מיון בקשות תמיכה ומתן מענה לבקשות

המדריך הזה עוזר לאנליסטים של אבטחה לזהות ולתעדף ביעילות מקרים והתראות אבטחה שדורשים טיפול מיידי. במאמר מוסבר איך להשתמש בתכונות של Google Security Operations, כולל תצוגות מותאמות אישית, אוטומציה, תעדוף מבוסס-AI וספרי הדרכה. השיטה הזו מאפשרת לאנליסטים לצמצם את הרעשים, לקצר את זמני התגובה ולהתמקד בתוצאות החיוביות האמיתיות שמציבות את הסיכון הגדול ביותר. השלמת הפעולות האלה בזמן תבטיח צמצום של איומים קריטיים.

תרחיש נפוץ לדוגמה

• המטרה: לזהות ביעילות התרעות ומקרים בסיכון גבוה מתוך נפח גדול של נתוני אבטחה באמצעות אוטומציה ו-AI.
• ערך: מאפשר תגובה מהירה לאיומים קריטיים, ומצמצם את ההשפעה הפוטנציאלית.

לפני שמתחילים

• הרשאות: חשוב לוודא שיש לכם את ההרשאות הנדרשות ב-Google SecOps כדי לגשת אל Cases, אל Your Workdesk וכדי להפעיל Playbooks. יכול להיות שיהיה צורך בתפקידי IAM ספציפיים, כמו:

  • Chronicle API Admin
  • Chronicle API Editor
  • Chronicle API Viewer
  • Chronicle API Limited Viewer

איך קובעים אילו פניות ותלונות דורשות טיפול מיידי

בקטע הזה מתוארים השלבים שצריך לבצע כדי לקבוע את רמת הדחיפות.

מעקב אחרי תורים בהתאמה אישית והחלת מסננים מחמירים

הגישה הבאה מבטיחה שתראו גם את הפריטים שדורשים את תשומת הלב הספציפית שלכם וגם את המאגר הכולל של אירועים בסיכון גבוה, ותספק לכם תובנות מיידיות לגבי האירועים המשפיעים ביותר.

1. בפלטפורמת Google SecOps, בוחרים באפשרות Your Workdesk (סביבת העבודה שלך) > My Cases (המקרים שלי). בתצוגה הזו מוצגים מקרים שהוקצו ישירות לכם או לתפקיד האנליסט שלכם.
2. פותחים את הדף הראשי Cases ולוחצים על Cases Filter.
3. מסננים את הממצאים לפי רמות העדיפות קריטית וגבוהה. חשוב לשמור את המסננים האלה כדי שתוכלו לחזור אליהם בקלות.

שימוש ב-AI ובאוטומציה לטריאז'

לכל התראה, אפשר להשתמש באוטומציה מבוססת-סוכן, שמשלבת בין תוכניות פעולה דטרמיניסטיות ומוגדרות מראש לבין סוכני AI דינמיים, כמו Gemini Triage and Investigation Agent. הסוכן הזה מבצע ניתוח ראשוני מעמיק באופן אוטומטי, ולרוב מקצר את משך העבודה הידנית מ-15-20 דקות לפרק זמן קצר בהרבה.

התכונות העיקריות:

• רצף אוטומטי: הגדרת Playbook כך ש-Playbook לתיקון (לדוגמה, בידוד מארח או השעיה של חשבון) יופעל אוטומטית על סמך הפלט של Gemini Triage and Investigation Agent, ויפעל באופן מיידי במקרים חשובים.
• תגובות אדפטיביות: אפשר להשתמש בפלט שנוצר על ידי AI (כמו ציוני סיכון או פסיקות כמו True Positive) כתנאים בתוך ספרי הפעלה כדי להפעיל נתיבי תגובה אוטומטיים שונים. לדוגמה, לבודד באופן אוטומטי מארח אם התוצאה היא Malicious, אבל רק לסמן לבדיקה אם התוצאה היא Suspicious. אתם יכולים להשתמש בתוצאה או בציון הסיכון כדי להעלות את רמת העדיפות של הבקשה או להעביר אותה לטיפול ברמה גבוהה יותר. לדוגמה, להעביר את הבקשה לרמה גבוהה יותר או לשלוח הודעה למקבל ההקצאה.
• שחזור של עץ התהליכים: סוכן הטריאז' יכול ליצור ציר זמן חזותי של פעילות המערכת, וכך לעזור לאנליסטים להבין באופן מיידי את שרשרת המתקפות, את הקשרים בין תהליכי האב והצאצא ואת התנועה הרוחבית.

שימוש ב-Playbooks לטריאז' מהיר ולפעולה עקבית

בדף Cases, אפשר להשתמש בPlaybooks מוכנים מראש ובהתאמה אישית. ה-Playbooks מתעדים נהלים סטנדרטיים (SOP) בתהליכי עבודה אוטומטיים, מצמצמים את המאמץ הידני ומבטיחים עקביות.

היכולות העיקריות של מדריך ההפעלה:

• העשרה אוטומטית: פלייבוקים רבים מעשירים באופן אוטומטי התראות במודיעין איומי סייבר ממקורות כמו VirusTotal,‏ CrowdStrike ופידים פנימיים של איומים, ומספקים הקשר מיידי לגבי סימנים מחשידים (IoCs) כמו גיבובים, כתובות IP ודומיינים.
• נקודות החלטה מודרכות: אפשר להגדיר את Playbooks כך שיעצור ויציג לאנליסטים שאלות עם תשובות של כן או לא, שאלות מרובות ברירות או הנחיות מותנות – לדוגמה, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
• התערבות ידנית מבוקרת: לפעולות רגישות, אפשר לכלול ב-playbook שלבים של אישור ידני. כך אנליסטים יכולים לבדוק פעולות מוצעות (למשל, בידוד של מארח, הפעלת קובץ בסביבת ארגז חול או חסימה של כתובת IP) לפני הביצוע.
• ניהול אוטומטי של בקשות תמיכה: באמצעות Playbooks אפשר להגדיר ניתוב אוטומטי של בקשות תמיכה לצוותים מומחים על סמך ממצאים, וסגירה אוטומטית של התראות שאומתו כהתראות שאינן זדוניות או כהתראות שמספקות מידע. כך התור הפעיל מתמקד באיומים שדורשים פעולה.

