알림 응답 추천 도구 사용

이 문서에서는 Google Security Operations Labs의 실험인 알림 응답 추천 도구 파일럿을 사용하는 방법을 설명합니다. 파일럿을 통해 분석사가 조사에 소요하는 시간이 크게 줄어듭니다. 대규모 언어 모델 (LLM)을 사용하여 이전에 종료된 유사한 알림의 과거 데이터를 분석합니다. 활용 가능한 추천을 제공함으로써 알림 대응 추천 도구는 분류 프로세스를 간소화하고 케이스 해결을 가속화하는 데 도움이 됩니다.

Google SecOps Labs에 관한 자세한 내용은 Gemini 및 Google SecOps 실험 사용하기를 참고하세요.

알림 ID 또는 티켓 ID 찾기

1. 케이스 페이지로 이동하여 대기열에서 조사하려는 케이스를 선택합니다.

2. 케이스 개요로 이동합니다.

3. 알림 위젯으로 이동하여 필요한 특정 알림의 세부정보 보기를 클릭합니다.

4. 표시되는 측면 창에서 케이스 섹션으로 이동하여 티켓 ID 또는 알림 ID를 복사합니다.

실험 실행

1. Google SecOps 페이지에서 실험 Labs를 클릭합니다.

2. 알림 응답 추천 도구 카드에서 사용해 보기를 클릭합니다.

3. Open Alert ID(열린 알림 ID) 필드에 복사한 티켓 ID 또는 알림 ID를 입력합니다.

4. 제출을 클릭합니다.

출력 검토

파일럿에서 데이터를 분석하면 유사한 이전 알림의 분석을 기반으로 추천이 생성됩니다. 출력에는 다음 주요 섹션이 포함됩니다.

• 분석가 조치: 권장되는 수동 단계입니다.

• 콘텐츠 허브 (마켓) 작업: 콘텐츠 허브 (마켓) 내의 추천 작업입니다.

• 종결 추천: 알림을 종결해야 하는 이유를 제안합니다.

출력에는 유사한 이전 알림, 종료 이유, 플레이북 사용량 목록과 함께 분석의 세부적인 분류도 포함됩니다.

• 출력 예시:

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

제한사항

추천을 올바르게 해석하려면 다음 제한사항에 유의하세요.

• 이전 데이터에 대한 의존성: 추천의 품질과 관련성은 사용 가능한 이전 데이터와 직접적으로 관련이 있습니다. 유사한 데이터가 충분하지 않으면 조언이 제한적이거나 정확하지 않을 수 있습니다.

• 제한된 알림 유형: 일부 알림 유형, 특히 새로운 알림 유형이나 선례가 거의 없는 알림 유형의 경우 추천이 효과적이지 않을 수 있습니다.

• 필요한 최소 알림: 알림 응답 추천 도구는 추천을 제공하기 위해 유사한 이전 알림을 하나 이상 찾아야 합니다. 유사한 알림이 없으면 유용한 분석을 제공할 수 없습니다. 애플리케이션은 빈 유사한 알림 식별 탭을 표시하여 이를 알립니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.