Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Empfehlungen zu Benachrichtigungen erhalten

Unterstützt in:

Google SecOps

In diesem Dokument wird erläutert, wie Sie den Alert Response Recommender -Pilot verwenden, ein Experiment in den Google Security Operations Labs. Der Pilot reduziert die Zeit, die Analysten für Untersuchungen aufwenden, erheblich. Er analysiert Verlaufsdaten aus ähnlichen, zuvor geschlossenen Benachrichtigungen mit einem Large Language Model (LLM). Durch die Bereitstellung umsetzbarer Empfehlungen trägt der Alert Response Recommender dazu bei, den Triage-Prozess zu optimieren und die Falllösung zu beschleunigen.

Weitere Informationen zu den Google SecOps Labs finden Sie unter Gemini und Google SecOps-Experimente verwenden.

Benachrichtigungs- oder Ticket-ID finden

Rufen Sie die Seite Fälle auf und wählen Sie den Fall aus, den Sie aus der Warteschlange untersuchen möchten.
Gehen Sie zur Fallübersicht.
Rufen Sie das Widget „Benachrichtigungen“ auf und klicken Sie bei der gewünschten Benachrichtigung auf Details ansehen.
Gehen Sie im angezeigten Seitenmenü zum Bereich Fall und kopieren Sie die Ticket-ID oder Benachrichtigungs-ID.

Experiment ausführen

Klicken Sie auf der Google SecOps-Seite auf das Experiment Labs.
Klicken Sie auf der Karte Alert Response Recommender auf Testen.
Geben Sie im Feld Offene Benachrichtigungs-ID die kopierte Ticket-ID oder Benachrichtigungs-ID ein.
Klicken Sie auf Senden.

Ausgabe ansehen

Nachdem der Pilot die Daten analysiert hat, wird eine Empfehlung basierend auf einer Analyse ähnlicher historischer Benachrichtigungen generiert. Die Ausgabe enthält die folgenden Hauptabschnitte:

Analystenaktionen:Empfohlene manuelle Schritte.
Content Hub-Aktionen: Vorgeschlagene Aktionen im Content Hub.
Empfehlung zur Schließung:Ein vorgeschlagener Grund zum Schließen der Benachrichtigung.

Die Ausgabe enthält auch eine detaillierte Aufschlüsselung der Analyse mit einer Liste ähnlicher historischer Benachrichtigungen, den Gründen für die Schließung und der Playbook-Nutzung.

Beispielausgabe:

  Recommendations

  Step 1: Recommendation for Analyst Actions

  No specific manual analyst actions are recommended based on the provided data.

  Step 2: Recommendation for Content Hub Actions

  No Content Hub actions are recommended based on the provided data.

  Step 3: Closure Recommendation

  Close the alert as "Maintenance".

  Recommendations Are Based on the Following Similar Historical Closed Alerts

  Step 4: Identify Similar Alerts

  The following characteristics are shared between the current alert and the similar alerts:

  * AlertRuleGenerator: "Data Exfiltration"
  * AlertProduct: "DLP_Product"
  * AlertDisplayName: "DATA EXFILTRATION"
  * AlertVendor: "DLP"
  * AlertSourceSystemName: "Arcsight"
  * AlertIsManual: false
  * AlertOriginalName: "DATA EXFILTRATION"
  * AlertSourceIdentifier: "Simulation"
  * AlertUsefulness: "None"
  * AlertPriority: "High"
  * All EntityIdentifiers are identical.

  The similar alerts are:

  * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
  * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
  * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
  * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
  * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D

  Step 5: Analyze Playbook Usage in Similar Alerts

  No playbooks were used in the identified similar alerts.

  Step 6: Analyze Case Closure Information

  All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
  have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
  DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
  Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
  information.

Beschränkungen

Damit Sie die Empfehlungen richtig interpretieren, sollten Sie die folgenden Einschränkungen beachten:

Abhängigkeit von Verlaufsdaten: Die Qualität und Relevanz der Empfehlungen hängen direkt von den verfügbaren Verlaufsdaten ab. Wenn nicht genügend ähnliche Daten vorhanden sind, sind die Empfehlungen möglicherweise begrenzt oder weniger genau.
Begrenzte Benachrichtigungstypen: Die Empfehlungen sind für einige Benachrichtigungstypen möglicherweise weniger effektiv, insbesondere wenn sie neu sind oder nur wenige Präzedenzfälle haben.
Mindestanzahl an Benachrichtigungen erforderlich: Der Alert Response Recommender muss mindestens eine ähnliche historische Benachrichtigung finden, um eine Empfehlung zu geben. Wenn keine ähnlichen Benachrichtigungen gefunden werden, kann keine nützliche Analyse bereitgestellt werden. Die Anwendung benachrichtigt Sie darüber, indem sie den leeren Tab Ähnliche Benachrichtigungen identifizieren anzeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten