Générer des aperçus de corrélation avec Now Assist pour Réponse aux incidents de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Générez des aperçus de corrélation à partir du Now Assist panneau pour vous aider à relier les événements passés à l’incident de sécurité sur lequel vous travaillez. Vous pouvez utiliser les informations connexes que vous générez pour éviter de dupliquer votre enquête sur les utilisateurs, les éléments de configuration et les observables affectés et vous aider à résoudre l’incident sur lequel vous travaillez plus rapidement.

    Avant de commencer

    La compétence de génération d’aperçus de corrélation doit être activée avant de pouvoir voir l’option Générer des aperçus de corrélation dans le Now Assist panneau.

    Si vous ne voyez pas le Now Assist panneau, vous devez l’activer. Pour plus d'informations, consultez Turn on the Now Assist panel.

    Pour plus d’informations sur les recherches d’aperçus de corrélation, reportez-vous à la section Explorer les aperçus de corrélation avec Now Assist pour Réponse aux incidents de sécurité.

    Rôles requis : sn_si.analyste, sn_si.manager ou sn_si.basic

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Espace de travail Réponse aux incidents de sécurité et ouvrez un incident de sécurité qui vous est affecté.
    2. Sinon, dans l’interface legacy utilisateur (UI16), localisez un incident de sécurité dans la table Incidents de sécurité [sn_si_incident] et ouvrez-le.
    3. Sélectionnez l’icône Now Assist ( icône Étincelle IA) dans l’en-tête supérieur pour ouvrir le Now Assist panneau.
    4. Sélectionnez Générer des aperçus de corrélation.
      Des aperçus de corrélation sont générés si une ou plusieurs des valeurs suivantes peuvent être mises en correspondance. Les filtres suivants sur lesquels baser vos idées s’affichent dans le Now Assist panneau. Seuls les filtres qui présentent des correspondances avec d’autres incidents de sécurité sont affichés.
      Remarque :
      Si aucun enregistrement d’incident de sécurité n’est ouvert, vous êtes invité à saisir le numéro d’un enregistrement d’incident de sécurité après avoir sélectionné Générer des aperçus de corrélation.
      • Élément de configuration (CI) : enregistrements qui ont le même CI pour vous aider à identifier les vulnérabilités potentielles dans des systèmes spécifiques. Un exemple pourrait être l’ordinateur portable d’un utilisateur.
      • Utilisateur affecté : incidents passés qui ont le même utilisateur pour vous aider à voir des schémas tels que des tentatives d’hameçonnage fréquentes ou plusieurs tentatives d’accès non autorisé. Un exemple est le nom d’un utilisateur spécifique.
      • Observables : enregistrements liés par des observables partagés qui suggèrent des attaques potentielles en cours ou l’utilisation répétée d’infrastructures malveillantes. Les exemples peuvent inclure des adresses IP, des URL ou des hachages de fichiers. Notez que vous devez saisir une valeur exacte pour un observable, par exemple, un hachage de fichier complet.

      Si aucune donnée correspondante n’existe pour l’un de ces filtres, aucune n’est affichée. Vous êtes invité à ajouter l’une de ces valeurs à l’incident de sécurité à partir duquel vous travaillez, à l’enregistrer, à réinitialiser votre conversation dans le panneau et à réessayer.

    5. Pour réinitialiser votre conversation, sélectionnez l’icône de Now Assist réinitialisation du menu ( Réinitialiser le menu.) dans le panneau, puis sélectionnez Réinitialiser la conversation.
    6. Sélectionnez un filtre.

      Les résultats correspondants sont affichés dans le Now Assist panneau.

      Dans l’exemple suivant, l’élément de configuration a été demandé. La recherche a renvoyé un résumé de haut niveau et des liens vers les enregistrements qui ont un élément de configuration correspondant.

      Les résultats sont regroupés par type d’enregistrement : enregistrement d’incident de sécurité (SIR), incident (INC), demande de changement (CHG), problème (PRB) et élément vulnérable (VIT).
      • Le filtre Utilisateurs affectés renvoie les enregistrements SIR, INC et CHG.
      • L’élément de filtre de configuration renvoie : les enregistrements SIR, INC, CHG, PRB et VIT.
      • Le filtre Observables renvoie les enregistrements SIR.
      Panneau Now Assist contenant les enregistrements renvoyés pour un élément de configuration pour les aperçus de corrélation
    7. Facultatif : Pour modifier la limite de 30 jours pour la requête, procédez comme suit :
      1. En tant qu’utilisateur disposant du rôle de gestionnaire d’incidents de sécurité [sn_si.manager], accédez à sys_properties. LISTE.
      2. Localisez la propriété système Période de vérification de corrélation [sn_sec_gen_ai.correlation_lookback_period] et ouvrez l’enregistrement.
      3. Saisissez un nombre dans le champ Valeur , jusqu’à 360.
      4. Enregistrez l'enregistrement.
      5. Revenez à l’enregistrement d’incident de sécurité et actualisez la page.