Alert Response Recommender verwenden

In diesem Dokument wird erläutert, wie Sie den Pilot Alert Response Recommender verwenden, ein Experiment in den Google Security Operations Labs. Durch den Pilotversuch wird die Zeit, die Analysten für Untersuchungen aufwenden müssen, erheblich reduziert. Dazu werden Verlaufsdaten aus ähnlichen, zuvor geschlossenen Benachrichtigungen mit einem Large Language Model (LLM) analysiert. Durch die Bereitstellung umsetzbarer Empfehlungen trägt der Alert Response Recommender dazu bei, den Triage-Prozess zu optimieren und die Fallbearbeitung zu beschleunigen.

Weitere Informationen zu Google SecOps Labs finden Sie unter Gemini- und Google SecOps-Tests nutzen.

Benachrichtigungs- oder Ticket-ID finden

1. Rufen Sie die Seite Fälle auf und wählen Sie den Fall aus der Warteschlange aus, den Sie untersuchen möchten.

2. Rufen Sie die Fallübersicht auf.

3. Rufen Sie das Benachrichtigungs-Widget auf und klicken Sie bei der gewünschten Benachrichtigung auf Details ansehen.

4. Rufen Sie in der angezeigten Seitenleiste den Bereich Vorgang auf und kopieren Sie die Ticket-ID oder Benachrichtigungs-ID.

Test durchführen

1. Klicken Sie auf der Google SecOps-Seite auf experiment Labs.

2. Klicken Sie auf der Karte Alert Response Recommender (Empfehlungen für die Reaktion auf Benachrichtigungen) auf Ausprobieren.

3. Geben Sie im Feld Open Alert ID (Offene Benachrichtigungs-ID) die Ticket-ID oder Benachrichtigungs-ID ein, die Sie kopiert haben.

4. Klicken Sie auf Senden.

Die Ausgabe ansehen

Nachdem im Pilotprojekt die Daten analysiert wurden, wird eine Empfehlung basierend auf einer Analyse ähnlicher früherer Benachrichtigungen generiert. Die Ausgabe enthält die folgenden wichtigen Abschnitte:

• Analystenaktionen:Empfohlene manuelle Schritte.

• Content Hub (Marketplace) Actions (Aktionen im Content Hub (Marketplace)): Vorgeschlagene Aktionen im Content Hub (Marketplace).

• Empfehlung zum Schließen:Ein vorgeschlagener Grund zum Schließen der Benachrichtigung.

Die Ausgabe enthält auch eine detaillierte Aufschlüsselung der Analyse mit einer Liste ähnlicher bisheriger Benachrichtigungen, der Gründe für ihren Abschluss und der Playbook-Nutzung.

• Beispielausgabe:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Beschränkungen

Damit Sie die Empfehlungen richtig interpretieren, sollten Sie die folgenden Einschränkungen beachten:

• Abhängigkeit von Verlaufsdaten: Die Qualität und Relevanz der Empfehlungen hängen direkt von den verfügbaren Verlaufsdaten ab. Wenn nicht genügend ähnliche Daten vorhanden sind, sind die Empfehlungen möglicherweise eingeschränkt oder weniger genau.

• Eingeschränkte Benachrichtigungstypen: Die Empfehlungen sind möglicherweise für einige Benachrichtigungstypen weniger effektiv, insbesondere wenn sie neu sind oder nur wenige Präzedenzfälle vorliegen.

• Mindestanzahl an erforderlichen Benachrichtigungen: Der Alert Response Recommender muss mindestens eine ähnliche frühere Benachrichtigung finden, um eine Empfehlung zu geben. Wenn keine ähnlichen Benachrichtigungen gefunden werden, kann keine sinnvolle Analyse bereitgestellt werden. Die Anwendung informiert Sie darüber, indem sie einen leeren Tab Ähnliche Benachrichtigungen identifizieren anzeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten