使用提醒响应推荐器

本文档介绍了如何使用 Alert Response Recommender 试点版，这是 Google Security Operations Labs 中的一项实验。该试点计划可显著减少分析师在调查上花费的时间。它会使用大语言模型 (LLM) 分析之前已关闭的类似提醒中的历史数据。通过提供可行的建议，提醒响应推荐器有助于简化分类流程并加快问题解决速度。

如需详细了解 Google SecOps 实验室，请参阅使用 Gemini 和 Google SecOps 实验。

查找提醒 ID 或工单 ID

1. 前往支持请求页面，从队列中选择要调查的支持请求。

2. 前往支持请求概览。

3. 前往“提醒”微件，然后点击所需特定提醒的查看详情。

4. 在随即显示的侧边抽屉式导航栏中，前往支持请求部分，然后复制工单 ID 或提醒 ID。

运行实验

1. 在 Google SecOps 页面上，依次点击实验 实验室。

2. 在提醒响应推荐器卡片中，点击试用。

3. 在未解决的提醒 ID 字段中，输入您复制的工单 ID 或提醒 ID。

4. 点击提交。

查看输出

在试点计划分析完数据后，它会根据对类似历史提醒的分析生成建议。输出包含以下关键部分：

• 分析师操作：建议的手动步骤。

• 内容中心（市场）操作：内容中心（市场）内的建议操作。

• 关闭建议：建议的关闭提醒原因。

输出还包括详细的分析细分，其中列出了类似的历史提醒、其关闭原因以及剧本使用情况。

• 输出示例：

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

限制

为确保您正确解读建议，请注意以下限制：

• 对历史数据的依赖性：建议的质量和相关性直接取决于可用的历史数据。如果没有足够的类似数据，建议可能会受到限制或不太准确。

• 提醒类型有限：对于某些提醒类型，建议的效果可能不太理想，尤其是当提醒类型较新或没有多少先例时。

• 所需的最少提醒数：提醒响应推荐器必须找到至少一个类似的过往提醒，才能提供建议。如果未找到类似提醒，则无法提供有用的分析。应用会通过显示空的识别类似提醒标签页来通知您这一点。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。