Menentukan prioritas dan merespons kasus

Panduan ini membantu analis keamanan mengidentifikasi dan memprioritaskan kasus serta pemberitahuan keamanan yang memerlukan perhatian segera secara efisien. Bagian ini menjelaskan cara menggunakan fitur Google Security Operations, termasuk tampilan yang dipersonalisasi, otomatisasi, triase yang didukung AI, dan playbook. Dengan mengikuti metode ini, analis dapat mengurangi derau, mempercepat waktu respons, dan memfokuskan upaya analis pada positif sejati yang menimbulkan risiko terbesar. Penyelesaian yang berhasil memastikan mitigasi ancaman kritis tepat waktu.

Kasus penggunaan umum

• Tujuan: Mengidentifikasi kasus dan pemberitahuan berisiko tinggi secara efisien di tengah volume data keamanan yang besar menggunakan otomatisasi dan AI.
• Nilai: Memastikan respons cepat terhadap ancaman penting, sehingga meminimalkan potensi dampak.

Sebelum memulai

• Izin: Pastikan Anda memiliki izin yang diperlukan dalam Google SecOps untuk mengakses Kasus, Workdesk Anda, dan untuk menjalankan Playbook. Peran IAM tertentu mungkin diperlukan seperti:

  • Admin Chronicle API
  • Chronicle API Editor
  • Chronicle API Viewer
  • Chronicle API Limited Viewer

Menentukan kasus dan pemberitahuan mana yang memerlukan perhatian segera

Bagian ini menjelaskan langkah-langkah berurutan untuk menentukan urgensi.

Memantau antrean yang dipersonalisasi dan menerapkan filter ketat

Pendekatan berikut memastikan bahwa Anda melihat item yang memerlukan perhatian khusus dan kumpulan keseluruhan insiden berisiko tinggi, sehingga memberikan visibilitas langsung ke peristiwa yang paling berdampak.

1. Di platform Google SecOps, pilih Workdesk Anda > Kasus Saya. Tampilan ini menampilkan kasus yang ditetapkan langsung kepada Anda atau peran analis Anda.
2. Buka halaman Kasus utama, lalu klik Filter Kasus.
3. Filter temuan dengan tingkat prioritas Kritis dan Tinggi. Pastikan untuk menyimpan filter ini agar Anda dapat kembali ke filter tersebut dengan mudah.

Memanfaatkan AI dan otomatisasi untuk triase

Untuk setiap pemberitahuan, gunakan otomatisasi agentik, yang menggabungkan playbook deterministik yang telah ditentukan sebelumnya dengan agen AI dinamis, seperti Agen Triase dan Investigasi Gemini. Agen ini mengotomatiskan analisis mendalam awal, yang sering kali memadatkan pekerjaan manual selama 15-20 menit menjadi jangka waktu yang jauh lebih singkat.

Fitur utama:

• Pengurutan otomatisasi: Konfigurasi playbook sehingga playbook perbaikan (misalnya, isolasi host atau penangguhan akun) otomatis dimulai berdasarkan output Agen Triase dan Investigasi Gemini dan dapat segera bertindak dalam kasus penting.
• Respons adaptif: Gunakan output yang dihasilkan AI (seperti skor risiko, atau putusan seperti True Positive) sebagai kondisi dalam playbook untuk memicu jalur respons otomatis yang berbeda. Misalnya, mengisolasi host secara otomatis jika hasilnya adalah Malicious, tetapi hanya menandai untuk ditinjau jika hasilnya adalah Suspicious. Anda dapat menggunakan putusan atau skor risiko untuk menaikkan prioritas atau mengeskalasikan kasus. Misalnya, eskalasikan ke tingkat yang lebih tinggi, atau kirim pesan kepada penerima tugas.
• Rekonstruksi pohon proses: Agen triase dapat membuat linimasa visual aktivitas sistem, sehingga membantu analis memahami rantai serangan, hubungan proses induk-turunan, dan pergerakan lateral secara instan.

Menggunakan playbook untuk triase cepat dan tindakan yang konsisten

Di halaman Kasus, gunakan Playbook bawaan dan kustom. Playbook mengodifikasi prosedur operasi standar (SOP) ke dalam alur kerja otomatis, sehingga meminimalkan upaya manual dan memastikan konsistensi.

Kemampuan utama playbook:

• Pengayaan otomatis: Banyak playbook otomatis memperkaya notifikasi dengan intelijen ancaman dari sumber seperti VirusTotal, CrowdStrike, dan feed ancaman internal, sehingga memberikan konteks langsung tentang indikator gangguan (IoC) seperti hash, alamat IP, dan domain.
• Titik keputusan terpandu: Playbook dapat dijeda dan menyajikan pertanyaan ya-tidak, pertanyaan pilihan ganda, atau perintah bersyarat kepada analis—misalnya, "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
• Intervensi manual yang terkontrol: Untuk tindakan sensitif, playbook dapat menyertakan langkah-langkah persetujuan manual. Hal ini memungkinkan analis meninjau tindakan yang diusulkan (misalnya, mengisolasi host, meledakkan file di sandbox, atau memblokir alamat IP) sebelum dieksekusi.
• Pengelolaan kasus otomatis: Playbook dapat mengotomatiskan perutean kasus ke tim khusus berdasarkan temuan dan menutup otomatis pemberitahuan yang dikonfirmasi sebagai tidak berbahaya atau informatif, sehingga antrean aktif tetap berfokus pada ancaman yang dapat ditindaklanjuti.

Cara analis menggunakan playbook untuk perjalanan ini:

• Respons standar: Memastikan semua pemberitahuan jenis tertentu (misalnya, phishing, atau ransomware) ditangani sesuai dengan SOP organisasi yang telah ditetapkan.
• Pengurangan derau: Secara otomatis memfilter atau menyelesaikan pemberitahuan fidelitas rendah berdasarkan logika yang telah ditentukan sebelumnya.
• Mengurangi toil: Mengotomatiskan tugas yang memakan waktu seperti pengumpulan data, korelasi log, dan pengayaan entitas.
• Otomatisasi agentic dalam tindakan: Menggabungkan kecepatan analisis agen AI dengan keandalan playbook deterministik.
• Langkah Agentic: playbook dapat memanfaatkan integrasi Vertex AI untuk membangun aliran kerja yang dikurasi dan didukung oleh Gemini untuk membantu penyelidikan.

Manfaat: Menyederhanakan proses triase, menerapkan respons yang konsisten, mengurangi tugas berulang, dan memungkinkan analis menangani ancaman yang lebih kompleks secara efektif.

Contoh skenario yang memerlukan perhatian segera

Bagian ini berisi contoh skenario yang memerlukan perhatian segera.

Memulai perbaikan otomatis

Anda melihat pemberitahuan prioritas Kritis di halaman Kasus untuk Suspicious PowerShell Execution.

Playbook yang ditautkan menunjukkan bahwa Agen Triase Gemini berjalan, menampilkan putusan True Positive dengan tingkat keyakinan yang tinggi, dan akibatnya, playbook secara otomatis memicu tindakan Isolate Host, yang kini menunggu persetujuan atau telah selesai.

Hal ini memerlukan peninjauan segera atas temuan agen dan status isolasi.

Keputusan manual yang dibantu AI

Anda memfilter antrean Kasus untuk Prioritas: Kritis.

Saat Anda membuka kasus, Anda akan melihat playbook dijeda pada pertanyaan ya-tidak, yang menanyakan apakah kasus harus diekskalasikan atau ditutup.

Anda meninjau ringkasan Agen Triase dan Investigasi Gemini, yang menyatakan Sangat Mungkin Positif Benar dengan alasan mendetail yang mengutip indikator berbahaya tertentu.

Anda dengan yakin memilih Eskalasi ke Tingkat 2.

Pemecahan masalah

Latensi, kuota layanan, dan batas

• Kuota agen triase: Agen Triase dan Investigasi Gemini tunduk pada kuota, biasanya sekitar 10 investigasi per jam per tenant (misalnya, 5 pemicu manual, 5 pemicu otomatis). Peringatan yang melebihi batas ini memerlukan triase manual.

Perbaikan error

Kode error	Deskripsi masalah	Perbaikan
T/A	Item mendesak yang diharapkan tidak ada di antrean Kasus Saya atau Kasus.	Pastikan aturan Alerting diaktifkan untuk deteksi yang relevan. Verifikasi bahwa kasus ditetapkan dengan benar kepada pengguna atau peran Anda, dan periksa apakah ada filter pembatasan yang diterapkan secara tidak sengaja ke antrean.
T/A	Ringkasan Gemini tidak ada.	Periksa status Gemini Investigations di repositori kasus. Jika kuota tercapai, Anda akan melihat pesan yang menunjukkan bahwa agen tidak dapat dipicu.

Validasi dan pengujian

Untuk memvalidasi bahwa proses berfungsi, konfirmasi bahwa:

• Pemberitahuan Tinggi dan Kritis muncul seperti yang diharapkan berdasarkan filter.
• Playbook dipicu saat ada pemberitahuan baru.
• Ringkasan Agent Penilai Tingkat Prioritas dan Penyelidikan Gemini ada di tempat yang diharapkan.
• Kasus dieskalasikan atau ditutup berdasarkan logika playbook dan keputusan analis.

Gejala	Resolusi
Item mendesak yang diharapkan tidak ada di antrean Kasus Saya atau Kasus.	Pastikan aturan Alerting diaktifkan untuk deteksi yang relevan. Verifikasi bahwa kasus ditetapkan dengan benar kepada pengguna atau peran Anda, dan periksa apakah ada filter pembatasan yang diterapkan secara tidak sengaja ke antrean.
Ringkasan Gemini tidak ada.	Periksa status Gemini Investigations di repositori kasus. Jika kuota tercapai, Anda akan melihat pesan yang menunjukkan bahwa agen tidak dapat dipicu.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.