Anfragen priorisieren und darauf reagieren

In diesem Leitfaden erfahren Sie, wie Sicherheitsanalysten Fälle und Sicherheitswarnungen, die sofortige Aufmerksamkeit erfordern, effizient identifizieren und priorisieren können. Darin wird erläutert, wie Sie Google Security Operations-Funktionen wie personalisierte Ansichten, Automatisierung, KI-gestützte Priorisierung und Playbooks verwenden. Mit dieser Methode können Analysten Rauschen reduzieren, Reaktionszeiten verkürzen und sich auf die echten positiven Ergebnisse konzentrieren, die das größte Risiko darstellen. Ein erfolgreicher Abschluss sorgt für eine rechtzeitige Eindämmung kritischer Bedrohungen.

Gängige Anwendungsfälle

• Ziel: Mithilfe von Automatisierung und KI effizient Warnungen und Fälle mit hohem Risiko in großen Mengen von Sicherheitsdaten identifizieren.
• Wert: Ermöglicht eine schnelle Reaktion auf kritische Bedrohungen und minimiert potenzielle Auswirkungen.

Hinweis

• Berechtigungen: Sie benötigen die erforderlichen Berechtigungen in Google SecOps, um auf Fälle und Arbeitsbereich zuzugreifen und Playbooks auszuführen. Möglicherweise sind bestimmte IAM-Rollen erforderlich, z. B.:

  • Chronicle API Admin
  • Chronicle API Editor
  • Chronicle API-Betrachter
  • Chronicle API Limited Viewer

Feststellen, welche Fälle und Benachrichtigungen sofortige Aufmerksamkeit erfordern

In diesem Abschnitt werden die sequenziellen Schritte zur Bestimmung der Dringlichkeit beschrieben.

Personalisierte Warteschlangen im Blick behalten und strenge Filter anwenden

Mit dem folgenden Ansatz sehen Sie sowohl Elemente, die Ihre besondere Aufmerksamkeit erfordern, als auch den gesamten Pool an Vorfällen mit hohem Risiko. So erhalten Sie sofort einen Überblick über die wichtigsten Ereignisse.

1. Wählen Sie auf der Google SecOps-Plattform Your Workdesk > My Cases aus. In dieser Ansicht werden Fälle angezeigt, die Ihnen oder Ihrer Analystenrolle direkt zugewiesen sind.
2. Öffnen Sie die Hauptseite Fälle und klicken Sie auf Fälle filtern.
3. Filtern Sie nach Ergebnissen mit den Prioritätsstufen Kritisch und Hoch. Speichern Sie diese Filter, damit Sie sie später einfach wieder aufrufen können.

KI und Automatisierung für die Priorisierung nutzen

Verwenden Sie für jede Benachrichtigung die Agentic Automation, die deterministische, vordefinierte Playbooks mit dynamischen KI-Agenten wie dem Gemini Triage and Investigation Agent kombiniert. Dieser Agent automatisiert die erste detaillierte Analyse und verkürzt die manuelle Arbeit von 15 bis 20 Minuten auf einen viel kürzeren Zeitraum.

Wichtige Funktionen:

• Automatisierungssequenzierung: Konfigurieren Sie Playbooks so, dass ein Abhilfemaßnahmen-Playbook (z. B. Hostisolierung oder Kontosperrung) automatisch basierend auf der Ausgabe des Gemini Triage and Investigation Agent gestartet wird und sofort auf wichtige Fälle reagieren kann.
• Adaptive Reaktionen: Verwenden Sie KI-generierte Ausgaben (z. B. Risikobewertungen oder Ergebnisse wie True Positive) als Bedingungen in Playbooks, um verschiedene automatisierte Reaktionspfade auszulösen. Beispiel: Ein Host wird automatisch isoliert, wenn das Ergebnis Malicious lautet, aber nur zur Überprüfung gekennzeichnet, wenn Suspicious. Sie können das Ergebnis oder den Risikoscore verwenden, um die Priorität zu erhöhen oder den Fall zu eskalieren. Sie können die Aufgabe beispielsweise an eine höhere Ebene eskalieren oder eine Nachricht an den zugewiesenen Mitarbeiter senden.
• Rekonstruktion des Prozessbaums: Der Triage-Agent kann eine visuelle Zeitachse der Systemaktivität erstellen, damit Analysten die Angriffskette, die Beziehungen zwischen über- und untergeordneten Prozessen und die laterale Bewegung sofort nachvollziehen können.

Playbooks für schnelle Triage und einheitliche Maßnahmen verwenden

Auf der Seite Fälle können Sie vordefinierte und benutzerdefinierte Playbooks verwenden. In Playbooks werden Standardarbeitsanweisungen in automatisierte Workflows umgewandelt, wodurch der manuelle Aufwand minimiert und die Konsistenz gewährleistet wird.

Wichtige Playbook-Funktionen:

• Automatisierte Anreicherung: Viele Playbooks reichern Benachrichtigungen automatisch mit Threat Intelligence aus Quellen wie VirusTotal, CrowdStrike und internen Threat-Feeds an. So erhalten Sie sofort Kontext zu Kompromittierungsindikatoren (Indicators of Compromise, IoCs) wie Hashes, IP-Adressen und Domains.
• Geführte Entscheidungspunkte: Playbooks können pausieren und Analysten mit Ja-Nein-Fragen, Multiple-Choice-Fragen oder bedingten Aufforderungen wie "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring" präsentieren.
• Kontrollierte manuelle Intervention: Bei sensiblen Aktionen können Playbooks manuelle Genehmigungsschritte enthalten. So können Analysten vorgeschlagene Aktionen (z. B. Host isolieren, Datei in Sandbox ausführen oder IP-Adresse blockieren) vor der Ausführung überprüfen.
• Automatisierte Fallverwaltung: Mit Playbooks lässt sich das Weiterleiten von Fällen an spezialisierte Teams basierend auf Ergebnissen automatisieren. Außerdem können Benachrichtigungen, die als harmlos oder informativ bestätigt wurden, automatisch geschlossen werden. So bleibt die aktive Warteschlange auf umsetzbare Bedrohungen konzentriert.

