アラート レスポンス Recommender を使用する

このドキュメントでは、Google Security Operations Labs の試験運用である Alert Response Recommender パイロット版の使用方法について説明します。この試験運用により、アナリストが調査に費やす時間を大幅に短縮できます。大規模言語モデル（LLM）を使用して、以前にクローズされた同様のアラートの履歴データを分析します。アラート レスポンス Recommender は、実用的な推奨事項を提供することで、トリアージ プロセスを効率化し、ケースの解決を迅速化します。

Google SecOps Labs の詳細については、Gemini と Google SecOps の試験運用を使用するをご覧ください。

アラート ID またはチケット ID を確認する

1. [ケース] ページに移動し、キューから調査するケースを選択します。

2. [Case Overview]（ケースの概要）に移動します。

3. [アラート] ウィジェットに移動し、必要な特定のアラートの [詳細を表示] をクリックします。

4. 表示されたサイド ドロワーで、[ケース] セクションに移動し、チケット ID またはアラート ID をコピーします。

テストを実施する

1. Google SecOps ページの [試験運用] [Labs] をクリックします。

2. [アラート レスポンス Recommender] カードで、[試す] をクリックします。

3. [Open Alert ID] フィールドに、コピーしたチケット ID またはアラート ID を入力します。

4. [送信] をクリックします。

出力を確認する

トライアルでデータが分析されると、類似する過去のアラートの分析に基づいて推奨事項が生成されます。出力には、次の主要なセクションが含まれます。

• アナリストの対応: 推奨される手動の手順。

• コンテンツ ハブ（マーケットプレイス）のアクション: コンテンツ ハブ（マーケットプレイス）内の推奨アクション。

• Closure Recommendation（クローズの推奨事項）: アラートをクローズする理由の候補。

出力には、分析の詳細な内訳も含まれます。これには、類似の過去のアラートのリスト、クローズの理由、プレイブックの使用状況が含まれます。

• 出力例:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

制限事項

推奨事項を正しく解釈するには、次の制限事項に注意してください。

• 過去のデータへの依存: 推奨事項の品質と関連性は、利用可能な過去のデータに直接関連しています。類似データが十分にない場合、アドバイスが限定的になったり、精度が低下したりすることがあります。

• アラートタイプの制限: 一部のアラートタイプ（特に新しいアラートタイプや前例の少ないアラートタイプ）では、推奨事項の効果が低い場合があります。

• 必要な最小アラート数: アラート応答推奨ツールが推奨事項を提供するには、少なくとも 1 つの類似した過去のアラートを見つける必要があります。類似するアラートが見つからない場合、有用な分析は提供されません。この場合、アプリケーションは空の [類似アラートの特定] タブを表示して通知します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。