环：一个提示进来，技能接管，工具返回一个供模型推理的简洁文本摘要，以及一个供分析师操作的交互式 UI。将技能串联起来，它们就组成了一个端到端的 SOC 流程——狩猎、分类、关联、打开案件、推动下一步，模型在每个步骤中都携带会话上下文。单独调用任何一个技能，它仍然是一个完整的仪表板，指向你指定的任何数据切片。无论哪种方式，工作都在对话内部累积；无需切换标签页，无需复制粘贴，无需交接。

另外两个技能完善了应用：一个用于调优噪音规则的检测规则浏览器，以及一个用于在全新集群上生成逼真 ECS 事件的示例数据生成器。后续的文章将深入探讨所有六个技能：调查关系图、攻击流画布以及端到端演练。

“Elastic Security 的 MCP 应用弥合了自动化检测与手动狩猎之间的鸿沟。通过将我们的安全数据直接带入 Claude Desktop 的单个界面，我们在不到一小时内发现了‘隐蔽’威胁——那些不会触发标准告警但需要立即采取行动的风险。这对我们的分析师来说是一个倍增器。” —— Mandy Andress，Elastic 首席信息安全官 (CISO)

工作原理

每个 MCP 应用都是一个轻量级的 Node.js 服务器，其工具同时返回一个供模型使用的简洁文本摘要和一个供宿主内联渲染的 React UI。由于它是基于开放的 MCP 应用规范构建的，因此同一个服务器可以在任何兼容的宿主上运行——请参阅仓库架构文档了解完整设计。

尝试使用

需要启用安全的 Elasticsearch 9.x，以及用于案件、规则和攻击发现的 Kibana。最快的方式是从最新发布版本获取一键式 .mcpb 捆绑包——在 Claude Desktop 中双击它，系统会提示你输入 Elasticsearch URL 和 API 密钥。适用于 Cursor、VS Code、Claude Code、Claude.ai 的设置指南以及从源码构建的说明都在仓库中。

视频缩略图

视频缩略图

Elastic Search MCP 应用：从对话中构建仪表板

每个 Kibana 用户都知道仪表板的绕路流程：离开当前工作，打开 Kibana，选择一个索引，选择字段，选择可视化类型，调整，然后保存。在屏幕上出现一个图表之前，这需要五次上下文切换。

新的 example-mcp-dashbuilder 参考应用将这一切缩减为一个提示。要求代理“构建一个包含收入指标、订单趋势和类别细分仪表板”，仪表板就会直接出现在对话中，无需任何标签页切换。

alt

在这个提示背后，代理通过 ES|QL 探索你的 Elasticsearch 数据，并选择与数据匹配的图表类型：条形图用于比较，折线图用于趋势，指标卡片用于 KPI，热力图用于二维模式。它使用 Elastic UI Borealis 主题在 Kibana 的 48 列网格上布局面板，结果完全可交互：你可以在聊天中拖拽、调整大小，并将面板分组为可折叠的章节。当仪表板看起来合适时，只需一次工具调用即可将其导出到 Kibana，保留 ES|QL 查询和自定义颜色。你也可以将现有的 Kibana 仪表板导入回聊天中进行 AI 辅助编辑。

其原理与 Security 应用相同：当产物本身就是产品时，将其返回给对话，就在描述需求和看到结果之间形成了一个闭环。

底层架构遵循相同的 MCP 应用模式。一个 Node.js 服务器注册了一个面向模型的 view_dashboard 工具，同时注册了一组仅供应用内使用的工具（数据获取、布局持久化、时间字段检测、导出/导入），UI 可直接调用这些工具。仪表板视图本身是一个使用 vite-plugin-singlefile 打包的独立 HTML 文件，作为 MCP 应用资源提供。派生此仓库的构建者会看到与 Security 应用相同的服务器外壳和宿主桥，只是指向了不同的任务。example-mcp-dashbuilder 的 README 文件提供了完整的架构和图表类型参考。

视频缩略图

视频缩略图

Elastic Observability MCP 应用

第三个参考应用 Elastic Observability MCP 应用 解决了 SRE 版本的类似问题。当生产中发生故障时，值班工程师需要的答案不是一张图表，而是一个由 K8s 指标、APM 拓扑、ML 异常和风险评估编织而成的诊断。答案的形态是一个因果故事：什么失败了，为什么，依赖了什么，以及下一步该做什么。

