Gestire le richieste e rispondere

Questa guida aiuta gli analisti della sicurezza a identificare e dare la priorità in modo efficiente alle richieste e agli avvisi di sicurezza che richiedono un'attenzione immediata. Spiega come utilizzare le funzionalità di Google Security Operations, tra cui visualizzazioni personalizzate, automazione, triage basato sull'AI e playbook. Seguendo questo metodo, gli analisti possono ridurre il rumore, accelerare i tempi di risposta e concentrare i propri sforzi sui veri positivi che rappresentano il rischio maggiore. Il completamento con esito positivo garantisce la mitigazione tempestiva delle minacce critiche.

Caso d'uso comune

• Obiettivo: identificare in modo efficiente gli avvisi e le richieste ad alto rischio in un grande volume di dati di sicurezza utilizzando l'automazione e l'AI.
• Valore: garantisce una risposta rapida alle minacce critiche, riducendo al minimo l'impatto potenziale.

Prima di iniziare

• Autorizzazioni: assicurati di disporre delle autorizzazioni necessarie in Google SecOps per accedere a Richieste, La tua scrivania ed eseguire Playbook. Potrebbero essere necessari ruoli IAM specifici, ad esempio:

  • Amministratore API Chronicle
  • Editor API Chronicle
  • Visualizzatore API Chronicle
  • Visualizzatore API Chronicle limitato

Determinare quali richieste e avvisi richiedono un'attenzione immediata

Questa sezione descrive i passaggi sequenziali per determinare l'urgenza.

Monitorare le code personalizzate e applicare filtri rigorosi

Il seguente approccio garantisce che tu veda sia gli elementi che richiedono la tua attenzione specifica sia il pool complessivo di incidenti ad alto rischio, fornendo una visibilità immediata sugli eventi di maggiore impatto.

1. Nella piattaforma Google SecOps, seleziona La tua scrivania > Le mie richieste. Questa visualizzazione mostra le richieste assegnate direttamente a te o al tuo ruolo di analista.
2. Apri la pagina principale Richieste e poi fai clic su Filtro richieste.
3. Filtra i risultati con livelli di priorità Critica e Alta. Assicurati di salvare questi filtri in modo da poterli recuperare facilmente.

Sfruttare l'AI e l'automazione per il triage

Per qualsiasi avviso, utilizza l'automazione agentica, che combina playbook deterministici e predefiniti con agenti AI dinamici, come l'agente di triage e indagine di Gemini. Questo agente automatizza l'analisi approfondita iniziale, spesso condensando 15-20 minuti di lavoro manuale in un periodo di tempo molto più breve.

Funzionalità principali:

• Sequenza di automazione: configura i playbook in modo che un playbook di correzione (ad esempio, isolamento dell'host o sospensione dell'account) venga avviato automaticamente in base all'output dell'agente di triage e indagine di Gemini e possa agire immediatamente sulle richieste importanti.
• Risposte adattive: utilizza gli output generati dall'AI (ad esempio, punteggi di rischio o verdetti come True Positive) come condizioni all'interno dei playbook per attivare diversi percorsi di risposta automatizzati. Ad esempio, isola automaticamente un host se il verdetto è Malicious, ma contrassegnalo solo per la revisione se Suspicious. Puoi utilizzare il verdetto o il punteggio di rischio per aumentare la priorità o riassegnare la richiesta. Ad esempio, riassegna la richiesta a un livello superiore o invia un messaggio all'assegnatario.
• Ricostruzione dell'albero dei processi: l'agente di triage può generare una sequenza temporale visiva dell'attività di sistema, aiutando gli analisti a comprendere immediatamente la catena di attacco, le relazioni tra processi padre-figlio e il movimento laterale.

Utilizzare i playbook per un triage rapido e un'azione coerente

Nella pagina Richieste, utilizza i Playbook predefiniti e personalizzati. I playbook codificano le procedure operative standard (POS) in flussi di lavoro automatizzati, riducendo al minimo l'impegno manuale e garantendo la coerenza.

Funzionalità principali dei playbook:

• Arricchimento automatico: molti playbook arricchiscono automaticamente gli avvisi con threat intelligence provenienti da fonti come VirusTotal, CrowdStrike e feed di minacce interni, fornendo un contesto immediato sugli indicatori di compromissione (IoC) come hash, indirizzi IP e domini.
• Punti decisionali guidati: i playbook possono mettere in pausa e presentare agli analisti domande con risposta sì/no, domande a scelta multipla o prompt condizionali, ad esempio "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring".
• Intervento manuale controllato: per le azioni sensibili, i playbook possono includere passaggi di approvazione manuale. In questo modo gli analisti possono esaminare le azioni proposte (ad esempio, isolare l'host, eseguire il file in sandbox o bloccare l'indirizzo IP) prima dell'esecuzione.
• Gestione automatizzata delle richieste: i playbook possono automatizzare il routing delle richieste a team specializzati in base ai risultati e chiudere automaticamente gli avvisi confermati come benigni o informativi, mantenendo la coda attiva concentrata sulle minacce su cui è possibile intervenire.

In che modo gli analisti utilizzano i playbook per questo percorso:

• Risposta standardizzata: garantisce che tutti gli avvisi di un tipo specifico (ad esempio, phishing o ransomware) vengano gestiti in base alle POS organizzative stabilite.
• Riduzione del rumore: filtra o risolve automaticamente gli avvisi a bassa fedeltà in base a una logica predefinita.
• Riduzione del lavoro manuale: automatizza attività dispendiose in termini di tempo come la raccolta dei dati, la correlazione dei log e l'arricchimento delle entità.
• Automazione agentica in azione: combina la velocità analitica degli agenti AI con l'affidabilità dei playbook deterministici.
• Passaggio agentico: i playbook possono sfruttare l'integrazione di Vertex AI per creare un flusso di lavoro curato basato su Gemini per facilitare l'indagine.

Vantaggio: semplifica il processo di triage, applica risposte coerenti, riduce le attività ripetitive e consente agli analisti di gestire in modo efficace le minacce più complesse.

Esempi di scenari che richiedono un'attenzione immediata

Questa sezione contiene esempi di scenari che richiedono un'attenzione immediata.

Avvio della correzione automatica

Nella pagina Richieste viene visualizzato un avviso con priorità Critica per Suspicious PowerShell Execution.

Il playbook collegato mostra che l'agente di triage di Gemini è stato eseguito, ha restituito un verdetto True Positive con un'alta affidabilità e, di conseguenza, il playbook ha attivato automaticamente un'azione Isola host, che ora è in attesa di approvazione o è stata completata.

È necessario esaminare immediatamente i risultati dell'agente e lo stato di isolamento.

Decisione manuale assistita dall'AI

Filtra la coda Richieste per Priorità: critica.

Quando apri una richiesta, scopri che un playbook è in pausa a una domanda con risposta sì/no, che chiede se riassegnare la richiesta o chiuderla.

Esamina il riepilogo dell'agente di triage e indagine di Gemini, che indica True Positive altamente probabile con una motivazione dettagliata che cita indicatori dannosi specifici.

Seleziona con sicurezza Riassegna la richiesta al Livello 2.

Risoluzione dei problemi

Latenza, quota di servizio e limiti

• Quota dell'agente di triage: l'agente di triage e indagine di Gemini è soggetto a una quota, in genere circa 10 indagini all'ora per tenant (ad esempio, 5 trigger manuali, 5 trigger automatici). Gli avvisi che superano questo limite richiedono un triage manuale.

Correzione degli errori

Codice di errore	Descrizione del problema	Correggi
N/D	Gli elementi urgenti previsti non sono presenti nella coda Le mie richieste o Richieste.	Assicurati che la regola Alerting sia ATTIVATA per i rilevamenti pertinenti. Verifica che le richieste siano assegnate correttamente al tuo utente o ruolo e controlla che non siano stati applicati inavvertitamente filtri restrittivi alla coda.
N/D	Manca il riepilogo di Gemini.	Controlla lo stato di Gemini Investigations nella bacheca richieste. Se la quota è stata raggiunta, vedrai un messaggio che indica che non è stato possibile attivare l'agente.

Convalida e test

Per verificare che il processo funzioni, conferma che:

• Gli avvisi con gravità Alta e Critica vengono visualizzati come previsto in base ai filtri.
• I playbook vengono attivati per i nuovi avvisi.
• I riepiloghi dell'agente di triage e indagine di Gemini sono presenti dove previsto.
• Le richieste vengono riassegnate o chiuse in base alla logica del playbook e alle decisioni dell'analista.

Sintomo	Risoluzione
Gli elementi urgenti previsti non sono presenti nella coda Le mie richieste o Richieste.	Assicurati che la regola Alerting sia ATTIVATA per i rilevamenti pertinenti. Verifica che le richieste siano assegnate correttamente al tuo utente o ruolo e controlla che non siano stati applicati inavvertitamente filtri restrittivi alla coda.
Manca il riepilogo di Gemini.	Controlla lo stato di Gemini Investigations nella bacheca richieste. Se la quota è stata raggiunta, vedrai un messaggio che indica che non è stato possibile attivare l'agente.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.