Gerar informações de correlação com Now Assist para Resposta a incidentes de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Gere informações de correlação no painel Now Assist para ajudá-lo a conectar eventos anteriores ao incidente de segurança no qual você está trabalhando. Você pode usar as informações relacionadas geradas para evitar a duplicação de sua investigação sobre usuários afetados, itens de configuração e observáveis e ajudar a resolver o incidente no qual você está trabalhando mais rapidamente.

    Antes de Iniciar

    A habilidade de geração de informações de correlação deve ser ativada antes que você possa ver a opção Gerar informações de correlação no painel Now Assist.

    Se você não vir o painel Now Assist, deverá ativá-lo. Para obter mais informações, consulte Turn on the Now Assist panel.

    Para obter mais informações sobre pesquisas de informações de correlação, consulte Explorando informações de correlação com Now Assist para Resposta a incidentes de segurança.

    Funções necessárias: sn_si.analyst, sn_si.manager ou sn_si.basic

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Espaço de resposta a incidentes de segurança e abra um incidente de segurança atribuído a você.
    2. Como alternativa, na IU legado (UI16), localize um incidente de segurança na tabela Incidentes de segurança [sn_si_incident] e abra-o.
    3. Selecione o ícone Now Assist ( ícone do AI Sparkle) no cabeçalho superior para abrir o painel Now Assist.
    4. Selecione Gerar informações de correlação.
      As informações de correlação serão geradas se um ou mais dos valores a seguir puderem ser correspondidos. Os filtros a seguir para basear suas informações são exibidos no painel Now Assist. Somente os filtros que têm correspondências com outros incidentes de segurança são exibidos.
      Nota:
      Se você não tiver um registro de incidente de segurança aberto, será solicitado a inserir o número de um registro de incidente de segurança depois de selecionar Gerar informações de correlação.
      • Item de configuração (IC): registros que têm o mesmo IC para ajudar a identificar possíveis vulnerabilidades em sistemas específicos. Um exemplo pode ser o laptop de um usuário.
      • Usuário afetado: incidentes anteriores que têm o mesmo usuário para ajudá-lo a ver padrões como tentativas frequentes de phishing ou várias tentativas de acesso não autorizado. Um exemplo é o nome de um usuário específico.
      • Observáveis: registros vinculados por observáveis compartilhados que sugerem possíveis ataques contínuos ou uso repetido de infraestrutura mal-intencionada. Os exemplos podem incluir endereços IP, URLs ou hashes de arquivo. Observe que você deve inserir um valor exato para um observável, por exemplo, um hash de arquivo completo.

      Se não houver dados correspondentes para qualquer um desses filtros, nenhum será exibido. Você será solicitado a adicionar um desses valores ao incidente de segurança no qual está trabalhando, salvá-lo, redefinir sua conversa no painel e tentar novamente.

    5. Para redefinir sua conversa, selecione o ícone do menu de redefinição Now Assist ( Menu Redefinir.) no painel e selecione Redefinir conversa.
    6. Selecione um filtro.

      Os resultados correspondentes são exibidos no painel Now Assist.

      No exemplo a seguir, o item de configuração foi solicitado. A pesquisa retornou um resumo de alto nível e links para registros que têm um item de configuração correspondente.

      Os resultados são agrupados por tipo de registro: registro de incidente de segurança (SIR), incidente (INC), solicitação de mudança (CHG), problema (PRB) e item vulnerável (VIT).
      • O filtro Usuários afetados retorna: registros SIR, INC e CHG.
      • O item de filtro Configuração retorna: registros SIR, INC, CHG, PRB e VIT.
      • O filtro Observáveis retorna registros SIR.
      Painel do Now Assist com registros retornados de um item de configuração para informações de correlação
    7. Opcional: Para modificar o limite de 30 dias da consulta, siga estas etapas:
      1. Como um usuário com a função de gerente de incidentes de segurança [sn_si.manager], navegue até sys_properties.LIST.
      2. Localize a propriedade do sistema Período de lookback de correlação [sn_sec_gen_ai.correlation_lookback_period] e abra o registro.
      3. Insira um número no campo Valor até 360.
      4. Salve o registro.
      5. Retorne ao registro do incidente de segurança e atualize a página.