支持可观测性调查工作流的六个工具

集群健康汇总

询问“出了什么问题？”或“给我一份状态报告”，你会获得一次性的全景概览：整体健康状态徽章、降级服务及其原因、内存消耗最高的 Pod、异常严重程度分类以及服务吞吐量——全部在一个内联视图中。这是当你感觉有问题但不知道从何入手时的起点。视图会根据你的部署支持情况自适应。APM 提供服务健康信息。Kubernetes 指标添加 Pod 和节点上下文。ML 作业则会加入异常层。

alt

服务依赖关系图

询问“什么调用了 checkout？”或“显示拓扑”，你会获得一个分层依赖关系图——上游调用者、下游依赖项、协议、调用量以及每条边的延迟。让我们要求 Claude“显示前端服务的依赖关系”：

alt

缩放、平移和悬停，即可获取理解复杂服务关系所需的所有详细信息：

alt

通过爆炸半径评估风险

询问“如果我的 K8s 节点宕机会发生什么？”，你会获得一个径向影响图：目标节点位于中心，完全宕机的部署显示为红色，降级的显示为琥珀色，未受影响的显示为灰色。浮动摘要卡片会显示处于风险的 Pod 以及重新调度的可行性。单副本部署会被标记为单点故障。

alt

Observe

代理访问 Elastic 的主要原语——一个工具，三种模式对应三种不同需求。你说“CPU 现在在做什么？”它会运行一次 ES|QL 查询并返回一个表格。你说“在接下来 60 秒内显示前端延迟”，它会实时采样指标并就地更新图表。你说“当内存低于 80MB 时通知我”或“在接下来 10 分钟内监视任何异常”，它会阻塞直到条件触发或窗口过期。视图会根据模式自适应：一次性查询显示结果表格，采样和阈值条件显示带有当前/峰值/基线统计的实时趋势图，异常模式显示带有严重性评分的触发卡片。

工作原理

与 Security 和 Search 应用相同的 MCP 应用模式：一个 Node.js 服务器，六个面向模型的工具连接到六个单文件视图资源。工具按部署后端分组（通用、APM 依赖、K8s 依赖、ML 依赖），这样代理和用户都能预先知道哪些工具适用于给定部署，而无需在调用时才发现能力缺失。MCP 应用还包含一个示例 Agent Builder 工作流：k8s-crashloop-investigation-otel，它可以在 Kubernetes 告警触发时，在你打开任何一个仪表板之前就返回结构化的根因摘要。

视频缩略图

视频缩略图

代理栈，交互式

关于这种模式，有三点特性值得直接说明。首先，工具结果不再是工作的终点，而是起点：对话返回一个你可以操作的界面，而不是一个你需要从中行动的摘要。其次，同一个代理、同一个模型上下文、同一个对话线程现在可以跨越 Security、Search 和 Observability 的界面，而无需离开对话。第三，这一切之所以能实现，仅因为 Elasticsearch 和 Kibana 已经暴露了这些 API。MCP 应用是我们已经交付的产品能力之上的一个薄交互层。

攻击发现已经为这个应用内部的关联发现视图提供支持。在栈内部，同样的代理模式走得更远：Elastic Workflows 自动化确定性的步骤（丰富实体、创建案件、隔离主机），而 Agent Builder 则在数据上进行推理并将这些工作流作为工具调用。MCP 应用将同样的安全界面带到外部对话中；Workflows 和 Agent Builder 在栈内部深化它。不同的入口点，底层是相同的 Elastic API。

尝试使用：

• • Security: example-mcp-app-security
• • Search and dashboards: example-mcp-dashbuilder
• • Observability: example-mcp-observability

还没有 Elasticsearch 集群？立即开始免费的 Elastic Cloud 试用。有关安全应用背后的构建块，请参阅相关的 Security Labs 文章：Elastic Workflows 和 Agent Builder、Agent Skills 和 Attack Discovery。

CopyShare

这篇内容的帮助程度如何？

😔不有帮助

不有帮助

😐有点帮助

有点帮助

😁非常有帮助

非常有帮助

报告问题

📡 更多 Elastic & AI 可观测性干货

关注公众号「点火三周」，第一时间获取最新技术文章