優先處理案件並採取因應措施

本指南可協助資安分析師有效找出並優先處理需要立即處理的案件和安全快訊。並說明如何使用 Google Security Operations 功能，包括個人化檢視畫面、自動化、AI 輔助分類和應對手冊。分析師可採用這種方法減少雜訊、縮短回應時間，並將精力集中在風險最高的真正陽性結果。成功完成後，就能及時緩解重大威脅。

常見用途

• 目標：運用自動化和 AI 技術，從大量安全資料中有效找出高風險快訊和案件。
• 價值：確保能快速回應重大威脅，盡量減少潛在影響。

事前準備

• 權限：確認您在 Google SecOps 中具備必要權限，可存取「案件」、「工作台」，以及執行「劇本」。可能需要特定 IAM 角色，例如：

  • Chronicle API Admin
  • Chronicle API 編輯者
  • Chronicle API 檢視者
  • Chronicle API 有限檢視者

判斷哪些案件和警示需要立即處理

本節說明判斷緊急程度的步驟。

監控個人化佇列並套用嚴格的篩選器

這個方法可確保您能看到需要特別注意的項目，以及整體高風險事件集區，立即掌握影響最大的事件。

1. 在 Google SecOps 平台中，依序選取「Your Workdesk」(你的工作區) >「My Cases」(我的案件)。這個檢視畫面會顯示直接指派給您或分析師角色的案件。
2. 開啟主要的「案件」頁面，然後按一下「案件篩選器」。
3. 篩選優先順序為「重大」和「高」的發現項目。請務必儲存這些篩選器，方便日後返回。

運用 AI 和自動化功能進行分類

針對任何快訊，使用代理功能自動化，結合確定性預先定義的應對手冊與動態 AI 代理，例如 Gemini 分類和調查代理。這個代理程式會自動執行初步的深入分析，通常能將 15 到 20 分鐘的手動工作縮短為更短的時間。

主要功能：

• 自動化排序：設定應對手冊，讓系統根據 Gemini 分類和調查代理程式的輸出內容，自動啟動補救應對手冊 (例如主機隔離或帳戶停權)，並立即處理重要案件。
• 適應性回應：在應對手冊中使用 AI 生成的輸出內容 (例如風險分數或 True Positive 等判決) 做為條件，觸發不同的自動回應路徑。舉例來說，如果結果為 Malicious，則自動隔離主機，但如果結果為 Suspicious，則只標記以供審查。您可以根據判決結果或風險分數，提高優先順序或呈報案件。例如提報給更高層級，或傳送訊息給指派對象。
• 程序樹狀結構重建：分流代理程式可以產生系統活動的視覺化時間軸，協助分析師立即瞭解攻擊鏈、父子程序關係和橫向移動。

使用應對手冊快速分類，並採取一致的行動

在「案件」頁面，使用預建和自訂的「劇本」。應對手冊會將標準作業程序 (SOP) 編寫進自動化工作流程，盡量減少手動作業並確保一致性。

主要劇本功能：

• 自動擴充：許多應對手冊會自動從 VirusTotal、CrowdStrike 和內部威脅動態饋給等來源，擴充警示的威脅情報，即時提供入侵指標 (IoC) 的背景資訊，例如雜湊、IP 位址和網域。
• 引導式決策點：劇本可以暫停，並向分析師顯示是非題、選擇題或條件式提示，例如 "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring"。
• 受控的手動介入：對於敏感動作，應對手冊可以包含手動核准步驟。分析師可先審查建議的動作 (例如隔離主機、在沙箱中引爆檔案，或封鎖 IP 位址)，再執行這些動作。
• 自動化案件管理：應對手冊可根據發現項目自動將案件轉送給專責團隊，並自動關閉確認為良性或僅供參考的警示，讓待處理佇列專注於可採取行動的威脅。

分析師如何使用教戰手冊完成這項歷程：

• 標準化回應：確保所有特定類型的快訊 (例如網路釣魚或勒索軟體) 都是根據既定的機構標準作業程序處理。
• 雜訊抑制：根據預先定義的邏輯，自動篩除或解決低精確度快訊。
• 減少手動作業：自動執行耗時的工作，例如收集資料、記錄相關性及實體擴充。
• 代理式自動化運作方式：結合 AI 代理的分析速度與確定性應對手冊的可靠性。
• 代理步驟：劇本可運用 Vertex AI 整合功能，建構由 Gemini 輔助的精選工作流程，協助進行調查。

優點：簡化分類程序、確保回覆內容一致、減少重複性工作，並讓分析師有效處理更複雜的威脅。

需要立即處理的情境示例

本節提供需要立即處理的情境範例。

自動啟動修復程序

您會在「案件」頁面上看到 Suspicious PowerShell Execution 的「重大」優先順序警示。

連結的應對手冊顯示 Gemini 判斷分流代理程式已執行，並傳回 True Positive 判斷結果 (信心指數高)，因此應對手冊自動觸發「隔離主機」動作，目前正在等待核准或已完成。

因此必須立即查看代理程式的發現項目和隔離狀態。

AI 輔助的手動決策

您會篩選「案件」佇列，找出「優先順序：緊急」的案件。

開啟案件時，您會發現應對手冊已暫停，並顯示是/否問題，詢問是否要將案件提報或結案。

您查看 Gemini Triage and Investigation Agent 的摘要，其中指出「極有可能是真陽性」，並詳細說明理由，列出具體的惡意指標。

您充滿信心地選取「呈報給第 2 層服務專員」。

疑難排解

延遲時間、服務配額和限制

• 分類代理配額：Gemini 分類與調查代理有配額限制，通常每個租戶每小時約可進行 10 項調查 (例如 5 次手動觸發，5 次自動觸發)。如果快訊超過這項限制，就必須手動分類。

錯誤修正

錯誤代碼	問題說明	修正
不適用	「我的案件」或「案件」佇列中缺少預期會出現的緊急項目。	確認相關偵測項目的規則 Alerting 已切換為開啟。確認案件已正確指派給使用者或角色，並檢查佇列是否不慎套用限制性篩選條件。
不適用	缺少「Gemini」摘要。	在案件總覽頁面中查看 Gemini Investigations 狀態。如果達到配額上限，系統會顯示訊息，指出無法觸發代理程式。

驗證和測試

如要驗證程序是否正常運作，請確認下列事項：

• 系統會根據篩選條件，如常顯示「高」和「重大」警報。
• 系統會在收到新快訊時觸發劇本。
• Gemini 分類與調查代理摘要會顯示在預期位置。
• 系統會根據劇本邏輯和分析師的決策，將案件提報或結案。

症狀	解決方法
「我的案件」或「案件」佇列中缺少預期會出現的緊急項目。	確認相關偵測項目的規則 Alerting 已切換為開啟。確認案件已正確指派給使用者或角色，並檢查佇列是否不慎套用限制性篩選條件。
缺少「Gemini」摘要。	在案件總覽頁面中查看 Gemini Investigations 狀態。如果達到配額上限，系統會顯示訊息，指出無法觸發代理程式。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。