Use o recomendador de respostas a alertas

Este documento explica como usar o teste-piloto do Alert Response Recommender, uma experiência nos Google Security Operations Labs. O teste-piloto reduz significativamente o tempo que os analistas dedicam às investigações. Analisa dados do histórico de alertas semelhantes fechados anteriormente com um modelo de linguagem (conteúdo extenso) (MDI/CE). Ao fornecer recomendações acionáveis, o recomendador de respostas a alertas ajuda a simplificar o processo de triagem e a acelerar a resolução de registos.

Para mais informações sobre os Google SecOps Labs, consulte o artigo Use experiências do Gemini e do Google SecOps.

Localize o ID do alerta ou o ID do pedido

1. Aceda à página Registos e selecione o registo que quer investigar na fila.

2. Navegue para a Vista geral do registo.

3. Aceda ao widget Alertas e clique em Ver detalhes para o alerta específico de que precisa.

4. No painel lateral apresentado, aceda à secção Registo e copie o ID do pedido ou o ID do alerta.

Execute a experiência

1. Na página do Google SecOps, clique em experiment Labs.

2. No cartão Recomendador de respostas a alertas, clique em Experimentar.

3. No campo ID do alerta aberto, introduza o ID do pedido ou o ID do alerta que copiou.

4. Clique em Enviar.

Reveja o resultado

Assim que o teste-piloto tiver analisado os dados, gera uma recomendação com base numa análise de alertas históricos semelhantes. O resultado inclui estas secções principais:

• Ações do analista: passos manuais recomendados.

• Ações do Content Hub (Marketplace): ações sugeridas no Content Hub (Marketplace).

• Recomendação de encerramento: um motivo sugerido para encerrar o alerta.

O resultado também inclui uma discriminação detalhada da análise, com uma lista de alertas do histórico semelhantes, os respetivos motivos de encerramento e a utilização do plano de ação.

• Exemplo de saída:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limitações

Para garantir que interpreta as recomendações corretamente, tenha em atenção as seguintes limitações:

• Dependência dos dados do histórico: a qualidade e a relevância das recomendações estão diretamente relacionadas com os dados do histórico disponíveis. Se não existirem dados semelhantes suficientes, as sugestões podem ser limitadas ou menos precisas.

• Tipos de alertas limitados: as recomendações podem ser menos eficazes para alguns tipos de alertas, especialmente se forem novos ou tiverem poucos precedentes.

• Alertas mínimos necessários: o recomendador de respostas a alertas tem de encontrar, pelo menos, um alerta histórico semelhante para fornecer uma recomendação. Se não forem encontrados alertas semelhantes, não é possível fornecer uma análise útil. A aplicação envia-lhe uma notificação a este respeito, apresentando um separador Identificar alertas semelhantes vazio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.