Cómo usar el Recomendador de respuesta a alertas

En este documento, se explica cómo usar el programa piloto del Recomendador de respuestas a alertas, un experimento de Google Security Operations Labs. La prueba piloto reduce significativamente el tiempo que los analistas dedican a las investigaciones. Analiza los datos históricos de alertas similares que se cerraron anteriormente con un modelo de lenguaje grande (LLM). Al proporcionar recomendaciones prácticas, el Recomendador de respuesta a alertas ayuda a optimizar el proceso de clasificación y acelerar la resolución de casos.

Para obtener más información sobre los laboratorios de Google SecOps, consulta Cómo usar los experimentos de Gemini y Google SecOps.

Cómo encontrar el ID de alerta o de ticket

1. Ve a la página Casos y selecciona el caso que deseas investigar de la fila.

2. Navega a la Descripción general del caso.

3. Ve al widget de Alertas y haz clic en Ver detalles para la alerta específica que necesitas.

4. En el panel lateral que aparece, ve a la sección Case y copia el ID de ticket o el ID de alerta.

Ejecuta el experimento

1. En la página de Google SecOps, haz clic en experiment Labs.

2. En la tarjeta Alert Response Recommender, haz clic en Probar.

3. En el campo ID de alerta abierta, ingresa el ID de ticket o de alerta que copiaste.

4. Haz clic en Enviar.

Revisa el resultado

Una vez que la prueba piloto analizó los datos, genera una recomendación basada en un análisis de alertas históricas similares. El resultado incluye las siguientes secciones clave:

• Acciones del analista: Pasos manuales recomendados.

• Acciones del Centro de contenido (Marketplace): Son acciones sugeridas en el Centro de contenido (Marketplace).

• Closure Recommendation: Es un motivo sugerido para cerrar la alerta.

El resultado también incluye un desglose detallado del análisis, con una lista de alertas históricas similares, sus motivos de cierre y el uso del manual.

• Resultado de ejemplo:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limitaciones

Para asegurarte de interpretar las recomendaciones correctamente, ten en cuenta las siguientes limitaciones:

• Dependencia de los datos históricos: La calidad y la relevancia de las recomendaciones están directamente relacionadas con los datos históricos disponibles. Si no hay suficientes datos similares, es posible que el asesoramiento sea limitado o menos preciso.

• Tipos de alertas limitados: Es posible que las recomendaciones sean menos eficaces para algunos tipos de alertas, en especial si son nuevas o tienen pocos precedentes.

• Alertas mínimas requeridas: El Recomendador de respuesta a alertas debe encontrar al menos una alerta histórica similar para proporcionar una recomendación. Si no se encuentran alertas similares, no se puede proporcionar un análisis útil. La aplicación te notificará esto mostrando una pestaña Identify Similar Alerts vacía.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.