对支持请求进行分类并做出响应

本指南可帮助安全分析师高效识别需要立即关注的支持请求和安全提醒，并确定其优先级。它介绍了如何使用 Google Security Operations 功能，包括个性化视图、自动化、AI 赋能的分类和 playbook。通过这种方法，分析师可以减少噪声，缩短响应时间，并将分析师的工作重点放在风险最高的真正例上。成功完成可确保及时缓解关键威胁。

常见用例

• 目标：利用自动化和 AI，在大量安全数据中高效识别高风险提醒和支持请求。
• 价值：确保快速响应关键威胁，最大限度减少潜在影响。

准备工作

• 权限：确保您在 Google SecOps 中拥有访问支持请求、工作台以及执行playbook所需的权限。可能需要特定的 IAM 角色，例如：

  • Chronicle API Admin
  • Chronicle API Editor
  • Chronicle API Viewer
  • Chronicle API Limited Viewer

确定哪些支持请求和提醒需要立即关注

本部分介绍了确定紧急程度的顺序步骤。

监控个性化队列并应用严格的过滤条件

以下方法可确保您看到需要特别关注的项目以及所有高风险突发事件，从而立即了解影响最大的事件。

1. 在 Google SecOps 平台上，依次选择工作台 > 我的支持请求 。此视图会显示直接分配给您或您的分析师角色的支持请求。
2. 打开主支持请求 页面，然后点击支持请求过滤条件 。
3. 按严重 和高 优先级过滤发现结果。请务必保存这些过滤条件，以便日后轻松返回。

利用 AI 和自动化进行分类

对于任何提醒，请使用 智能体自动化，它将确定性预定义 playbook 与动态 AI 智能体（例如 Gemini 分类和调查智能体 ）相结合。此智能体可自动执行初始深度分析，通常可将 15-20 分钟的手动工作缩短到更短的时间内。

主要功能:

• 自动化排序：配置 playbook，以便修复 playbook（例如主机隔离或账号中止）根据 Gemini 分类和调查智能体的输出自动启动，并可以立即对重要支持请求采取行动。
• 自适应响应：在 playbook 中使用 AI 生成的输出（例如风险评分或 True Positive 等判定结果）作为条件，以触发不同的自动响应路径。例如，如果判定结果为 Malicious，则自动隔离主机，但如果判定结果为 Suspicious，则仅标记以供审核。您可以使用判定结果或风险评分来提高优先级或升级支持请求。例如，上报到更高级别，或向分配对象发送消息。
• 进程树重建：分类智能体可以生成系统活动的可视时间轴，帮助分析师立即了解攻击链、父子进程关系和横向移动。

使用 playbook 进行快速分类和一致操作

在支持请求 页面上，使用预构建和自定义的 playbook 。Playbook 将标准操作程序 (SOP) 编入自动化工作流，最大限度减少手动操作并确保一致性。

主要 playbook 功能:

• 自动扩充：许多 playbook 会自动使用来自 VirusTotal、CrowdStrike 和内部威胁 Feed 等来源的威胁情报来扩充提醒，从而立即提供有关失陷指标 (IoC)（例如哈希值、IP 地址和网域）的背景信息。
• 引导式决策点：Playbook 可以暂停并向分析师提供“是/否”问题、多项选择题或条件提示，例如"Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring"。
• 受控手动干预：对于敏感操作，playbook 可以包含手动审批步骤。这样，分析师就可以在执行之前审核建议的操作（例如隔离主机、在沙盒中引爆文件或屏蔽 IP 地址）。
• 自动化案例管理：Playbook 可以根据发现结果自动将案例路由给专门的团队，并自动关闭确认为良性或信息性的提醒，从而使活跃队列专注于可操作的威胁。

分析师如何使用 playbook 来完成此流程：

• 标准化响应：确保根据已建立的组织 SOP 处理特定类型的所有提醒（例如钓鱼式攻击或勒索软件）。
• 降噪：根据预定义的逻辑自动过滤掉或解决低保真度提醒。
• 减少重复性工作：自动执行耗时的任务，例如数据收集、日志关联和实体扩充。
• 智能体自动化实际应用：将 AI 智能体的分析速度与确定性 playbook 的可靠性相结合。
• 智能体步骤：playbook 可以利用 Vertex AI 集成来构建由 Gemini 提供支持的精选工作流，以帮助进行调查。

优势：简化分类流程，强制执行一致的响应，减少重复性任务，并让分析师能够有效地处理更复杂的威胁。

需要立即关注的场景示例

本部分包含需要立即关注的场景示例。

自动启动修复

您会在支持请求 页面上看到针对 Suspicious PowerShell Execution 的严重 优先级提醒。

关联的 playbook 表明 Gemini 分类智能体已运行，并以高置信度返回 True Positive 判定结果，因此，playbook 会自动触发隔离主机 操作，该操作现在处于待审批或已完成状态。

这需要立即审核智能体的发现结果和隔离状态。

AI 辅助手动决策

您按优先级：严重 过滤支持请求 队列。

打开支持请求后，您会发现 playbook 已暂停，并显示一个“是/否”问题，询问是否升级或关闭支持请求。

您查看 Gemini 分类和调查智能体的摘要，其中指出极有可能是误报 ，并提供了详细的理由，列出了具体的恶意指标。

您自信地选择升级到第 2 层 。

问题排查

延迟时间、服务配额和限制

• 分类智能体配额：Gemini 分类和调查智能体受配额限制，通常每个租户每小时约 10 次调查（例如 5 次手动触发，5 次自动触发）。超出此限制的提醒需要手动分类。

错误修复

错误代码	问题说明	修复
无	“我的支持请求”或“支持请求”队列中缺少预期的紧急项目。	确保为相关检测开启了 Alerting 规则。验证支持请求是否正确分配给您的用户或角色，并检查队列中是否无意中应用了限制性过滤条件。
无	缺少 Gemini 摘要。	在支持请求墙中检查 Gemini Investigations 状态。如果达到配额，您会看到一条消息，指出无法触发智能体。

验证和测试

如需验证该流程是否正常运行，请确认：

• 严重和高优先级提醒按预期显示（根据过滤条件）。
• 系统会针对新提醒触发 playbook。
• Gemini 分类和调查智能体摘要在预期位置显示。
• 系统会根据 playbook 逻辑和分析师的决策升级或关闭支持请求。

症状	解决方案
“我的支持请求”或“支持请求”队列中缺少预期的紧急项目。	确保为相关检测开启了 Alerting 规则。验证支持请求是否正确分配给您的用户或角色，并检查队列中是否无意中应用了限制性过滤条件。
缺少 Gemini 摘要。	在支持请求墙中检查 Gemini Investigations 状态。如果达到配额，您会看到一条消息，指出无法触发智能体。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。