Now Assistパネルから AI エージェントとチャットして、セキュリティアナリストがどの程度効率的にセキュリティインシデント解決に取り組んでいるかを把握できます。
始める前に
必要なロール:sn_si.manager
手順
-
インスタンス内の任意の場所から Now Assist アイコン (
を選択します。
Now Assistパネルが表示されます。
-
Now Assistパネルで [Security Operations メトリクスの分析] を選択します。
-
プロンプトで、[ セキュリティインシデントメトリクスの分析] を選択します。
セキュリティオペレーションメトリクスの分析エージェント型ワークフローケースはオンデマンドです。任意のクエリを自然言語で入力できますが、次の表で説明されているプロンプトと手順を使用して、利用可能なメトリクスデータとその操作について理解することを検討してください。
| 要求または応答 |
説明 |
セキュリティアナリストグループの 1 つの名前を入力し、メトリクスを要求します。例:
- L1 アナリストチームのセキュリティオペレーションの測定基準を分析します。
- 過去 6 か月間の L1 アナリストチームのセキュリティメトリクス。
- 先月のL1アナリストチームのパフォーマンスはいかがでしたか?
|
チームを名前で指定し、期間を指定します。 |
| セッションを終了するか、 停止します。 |
会話を終了します。 |
プロンプトのアサイン先グループ、日付、およびその他の情報を参照できるように、 セキュリティインシデントレスポンス ワークスペースを別のタブで開くことをお勧めします。
新しいチャットを開始するまで、会話は保存されます。新しいチャットを開始するには、[新規チャット] アイコン ( ![[新規チャット] アイコン)](data:image/png;base64,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)
を選択します。
要求が繰り返され、詳細情報とともにハイライト表示されたテキストに表示されます。
しばらくすると、特定のアナリストまたはアナリストグループに関する詳細情報を入力するように求められます。
-
アサイン先グループ名を入力します ( 例:L1 アナリストチーム)。
-
プロンプトで、時間範囲 (過去 6 か月など) を入力します。
平均解決時間 (MTTR)、平均アサイン時間 (MTTA)、およびチームが処理したセキュリティインシデントの合計数の結果が表示されます。詳細については、リンクを選択してください。UI16 で新しいタブが開き、リストが表示されます。
-
[ ソース] リストを展開し、[ セキュリティインシデントリスト ] リンクを選択します。
L1 アナリストグループにアサインされているセキュリティインシデントのリストが、UI 16 の新しいタブに表示されます。リストの上部に、要求した日付範囲 (
6 か月) が次の形式で表示されます。
オープン> = 2024-09-23 >オープン< = 2025-03-23。MTTR、MTTA、またはケースボリュームの詳細な分析を表示するかどうかを確認するプロンプトが表示されます。
このリストから、個々のセキュリティインシデントを開いて確認するためのリンクを選択できます。AI エージェントが要約できるように、チャットのリストからレコード番号を入力できます。
-
チャットに戻り、パフォーマンスメトリクスの要求を自然言語で入力します ( 例:はい、MTTR について詳しく掘り下げます)。
セキュリティインシデントのフィールドのセクションに整理されたサマリーとデータを含む、要求に関する詳細情報が提供されます。
- カテゴリ分析:カテゴリ別のブレークダウン。例としては、 不正アクセス、未パッチの脆弱性、 誤検出などがあります。
- 優先度分析:重大度別ブレークダウン:重大、高、中。
- チーム分析:チーム個々のメンバー別の MTTR のブレークダウン。
- 外れ値分析:異常に高い、低い、またはその他の一意の値を持つセキュリティインシデントのブレークダウン。
-
プロンプトで、改善提案の要求に対して肯定的な回答を入力します。
提案が表示されます。アセスメントの結果に基づいて、特定のタイプのセキュリティインシデントに関する詳細情報を検索することができます。
-
たとえば、プロンプトで、ステータスが [分析] のフィッシングカテゴリのすべてのセキュリティインシデントに対して自然言語で要求します。
-
[ 結果を表示 ] リンクを選択します。
要求に一致するセキュリティインシデントのリストが、UI16 の新しいタブに表示されます。
このリストから、個々のインシデントを開き、AI エージェントにサマリーを要求できます。
- オプション:
メトリクス分析に使用されるソースフィールドのシステムプロパティと外れ値の値を変更します。
- sn_sec_gen_ai.aia_metric_analysis_dimensions:AI エージェントは、MTTR および MTTA メトリクスを分析するときに、 カテゴリ、 優先度、 close_code、 assigned_to、 alert_sensorフィールドに基づいて分析を分類します。sn_si.manager および sn_si.admin ロールを持つユーザーは、このリストを変更できます。
- sn_sec_gen_ai.aia_metric_analysis_outlier_factor:このプロパティは、MTTR と MTTA の外れ値係数を決定します。デフォルトの外れ値は 2 です。デフォルトでは、その MTTR が、要求した時間範囲でアサイン先グループがセキュリティインシデントを解決するのに要する平均時間の 2 倍を超える場合、レコードは外れ値です。sn_si.manager および sn_si.admin ロールを持つユーザーは、この値を変更できます。