שימוש בשירות ההמלצות לתגובה על התראות
במאמר הזה מוסבר איך להשתמש בתוכנית הפיילוט Alert Response Recommender, ניסוי ב-Google Security Operations Labs. הפיילוט מקצר משמעותית את הזמן שאנליסטים משקיעים בחקירות. הוא מנתח נתונים היסטוריים מהתראות דומות שנסגרו בעבר באמצעות מודל שפה גדול (LLM). הכלי Alert Response Recommender מספק המלצות מעשיות, וכך עוזר לייעל את תהליך המיון ולזרז את פתרון הבעיה.
מידע נוסף על Google SecOps Labs זמין במאמר בנושא שימוש בניסויים של Gemini ו-Google SecOps.
איתור מזהה ההתראה או מזהה הכרטיס
עוברים לדף Cases ובוחרים את בקשת התמיכה שרוצים לבדוק מתוך התור.
עוברים אל Case Overview (סקירת המקרה).
עוברים אל ווידג'ט ההתראות ולוחצים על הצגת פרטים בהתראה הספציפית שרוצים.
בחלונית הצדדית שמופיעה, עוברים לקטע Case (פנייה) ומעתיקים את מזהה הכרטיס או את מזהה ההתראה.
הפעלת הניסוי
בדף Google SecOps, לוחצים על ניסוי Labs.
בכרטיס Alert Response Recommender (המלצות לתגובה להתראות), לוחצים על Try (ניסיון).
בשדה Open Alert ID (פתיחת מזהה התראה), מזינים את מזהה הכרטיס או מזהה ההתראה שהעתקתם.
לוחצים על שליחה.
בדיקת הפלט
אחרי שהפיילוט מנתח את הנתונים, הוא יוצר המלצה שמבוססת על ניתוח של התראות היסטוריות דומות. הפלט כולל את החלקים העיקריים הבאים:
פעולות של אנליסט: פעולות ידניות מומלצות.
פעולות במרכז התוכן: הצעות לפעולות במרכז התוכן.
המלצה לסגירה: סיבה מוצעת לסגירת ההתראה.
הפלט כולל גם פירוט של הניתוח, עם רשימה של התראות היסטוריות דומות, הסיבות לסגירה שלהן ושימוש ב-Playbook.
פלט לדוגמה:
Recommendations Step 1: Recommendation for Analyst Actions No specific manual analyst actions are recommended based on the provided data. Step 2: Recommendation for Content Hub Actions No Content Hub actions are recommended based on the provided data. Step 3: Closure Recommendation Close the alert as "Maintenance". Recommendations Are Based on the Following Similar Historical Closed Alerts Step 4: Identify Similar Alerts The following characteristics are shared between the current alert and the similar alerts: * AlertRuleGenerator: "Data Exfiltration" * AlertProduct: "DLP_Product" * AlertDisplayName: "DATA EXFILTRATION" * AlertVendor: "DLP" * AlertSourceSystemName: "Arcsight" * AlertIsManual: false * AlertOriginalName: "DATA EXFILTRATION" * AlertSourceIdentifier: "Simulation" * AlertUsefulness: "None" * AlertPriority: "High" * All EntityIdentifiers are identical. The similar alerts are: * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583 * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547 * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D Step 5: Analyze Playbook Usage in Similar Alerts No playbooks were used in the identified similar alerts. Step 6: Analyze Case Closure Information All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". Comments in most cases contain the word "test" along with the Case closed by Siemplify API information.
מגבלות
כדי לוודא שאתם מפרשים את ההמלצות בצורה נכונה, חשוב שתכירו את המגבלות הבאות:
תלות בנתונים היסטוריים: האיכות והרלוונטיות של ההמלצות קשורות ישירות לנתונים ההיסטוריים שזמינים. אם אין מספיק נתונים דומים, יכול להיות שההמלצות יהיו מוגבלות או פחות מדויקות.
סוגים מוגבלים של התראות: ההמלצות עשויות להיות פחות יעילות לגבי סוגים מסוימים של התראות, במיוחד אם הן חדשות או שיש להן מעט תקדימים.
מספר ההתראות המינימלי שנדרש: כדי לספק המלצה, הכלי להמלצות לתגובה על התראות צריך למצוא לפחות התראה היסטורית דומה. אם לא נמצאות התראות דומות, הכלי לא יכול לספק ניתוח מועיל. במקרה כזה, האפליקציה תציג כרטיסייה ריקה של זיהוי התראות דומות.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.