Menggunakan Alert Response Recommender

Dokumen ini menjelaskan cara menggunakan uji coba Alert Response Recommender, sebuah eksperimen di Google Security Operations Labs. Uji coba ini secara signifikan mengurangi waktu yang dihabiskan analis untuk melakukan penyelidikan. Sistem ini menganalisis data historis dari pemberitahuan serupa yang sebelumnya ditutup dengan Model Bahasa Besar (LLM). Dengan memberikan rekomendasi yang dapat ditindaklanjuti, Alert Response Recommender membantu menyederhanakan proses triase dan mempercepat penyelesaian kasus.

Untuk mengetahui informasi selengkapnya tentang Google SecOps Labs, lihat Menggunakan eksperimen Gemini dan Google SecOps.

Temukan ID pemberitahuan atau ID tiket

1. Buka halaman Kasus, pilih kasus yang ingin Anda selidiki dari antrean.

2. Buka Ringkasan Kasus.

3. Buka widget Notifikasi, lalu klik Lihat Detail untuk notifikasi tertentu yang Anda butuhkan.

4. Di panel samping yang muncul, buka bagian Kasus, lalu salin ID Tiket atau ID Pemberitahuan.

Jalankan eksperimen

1. Di halaman Google SecOps, klik eksperimen Labs.

2. Di kartu Alert Response Recommender, klik Coba.

3. Di kolom Open Alert ID, masukkan ID Tiket atau ID Pemberitahuan yang Anda salin.

4. Klik Kirim.

Meninjau output

Setelah menganalisis data, uji coba akan membuat rekomendasi berdasarkan analisis pemberitahuan historis serupa. Output mencakup bagian-bagian penting berikut:

• Tindakan Analis: Langkah-langkah manual yang direkomendasikan.

• Tindakan Hub Konten (Marketplace): Tindakan yang disarankan dalam Hub Konten (Marketplace).

• Rekomendasi Penutupan: Alasan yang disarankan untuk menutup notifikasi.

Output juga mencakup perincian analisis yang mendetail, dengan daftar notifikasi historis serupa, alasan penutupannya, dan penggunaan playbook.

• Contoh output:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Batasan

Untuk memastikan Anda menafsirkan rekomendasi dengan benar, perhatikan batasan berikut:

• Ketergantungan pada data historis: Kualitas dan relevansi rekomendasi terkait langsung dengan data historis yang tersedia. Jika tidak ada cukup data serupa, saran mungkin terbatas atau kurang akurat.

• Jenis pemberitahuan terbatas: Rekomendasi mungkin kurang efektif untuk beberapa jenis pemberitahuan, terutama jika jenis pemberitahuan tersebut baru atau memiliki sedikit preseden.

• Pemberitahuan minimum yang diperlukan: Pemberi Rekomendasi Respons Pemberitahuan harus menemukan setidaknya satu pemberitahuan historis serupa untuk memberikan rekomendasi. Jika tidak ada pemberitahuan serupa yang ditemukan, analisis yang berguna tidak dapat diberikan. Aplikasi akan memberi tahu Anda tentang hal ini dengan menampilkan tab Identifikasi Peringatan Serupa yang kosong.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.