使用快訊回應建議工具

本文說明如何使用 Alert Response Recommender 試用版，這是 Google Security Operations Labs 的實驗。這項先導計畫可大幅減少分析師的調查時間。這項功能會使用大型語言模型 (LLM)，分析先前已結案的類似快訊歷史資料，快訊回應建議工具會提供可執行的建議，協助簡化分類程序，並加快案件解決速度。

如要進一步瞭解 Google SecOps Labs，請參閱「使用 Gemini 和 Google SecOps 實驗功能」。

找出警告 ID 或支援單 ID

1. 前往「案件」頁面，從佇列中選取要調查的案件。

2. 前往「案件總覽」。

3. 前往「快訊」小工具，然後點選所需特定快訊的「查看詳細資料」。

4. 在隨即顯示的側邊抽屜中，前往「案件」部分，然後複製「支援單 ID」或「快訊 ID」。

執行實驗

1. 在 Google SecOps 頁面中，按一下「實驗」「實驗室」。

2. 在「快訊回覆建議」資訊卡中，按一下「試用」。

3. 在「Open Alert ID」欄位中，輸入您複製的支援單 ID 或快訊 ID。

4. 按一下「提交」。

查看輸出內容。

試用版分析資料後，會根據類似歷來警報的分析結果生成建議。輸出內容包含下列重要區段：

• 分析師行動：建議手動執行的步驟。

• 內容中心 (市集) 動作：內容中心 (市集) 內的建議動作。

• 建議關閉：建議關閉快訊的原因。

輸出內容也包含詳細的分析細目，以及類似的歷史快訊清單、結案原因和劇本使用情況。

• 輸出內容範例：

    Recommendations
  
    Step 1: Recommendation for Analyst Actions
  
    No specific manual analyst actions are recommended based on the provided data.
  
    Step 2: Recommendation for Content Hub Actions
  
    No Content Hub actions are recommended based on the provided data.
  
    Step 3: Closure Recommendation
  
    Close the alert as "Maintenance".
  
    Recommendations Are Based on the Following Similar Historical Closed Alerts
  
    Step 4: Identify Similar Alerts
  
    The following characteristics are shared between the current alert and the similar alerts:
  
    * AlertRuleGenerator: "Data Exfiltration"
    * AlertProduct: "DLP_Product"
    * AlertDisplayName: "DATA EXFILTRATION"
    * AlertVendor: "DLP"
    * AlertSourceSystemName: "Arcsight"
    * AlertIsManual: false
    * AlertOriginalName: "DATA EXFILTRATION"
    * AlertSourceIdentifier: "Simulation"
    * AlertUsefulness: "None"
    * AlertPriority: "High"
    * All EntityIdentifiers are identical.
  
    The similar alerts are:
  
    * DATA EXFILTRATION_96C92028-70E5-4947-87DF-CC64133B2583
    * DATA EXFILTRATION_79D74832-4C9D-4315-AD0C-77F640A1766A
    * DATA EXFILTRATION_6C6713D6-8A50-48AB-B168-FE23791EC86C
    * DATA EXFILTRATION_C6493390-3544-46A6-A219-0DDC64FE8547
    * DATA EXFILTRATION_B44A1099-2DBD-4F02-9173-5931C538AE9D
  
    Step 5: Analyze Playbook Usage in Similar Alerts
  
    No playbooks were used in the identified similar alerts.
  
    Step 6: Analyze Case Closure Information
  
    All similar alerts, except DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194, 
    have the closure reason as "Maintenance", with a root cause of "Lab Test". The alert 
    DATA EXFILTRATION_8D4E6467-F503-447A-8B38-BC521296E194 has the closure reason "NotMalicious". 
    Comments in most cases contain the word "test" along with the Case closed by Siemplify API 
    information.
  

限制

為確保您正確解讀建議，請注意下列限制：

• 依據歷來資料：建議的品質和相關性直接取決於可用的歷來資料。如果類似資料不足，建議可能不完整或不夠準確。

• 警報類型有限：對於某些警報類型，最佳化建議可能較不實用，尤其是新警報或沒有先例的警報。

• 最低快訊數：快訊回應建議工具必須找到至少一個類似的歷史快訊，才能提供建議。如果找不到類似快訊，就無法提供實用分析。應用程式會顯示空白的「Identify Similar Alerts」(識別類似快訊) 分頁，通知您這項情況。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。