So verwenden Analysten Playbooks für diesen Prozess:

• Standardisierte Antwort: Sorgt dafür, dass alle Benachrichtigungen eines bestimmten Typs (z. B. Phishing oder Ransomware) gemäß den etablierten SOPs der Organisation behandelt werden.
• Rauschunterdrückung: Benachrichtigungen mit geringer Aussagekraft werden automatisch anhand vordefinierter Logik herausgefiltert oder behoben.
• Weniger Routineaufgaben: Zeitaufwendige Aufgaben wie das Erfassen von Daten, die Protokollkorrelation und die Anreicherung von Entitäten werden automatisiert.
• Agentische Automatisierung in Aktion: Kombiniert die analytische Geschwindigkeit von KI-Agenten mit der Zuverlässigkeit deterministischer Playbooks.
• Agentic Step: Playbooks können die Vertex AI-Integration nutzen, um einen kuratierten Arbeitsablauf zu erstellen, der auf Gemini basiert und bei der Untersuchung hilft.

Vorteil: Der Priorisierungsprozess wird optimiert, einheitliche Reaktionen werden erzwungen, sich wiederholende Aufgaben werden reduziert und Analysten können komplexere Bedrohungen effektiv bewältigen.

Beispiele für Szenarien, die sofortige Aufmerksamkeit erfordern

Dieser Abschnitt enthält Beispiele für Szenarien, die sofortige Maßnahmen erfordern.

Automatisierte Einleitung der Problembehebung

Auf der Seite Fälle wird für Suspicious PowerShell Execution eine Warnung mit der Priorität Kritisch angezeigt.

Das verknüpfte Playbook zeigt, dass der Gemini Triage Agent ausgeführt wurde, ein True Positive-Ergebnis mit hoher Wahrscheinlichkeit zurückgegeben hat und das Playbook daraufhin automatisch die Aktion Host isolieren ausgelöst hat, die jetzt noch genehmigt werden muss oder bereits abgeschlossen ist.

Dies erfordert eine sofortige Überprüfung der Ergebnisse des Kundenservicemitarbeiters und des Isolierungsstatus.

Manuelle Entscheidung mit KI-Unterstützung

Sie filtern die Warteschlange Fälle nach Priorität: Kritisch.

Wenn Sie einen Fall öffnen, stellen Sie fest, dass ein Playbook bei einer Ja/Nein-Frage pausiert wurde, in der gefragt wird, ob der Fall eskaliert oder geschlossen werden soll.

Sie sehen sich die Zusammenfassung des Gemini Triage and Investigation Agent an, in der Highly Likely True Positive (Sehr wahrscheinlich richtig positiv) angegeben ist. Außerdem wird eine detaillierte Begründung mit spezifischen schädlichen Indikatoren angeführt.

Sie wählen An Tier 2 eskalieren aus.

Fehlerbehebung

Latenz, Dienstkontingent und Limits

• Kontingent für den Priorisierungs-Agent: Für den Gemini-Agent für Priorisierung und Untersuchung gilt ein Kontingent von in der Regel etwa 10 Prüfungen pro Stunde und Mandant (z. B. 5 manuelle Auslöser, 5 automatische Auslöser). Für Benachrichtigungen, die dieses Limit überschreiten, ist eine manuelle Priorisierung erforderlich.

Fehlerbehebung

Fehlercode	Problembeschreibung	Beheben
–	Dringende Elemente fehlen in „Meine Fälle“ oder in der Warteschlange „Fälle“.	Achten Sie darauf, dass die Regel Alerting für relevante Erkennungen aktiviert ist. Prüfen Sie, ob Fälle Ihrem Nutzer oder Ihrer Rolle richtig zugewiesen sind und ob versehentlich restriktive Filter auf die Warteschlange angewendet wurden.
–	Die Zusammenfassung für Gemini fehlt.	Prüfen Sie den Status von Gemini Investigations im Fall-Repository. Wenn das Kontingent erreicht wurde, wird eine Meldung angezeigt, dass der Agent nicht ausgelöst werden konnte.

Validierung und Tests

So prüfen Sie, ob der Prozess funktioniert:

• Benachrichtigungen mit hohem und kritischem Schweregrad werden wie erwartet auf Grundlage von Filtern angezeigt.
• Playbooks werden durch neue Benachrichtigungen ausgelöst.
• Zusammenfassungen des Gemini-Agents für Priorisierung und Untersuchung sind wie erwartet vorhanden.
• Fälle werden basierend auf der Playbook-Logik und den Entscheidungen des Analysten eskaliert oder geschlossen.

Symptom	Lösung
Dringende Elemente fehlen in „Meine Fälle“ oder in der Warteschlange „Fälle“.	Achten Sie darauf, dass die Regel Alerting für relevante Erkennungen aktiviert ist. Prüfen Sie, ob Fälle Ihrem Nutzer oder Ihrer Rolle richtig zugewiesen sind und ob versehentlich restriktive Filter auf die Warteschlange angewendet wurden.
Die Zusammenfassung für Gemini fehlt.	Prüfen Sie den Status von Gemini Investigations im Fall-Repository. Wenn das Kontingent erreicht wurde, wird eine Meldung angezeigt, dass der Agent nicht ausgelöst werden konnte.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten