Usar el recomendador de respuestas a alertas

En este documento se explica cómo usar la versión piloto de Alert Response Recommender, un experimento de Google Security Operations Labs. La prueba piloto reduce significativamente el tiempo que los analistas dedican a las investigaciones. Analiza el historial de datos de alertas similares que se han cerrado anteriormente con un modelo de lenguaje extenso (LLM). Al proporcionar recomendaciones útiles, Alert Response Recommender ayuda a agilizar el proceso de triaje y a acelerar la resolución de casos.

Para obtener más información sobre Google SecOps Labs, consulta Usar Gemini y experimentos de Google SecOps.

Localizar el ID de alerta o de incidencia

1. Ve a la página Casos y selecciona el caso que quieras investigar en la cola.

2. Ve a Resumen del caso.

3. Ve al widget Alertas y haz clic en Ver detalles en la alerta que necesites.

4. En el menú lateral que aparece, ve a la sección Caso y copia el ID de incidencia o el ID de alerta.

Realizar el experimento

1. En la página de Google SecOps, haz clic en experiment Labs.

2. En la tarjeta Recomendador de respuestas a alertas, haga clic en Probar.

3. En el campo Open Alert ID (ID de alerta abierta), introduce el ID de incidencia o de alerta que has copiado.

4. Haz clic en Enviar.

Revisar el resultado

Una vez que la prueba piloto haya analizado los datos, generará una recomendación basada en un análisis de alertas históricas similares. El resultado incluye estas secciones clave:

• Acciones del analista: pasos manuales recomendados.

• Acciones del centro de contenido (Marketplace): acciones sugeridas en el centro de contenido (Marketplace).

• Recomendación de cierre: motivo sugerido para cerrar la alerta.

El resultado también incluye un desglose detallado del análisis, con una lista de alertas históricas similares, sus motivos de cierre y el uso de la guía.

• Ejemplo:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limitaciones

Para asegurarte de que interpretas las recomendaciones correctamente, ten en cuenta las siguientes limitaciones:

• Dependencia del historial de datos: la calidad y la relevancia de las recomendaciones están directamente relacionadas con el historial de datos disponible. Si no hay suficientes datos similares, los consejos pueden ser limitados o menos precisos.

• Tipos de alertas limitados: las recomendaciones pueden ser menos eficaces para algunos tipos de alertas, sobre todo si son nuevos o tienen pocos precedentes.

• Alertas mínimas necesarias: el recomendador de respuestas a alertas debe encontrar al menos una alerta histórica similar para proporcionar una recomendación. Si no se encuentran alertas similares, no se puede proporcionar un análisis útil. La aplicación te lo notificará mostrando una pestaña Identificar alertas similares vacía.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.