Utiliser l'outil de recommandation de réponses aux alertes

Ce document explique comment utiliser le pilote Recommandations de réponse aux alertes, une fonctionnalité expérimentale des Google Security Operations Labs. Le pilote réduit considérablement le temps que les analystes consacrent aux investigations. Il analyse les données historiques des alertes similaires précédemment clôturées à l'aide d'un grand modèle de langage (LLM). En fournissant des recommandations pratiques, l'outil de recommandation de réponse aux alertes permet de rationaliser le processus de triage et d'accélérer la résolution des demandes.

Pour en savoir plus sur les ateliers Google SecOps, consultez Utiliser les expériences Gemini et Google SecOps.

Trouver l'ID d'alerte ou de demande

1. Accédez à la page Demandes, puis sélectionnez la demande que vous souhaitez examiner dans la file d'attente.

2. Accédez à l'aperçu de la demande.

3. Accédez au widget "Alertes", puis cliquez sur Afficher les détails pour l'alerte spécifique dont vous avez besoin.

4. Dans le panneau latéral qui s'affiche, accédez à la section Demande, puis copiez l'ID de la demande ou l'ID de l'alerte.

Exécuter le test

1. Sur la page Google SecOps, cliquez sur experiment Labs.

2. Dans la fiche Recommandations de réponses aux alertes, cliquez sur Essayer.

3. Dans le champ ID de l'alerte ouverte, saisissez l'ID de la demande ou de l'alerte que vous avez copié.

4. Cliquez sur Envoyer.

Examiner le résultat

Une fois que le pilote a analysé les données, il génère une recommandation basée sur une analyse des alertes historiques similaires. Le résultat inclut les sections clés suivantes :

• Actions de l'analyste : étapes manuelles recommandées.

• Actions du hub de contenu (place de marché) : actions suggérées dans le hub de contenu (place de marché).

• Recommandation de clôture : motif suggéré pour clôturer l'alerte.

Le résultat inclut également une analyse détaillée, avec une liste des alertes historiques similaires, leurs motifs de clôture et l'utilisation des playbooks.

• Exemple de résultat :

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limites

Pour vous assurer d'interpréter correctement les recommandations, tenez compte des limites suivantes :

• Dépendance aux données historiques : la qualité et la pertinence des recommandations sont directement liées aux données historiques disponibles. Si les données similaires sont insuffisantes, les conseils peuvent être limités ou moins précis.

• Types d'alertes limités : les recommandations peuvent être moins efficaces pour certains types d'alertes, en particulier si elles sont nouvelles ou ont peu de précédents.

• Nombre minimal d'alertes requises : le système de recommandation de réponses aux alertes doit trouver au moins une alerte historique similaire pour fournir une recommandation. Si aucune alerte similaire n'est trouvée, il ne peut pas fournir d'analyse utile. L'application vous en informera en affichant un onglet Identifier les alertes similaires vide.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.