Now Assistパネルから相関に関するインサイトを生成すると、過去のイベントを作業中のセキュリティインシデントに関連付けるのに役立ちます。
始める前に
必要なロール:sn_si.analyst、sn_si.manager、または sn_si.basic
手順
-
移動先 をクリックし、自分に割り当てられているセキュリティインシデントを開きます。
-
または、 従来 UI (UI16) で、セキュリティインシデント [sn_si_incident] テーブルでセキュリティインシデントを見つけて開きます。
-
上部のヘッダーにある Now Assist アイコン (
を選択して、[ Now Assist ] パネルを開きます。
-
[相関インサイトの生成] を選択します。
相関インサイトは、次の値の 1 つ以上が一致する場合に生成されます。インサイトの基礎となる次のフィルターが [
Now Assist ] パネルに表示されます。他のセキュリティインシデントに一致するフィルターのみが表示されます。
注: セキュリティインシデントレコードを開いていない場合は、[ 相関インサイトを生成] を選択した後、セキュリティインシデントレコードの番号を入力するように求められます。
- 構成アイテム (CI):特定のシステムの潜在的な脆弱性を特定するのに役立つ、同じ CI を持つレコード。たとえば、ユーザーのラップトップなどです。
- 影響を受けるユーザー:同じユーザーを持つ過去のインシデント。これにより、頻繁なフィッシング試行や複数の不正なアクセス試行などのパターンを確認できます。たとえば、特定のユーザーの名前などです。
- 観測事象:進行中の潜在的な攻撃や悪意のあるインフラストラクチャの繰り返しの使用を示唆する共有観測事象によってリンクされているレコード。例としては、IP アドレス、URL、ファイルハッシュなどがあります。観測事象の正確な値 (完全なファイルハッシュなど) を入力する必要があります。
これらのフィルターのいずれにも一致するデータが存在しない場合、何も表示されません。作業しているセキュリティインシデントにこれらの値の 1 つを追加して保存し、パネルで会話をリセットして再試行するように求められます。
-
会話をリセットするには、パネルの Now Assist [その他のオプション] メニューアイコン (
![[その他のオプション] メニューアイコン)](data:image/png;base64,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)
を選択し、[ 会話をリセット] を選択します。
-
フィルターを選択します。
一致する結果が Now Assist パネルに表示されます。
次の例では、 構成アイテム が要求されています。検索により、高レベルのサマリーと、一致する構成アイテムがあるレコードへのリンクが返されました。
結果は、セキュリティインシデントレコード (SIR)、インシデント (INC)、変更要求 (CHG)、問題 (PRB)、脆弱性一致アイテム (VIT) のレコードタイプ別にグループ化されます。
- 影響を受けるユーザーフィルターは、SIR、INC、および CHG レコードを返します。
- 構成フィルターアイテムは、SIR、INC、CHG、PRB、および VIT レコードを返します。
- [観測事象] フィルターは SIR レコードを返します。
- オプション:
次の手順に従って、クエリの 30 日間の制限を変更します。
-
セキュリティインシデントマネージャーロール [sn_si.manager] を持つユーザーとして、[sys_properties] に移動します。リスト。
-
相関ルックバック期間 [sn_sec_gen_ai.correlation_lookback_period] システムプロパティを見つけて、レコードを開きます。
-
[ 値 ] フィールドに最大 360 の数値を入力します。
-
レコードを保存します
-
セキュリティインシデントレコードに戻り、ページを更新します。