שינינו את מבנה הניווט כדי שיתאים לתהליכי העבודה התפעוליים שלכם. מידע נוסף זמין בהערות הגרסה של Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תגובה להתראות ולבקשות תמיכה

נתמך ב:

Google secops

המדריך הזה עוזר לאנליסטים של אבטחה לזהות ולתעדף ביעילות מקרים והתראות אבטחה שדורשים טיפול מיידי. במאמר מוסבר איך להשתמש בתכונות של Google Security Operations, כולל תצוגות מותאמות אישית, אוטומציה, תעדוף מבוסס-AI וספרי הדרכה. השיטה הזו מאפשרת לאנליסטים לצמצם את הרעשים, לקצר את זמני התגובה ולהתמקד בתוצאות החיוביות האמיתיות שמציבות את הסיכון הגדול ביותר. השלמת הפעולות האלה בזמן תבטיח צמצום של איומים קריטיים.

תרחיש נפוץ לדוגמה

המטרה: לזהות ביעילות התרעות ומקרים בסיכון גבוה מתוך נפח גדול של נתוני אבטחה באמצעות אוטומציה ו-AI.
ערך: מאפשר תגובה מהירה לאיומים קריטיים, ומצמצם את ההשפעה הפוטנציאלית.

לפני שמתחילים

הרשאות: חשוב לוודא שיש לכם את ההרשאות הנדרשות ב-Google SecOps כדי לגשת אל Cases, אל Your Workdesk וכדי להפעיל Playbooks. יכול להיות שיהיה צורך בתפקידי IAM ספציפיים, כמו:

איך קובעים אילו פניות והתראות דורשות טיפול מיידי

בקטע הזה מתוארים השלבים שצריך לבצע כדי לקבוע את רמת הדחיפות.

מעקב אחרי תורים בהתאמה אישית והחלת מסננים מחמירים

הגישה הבאה מבטיחה שתראו גם את הפריטים שדורשים את תשומת הלב הספציפית שלכם וגם את המאגר הכולל של אירועים בסיכון גבוה, ותספק לכם תובנות מיידיות לגבי האירועים המשפיעים ביותר.

בפלטפורמת Google SecOps, בוחרים באפשרות Your Workdesk (סביבת העבודה שלך) > My Cases (הכרטיסים שלי). בתצוגה הזו מוצגות בקשות שהוקצו ישירות לכם או לתפקיד האנליסט שלכם.
פותחים את הדף הראשי Cases ולוחצים על Cases Filter.
מסננים את הממצאים לפי רמות העדיפות קריטית וגבוהה. חשוב לשמור את המסננים האלה כדי שתוכלו לחזור אליהם בקלות.

שימוש ב-AI ובאוטומציה לטריאז'

לכל התראה, אפשר להשתמש באוטומציה מבוססת-סוכן, שמשלבת בין מדריכים מוגדרים מראש ודטרמיניסטיים לבין סוכני AI דינמיים, כמו סוכן הטריאז' והחקירה של Gemini. הסוכן הזה מבצע ניתוח מעמיק ראשוני באופן אוטומטי, ולרוב מקצר משמעותית את משך הזמן שלוקח לבצע את אותה פעולה באופן ידני (15-20 דקות).

התכונות העיקריות:

רצף אוטומטי: הגדרת Playbook כך ש-Playbook לתיקון (לדוגמה, בידוד מארח או השעיה של חשבון) יופעל אוטומטית על סמך הפלט של Gemini Triage and Investigation Agent, ויפעל באופן מיידי במקרים חשובים.
תגובות אדפטיביות: אפשר להשתמש בפלט שנוצר על ידי AI (כמו ציוני סיכון או פסיקות כמו True Positive) כתנאים בתוך ספרי הפעלה כדי להפעיל נתיבי תגובה אוטומטיים שונים. לדוגמה, לבודד באופן אוטומטי מארח אם התוצאה היא Malicious, אבל רק לסמן לבדיקה אם התוצאה היא Suspicious. אתם יכולים להשתמש בתוצאה או בציון הסיכון כדי להעלות את רמת העדיפות של הבקשה או להעביר אותה לטיפול ברמה גבוהה יותר. לדוגמה, להעביר את הבקשה לרמה גבוהה יותר או לשלוח הודעה למקבל ההקצאה.
שחזור של עץ התהליכים: סוכן הטריאז' יכול ליצור ציר זמן חזותי של פעילות המערכת, וכך לעזור לאנליסטים להבין באופן מיידי את שרשרת המתקפות, את הקשרים בין תהליכי האב והצאצא ואת התנועה הרוחבית.

שימוש ב-Playbooks לטריאז' מהיר ולפעולה עקבית

בדף Cases, אפשר להשתמש בPlaybooks מוכנים מראש ובהתאמה אישית. ה-Playbooks מתעדים נהלים סטנדרטיים (SOP) בתהליכי עבודה אוטומטיים, מצמצמים את המאמץ הידני ומבטיחים עקביות.

היכולות העיקריות של מדריך ההפעלה:

העשרה אוטומטית: פלייבוקים רבים מעשירים באופן אוטומטי התראות במודיעין איומי סייבר ממקורות כמו VirusTotal,‏ CrowdStrike ופידים פנימיים של איומים, ומספקים הקשר מיידי לגבי סימנים מחשידים (IoCs) כמו גיבובים, כתובות IP ודומיינים.
נקודות החלטה מודרכות: אפשר להגדיר את Playbooks כך שיעצור ויציג לאנליסטים שאלות עם תשובות של כן או לא, שאלות מרובות ברירות או הנחיות מותנות – לדוגמה, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
התערבות ידנית מבוקרת: לפעולות רגישות, אפשר לכלול ב-Playbook שלבים של אישור ידני. כך, אנליסטים יכולים לבדוק פעולות מוצעות (לדוגמה, בידוד של מארח, הפעלת קובץ בארגז חול או חסימה של כתובת IP) לפני הביצוע.
ניהול אוטומטי של בקשות תמיכה: באמצעות Playbooks אפשר להגדיר ניתוב אוטומטי של בקשות תמיכה לצוותים מומחים על סמך ממצאים, וסגירה אוטומטית של התראות שאומתו כהתראות שאינן זדוניות או כהתראות שמספקות מידע. כך התור הפעיל מתמקד באיומים שדורשים פעולה.