איך אנליסטים משתמשים במדריכים האלה בתהליך:

• תגובה סטנדרטית: מבטיחה שכל ההתראות מסוג מסוים (למשל פישינג או תוכנת כופר) יטופלו בהתאם לנהלי העבודה התקניים (SOP) שנקבעו בארגון.
• הפחתת רעשים: סינון אוטומטי של התראות ברמת מהימנות נמוכה או פתרון שלהן על סמך לוגיקה מוגדרת מראש.
• פחות עבודה שוחקת: המערכת הופכת לאוטומטיות משימות שגוזלות זמן, כמו איסוף נתונים, קורלציה של יומנים והעשרת ישויות.
• אוטומציה אקטיבית בפעולה: שילוב של מהירות הניתוח של סוכני AI עם המהימנות של תוכניות פעולה דטרמיניסטיות.
• שלב מבוסס-סוכן: אפשר להשתמש בשילוב עם Vertex AI כדי ליצור תהליך עבודה מותאם אישית שמבוסס על Gemini ויכול לעזור בחקירה.

היתרון: מייעל את תהליך המיון, אוכף תשובות עקביות, מצמצם משימות חוזרות ומאפשר לאנליסטים לטפל באיומים מורכבים בצורה יעילה.

דוגמאות לתרחישים שדורשים טיפול מיידי

בקטע הזה יש דוגמאות לתרחישים שמצריכים טיפול מיידי.

הפעלת תיקון אוטומטי

בדף Cases מוצגת התראה על עדיפות Critical לגבי Suspicious PowerShell Execution.

במדריך ההפעלה המקושר אפשר לראות שהסוכן של Gemini לטריאז' רץ, החזיר True Positiveפסק דין עם רמת סמך גבוהה, וכתוצאה מכך, מדריך ההפעלה הפעיל אוטומטית את הפעולה בידוד המארח, שממתינה כעת לאישור או שהושלמה.

לכן, צריך לבדוק באופן מיידי את הממצאים של הסוכן ואת מצב הבידוד.

החלטה ידנית בעזרת AI

מסננים את התור Cases לפי Priority: Critical.

כשפותחים כרטיס תמיכה, מגלים שההפעלה של ספר ההדרכה הופסקה בשאלה עם תשובות של כן או לא, שבה נשאלים אם להעביר את הכרטיס לטיפול ברמה גבוהה יותר או לסגור אותו.

אתם בודקים את הסיכום של Gemini Triage and Investigation Agent, שבו מצוין Highly Likely True Positive עם הסבר מפורט שכולל ציטוט של אינדיקטורים ספציפיים של פעילות זדונית.

אתם בוחרים בביטחון באפשרות העברה לרמה 2.

פתרון בעיות

השהיה, מכסת השירות והמגבלות

• מכסת סוכן הטריאז': סוכן הטריאז' והחקירה של Gemini כפוף למכסה, בדרך כלל בסביבות 10 חקירות לשעה לכל דייר (לדוגמה, 5 הפעלות ידניות, 5 הפעלות אוטומטיות). כדי לטפל בהתראות שחורגות מהמגבלה הזו, צריך לבצע טריאז' ידני.

תיקון שגיאות

קוד שגיאה	תיאור הבעיה	תיקון
לא רלוונטי	פריטים דחופים שציפיתי לראות לא מופיעים ב'הפניות שלי' או בתור הפניות.	מוודאים שהכלל Alerting מופעל לגבי זיהויים רלוונטיים. מוודאים שהכרטיסים משויכים נכון למשתמש או לתפקיד שלכם, ושהתור לא כולל בטעות מסננים מגבילים.
לא רלוונטי	חסר סיכום Gemini.	בודקים את הסטטוס Gemini Investigations בפיד של הפנייה. אם הגעתם למכסה, תוצג לכם הודעה שהסוכן לא הופעל.

אימות ובדיקה

כדי לוודא שהתהליך פועל, בודקים את הדברים הבאים:

• ההתרעות ברמה גבוהה וברמה קריטית מופיעות כמצופה בהתאם למסננים.
• הפעלת Playbooks מתבצעת כשמתקבלות התראות חדשות.
• סיכומים של Gemini Triage ו-Gemini Investigation Agent מופיעים במקומות הצפויים.
• בקשות התמיכה מועברות לטיפול ברמה גבוהה יותר או נסגרות על סמך הלוגיקה של מדריך ההפעלה וההחלטות של האנליסט.

תיאור הבעיה	רזולוציה
פריטים דחופים שציפיתי לראות לא מופיעים ב'הפניות שלי' או בתור הפניות.	מוודאים שהכלל Alerting מופעל לגבי זיהויים רלוונטיים. מוודאים שהכרטיסים משויכים נכון למשתמש או לתפקיד שלכם, ושהתור לא כולל בטעות מסננים מגבילים.
חסר סיכום Gemini.	בודקים את הסטטוס Gemini Investigations בפיד של הפנייה. אם הגעתם למכסה, תוצג לכם הודעה שהסוכן לא הופעל.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.