Utilizzare lo strumento per il suggerimento di risposte agli avvisi

Questo documento spiega come utilizzare il progetto pilota Alert Response Recommender, un esperimento nei Google Security Operations Labs. Il progetto pilota riduce notevolmente il tempo che gli analisti dedicano alle indagini. Analizza i dati storici di avvisi simili chiusi in precedenza con un modello linguistico di grandi dimensioni (LLM). Fornendo suggerimenti pratici, il motore per suggerimenti per la risposta agli avvisi contribuisce a semplificare il processo di triage e ad accelerare la risoluzione delle richieste.

Per ulteriori informazioni su Google SecOps Labs, vedi Utilizzare Gemini e gli esperimenti di Google SecOps.

Trovare l'ID avviso o l'ID ticket

1. Vai alla pagina Richieste, seleziona la richiesta che vuoi esaminare dalla coda.

2. Vai alla Panoramica della richiesta.

3. Vai al widget Avvisi e fai clic su Visualizza dettagli per l'avviso specifico di cui hai bisogno.

4. Nel riquadro laterale visualizzato, vai alla sezione Richiesta e copia l'ID ticket o l'ID avviso.

Esegui l'esperimento

1. Nella pagina Google SecOps, fai clic su esperimento Labs.

2. Nella scheda Suggeritore di risposte agli avvisi, fai clic su Prova.

3. Nel campo Open Alert ID (ID avviso aperto), inserisci l'ID ticket o l'ID avviso che hai copiato.

4. Fai clic su Invia.

Rivedi l'output

Una volta analizzati i dati, il progetto pilota genera un suggerimento basato su un'analisi di avvisi storici simili. L'output include le seguenti sezioni chiave:

• Azioni dell'analista:passaggi manuali consigliati.

• Azioni dell'hub dei contenuti (Marketplace):azioni suggerite all'interno dell'hub dei contenuti (Marketplace).

• Consiglio di chiusura:un motivo suggerito per chiudere l'avviso.

L'output include anche un'analisi dettagliata, con un elenco di avvisi storici simili, i relativi motivi di chiusura e l'utilizzo del playbook.

• Output di esempio:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limitazioni

Per assicurarti di interpretare correttamente i consigli, tieni presente le seguenti limitazioni:

• Dipendenza dai dati storici: la qualità e la pertinenza dei consigli sono direttamente correlate ai dati storici disponibili. Se non ci sono dati simili sufficienti, i suggerimenti potrebbero essere limitati o meno accurati.

• Tipi di avvisi limitati: i consigli potrebbero essere meno efficaci per alcuni tipi di avvisi, in particolare se sono nuovi o hanno pochi precedenti.

• Avvisi minimi richiesti: lo strumento di suggerimento per la risposta agli avvisi deve trovare almeno un avviso storico simile per fornire un suggerimento. Se non vengono trovati avvisi simili, non è possibile fornire un'analisi utile. L'applicazione ti avviserà mostrando una scheda Identifica avvisi simili vuota.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.