איך אנליסטים משתמשים במדריכים האלה בתהליך:

תגובה סטנדרטית: מבטיחה שכל ההתראות מסוג מסוים (למשל פישינג או תוכנת כופר) יטופלו בהתאם לנהלי העבודה התקניים (SOP) שנקבעו בארגון.
הפחתת רעשים: סינון אוטומטי של התראות ברמת מהימנות נמוכה או פתרון שלהן על סמך לוגיקה מוגדרת מראש.
פחות עבודה שוחקת: המערכת הופכת לאוטומטיות משימות שגוזלות זמן, כמו איסוף נתונים, קורלציה של יומנים והעשרת ישויות.
אוטומציה אקטיבית בפעולה: שילוב של מהירות הניתוח של סוכני AI עם המהימנות של תוכניות פעולה דטרמיניסטיות.
שלב מבוסס-סוכן: אפשר להשתמש בשילוב עם Vertex AI כדי ליצור תהליך עבודה מותאם אישית שמבוסס על Gemini ויכול לעזור בחקירה.

היתרון: מייעל את תהליך המיון, אוכף תשובות עקביות, מצמצם משימות חוזרות ומאפשר לאנליסטים לטפל באיומים מורכבים בצורה יעילה.

דוגמאות לתרחישים שדורשים טיפול מיידי

בקטע הזה יש דוגמאות לתרחישים שמצריכים טיפול מיידי.

הפעלת תיקון אוטומטי

בדף Cases מוצגת התראה על עדיפות Critical לגבי Suspicious PowerShell Execution.

במדריך ההפעלה המקושר אפשר לראות שהסוכן של Gemini לטריאז' רץ, החזיר True Positiveפסק דין עם רמת סמך גבוהה, וכתוצאה מכך, מדריך ההפעלה הפעיל אוטומטית את הפעולה בידוד המארח, שממתינה כעת לאישור או שהושלמה.

לכן, צריך לבדוק באופן מיידי את הממצאים של הסוכן ואת מצב הבידוד.

החלטה ידנית בעזרת AI

מסננים את התור Cases לפי Priority: Critical.

כשפותחים כרטיס תמיכה, מגלים שההפעלה של ספר ההדרכה הופסקה בשאלה עם תשובות של כן או לא, שבה נשאלים אם להעביר את הכרטיס לטיפול ברמה גבוהה יותר או לסגור אותו.

אתם בודקים את הסיכום של Gemini Triage and Investigation Agent, שבו מצוין Highly Likely True Positive עם הסבר מפורט שכולל ציטוט של אינדיקטורים ספציפיים של פעילות זדונית.

אתם בוחרים בביטחון באפשרות העברה לרמה 2.

פתרון בעיות

השהיה, מכסת השירות והמגבלות

מכסת השימוש בסוכן לטריאז': השימוש בסוכן Gemini לטריאז' ולחקירה כפוף למכסה, בדרך כלל כ-10 חקירות בשעה לכל דייר (לדוגמה, 5 הפעלות ידניות ו-5 הפעלות אוטומטיות). אם מספר ההתראות חורג מהמגבלה הזו, צריך לבצע טריאז' ידני.

תיקון שגיאות

קוד שגיאה	תיאור הבעיה	תיקון
לא רלוונטי	פריטים דחופים שציפיתי לראות לא מופיעים ב'הפניות שלי' או בתור הפניות.	מוודאים שהכלל `Alerting` מופעל לגבי זיהויים רלוונטיים. מוודאים שהכרטיסים משויכים נכון למשתמש או לתפקיד שלכם, ושהתור לא כולל בטעות מסננים מגבילים.
לא רלוונטי	חסר סיכום של `Gemini`.	בודקים את הסטטוס `Gemini Investigations` בפיד של הפנייה. אם הגעתם למכסה, תוצג לכם הודעה שהסוכן לא הופעל.

אימות ובדיקה

כדי לוודא שהתהליך פועל, בודקים את הדברים הבאים:

התראות ברמה גבוהה וברמה קריטית מופיעות כמצופה בהתבסס על המסננים.
הפעלת Playbooks מתבצעת כשמתקבלות התראות חדשות.
סיכומים של Gemini Triage ו-Gemini Investigation Agent מופיעים במקומות הצפויים.
בקשות התמיכה מועברות לטיפול ברמה גבוהה יותר או נסגרות על סמך הלוגיקה של מדריך ההפעלה וההחלטות של האנליסט.

תיאור הבעיה	רזולוציה
פריטים דחופים שציפיתי לראות לא מופיעים ב'הפניות שלי' או בתור הפניות.	מוודאים שהכלל `Alerting` מופעל לגבי זיהויים רלוונטיים. מוודאים שהכרטיסים משויכים נכון למשתמש או לתפקיד שלכם, ושהתור לא כולל בטעות מסננים מגבילים.
חסר סיכום של `Gemini`.	בודקים את הסטטוס `Gemini Investigations` בפיד של הפנייה. אם הגעתם למכסה, תוצג לכם הודעה שהסוכן לא הופעל.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.