Usar o Recomendador de respostas a alertas

Este documento explica como usar o piloto do Alert Response Recommender, um experimento nos laboratórios do Google Security Operations. O piloto reduz significativamente o tempo que os analistas gastam em investigações. Ele analisa dados históricos de alertas semelhantes e fechados anteriormente com um modelo de linguagem grande (LLM). Ao fornecer recomendações práticas, o recomendador de resposta a alertas ajuda a simplificar o processo de triagem e acelerar a resolução de casos.

Para mais informações sobre os laboratórios do Google SecOps, consulte Usar experimentos do Gemini e do Google SecOps.

Localizar o ID do alerta ou do tíquete

1. Acesse a página Casos e selecione o caso que você quer investigar na fila.

2. Acesse a Visão geral do caso.

3. Acesse o widget de alertas e clique em Ver detalhes do alerta específico que você precisa.

4. No painel lateral que aparece, acesse a seção Caso e copie o ID do tíquete ou o ID do alerta.

Realizar o experimento

1. Na página do Google SecOps, clique em experiment Labs.

2. No card Recomendador de resposta a alertas, clique em Testar.

3. No campo ID do alerta aberto, insira o ID do tíquete ou do alerta que você copiou.

4. Clique em Enviar.

Verificar a saída

Depois que o piloto analisa os dados, ele gera uma recomendação com base em uma análise de alertas históricos semelhantes. A saída inclui estas seções principais:

• Ações do analista:etapas manuais recomendadas.

• Ações da Central de conteúdo (Marketplace):ações sugeridas na Central de conteúdo (Marketplace).

• Recomendação de encerramento:um motivo sugerido para encerrar o alerta.

A saída também inclui uma análise detalhada, com uma lista de alertas históricos semelhantes, os motivos de encerramento e o uso do playbook.

• Exemplo de saída:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

Limitações

Para garantir que você interprete as recomendações corretamente, esteja ciente das seguintes limitações:

• Dependência de dados históricos: a qualidade e a relevância das recomendações estão diretamente relacionadas aos dados históricos disponíveis. Se não houver dados semelhantes suficientes, a recomendação poderá ser limitada ou menos precisa.

• Tipos de alertas limitados: as recomendações podem ser menos eficazes para alguns tipos de alertas, principalmente se forem novos ou tiverem poucos precedentes.

• Alertas mínimos necessários: o Recomendador de respostas a alertas precisa encontrar pelo menos um alerta histórico semelhante para fornecer uma recomendação. Se não houver alertas semelhantes, não será possível fazer uma análise útil. O aplicativo vai notificar você sobre isso mostrando uma guia Identificar alertas semelhantes vazia.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.