Générez automatiquement les prochaines étapes que vos analystes peuvent suivre pour les aider à fermer un incident de sécurité dans l’espace de travail Réponse aux incidents de sécurité. Les étapes recommandées sont basées sur les incidents de sécurité existants et les articles de la base de connaissances.
Avant de commencer
Les prochaines étapes recommandées fonctionnent pour les incidents de sécurité actifs dans tout état autre que Fermé ou Annulé.
L’application Recherche IA doit être activée pour que la compétence Actions recommandées fonctionne pour les incidents de sécurité. Pour vérifier que Recherche IA est activé sur votre instance, accédez à . Contactez l’assistance si la page indique que Recherche IA n’est pas activée.
Rôles requis : sn_si.analyste, sn_si.manager ou sn_si.basic
Procédure
-
Accédez à la et ouvrez un incident de sécurité qui vous est affecté.
-
Sélectionnez l’icône Actions recommandées (
) dans la barre latérale contextuelle.
-
Sélectionnez Obtenir des recommandations.
-
Dans le modal Vérifier le contenu généré par l’IA, sélectionnez Je reconnais.
Les actions recommandées générées sont affichées sous forme de cartes. Jusqu’à quatre références pour les actions sont affichées en haut. Ces références peuvent être n’importe quelle combinaison d’articles de la base de connaissances (KB) ou d’incidents de sécurité (SIR#).
-
Dans une carte, choisissez-en un.
| Option | Description |
|---|
| Afficher les détails |
Affichez les détails de cette action de rattrapage. |
| Enregistrer dans les notes de travail |
Examinez les notes de travail et ayez la possibilité de les modifier avant de les enregistrer dans les notes de travail de l’incident de sécurité. |
| Sélectionner un lien de référence |
Affichez l’incident de sécurité ou l’article de la base de connaissances utilisé comme source pour ces actions. |
- Facultatif :
Sélectionnez l’icône d’actualisation dans le panneau Actions recommandées pour régénérer les actions recommandées.
Les actions recommandées restent en cache pendant une heure. Vous pouvez actualiser les étapes recommandées si :
- Vous pensez que les informations relatives à l’incident de sécurité ont changé depuis la dernière fois que vous avez généré les actions.
- Vous quittez la page, vous vous déconnectez, vous vous reconnectez et vous revenez à l’incident de sécurité dans l’heure qui suit.
Vous devez régénérer les actions en commençant par l’étape 3 pour les afficher au bout d’une heure.
-
Sélectionnez Créer une tâche de réponse sur une carte.
Un nouvel onglet s’ouvre dans l’espace de travail. Les champs Description brève et Description sont renseignés automatiquement à partir des détails sur la carte d’action recommandée que vous avez sélectionnée.
-
Modifiez le formulaire selon vos besoins et sélectionnez Enregistrer pour créer la tâche de réponse.
Jusqu’à ce que vous modifiiez la valeur de la propriété système, les deux options des actions recommandées que vous générez restent Afficher les détails et Créer une tâche de réponse.
- Facultatif :
Créez une tâche de réponse à partir des actions recommandées.
Par défaut, le workflow vous offre la possibilité d’enregistrer les actions recommandées dans les notes de travail à partir des cartes. Si vous souhaitez avoir la possibilité de créer une tâche de réponse à partir d’une carte d’action au lieu de l’enregistrer dans des notes de travail, vous devez modifier le champ Valeur de la propriété système Action recommandée SecOps [sn_sec_ra.card_action_config].
-
En tant qu’utilisateur disposant du rôle de gestionnaire d’incidents de sécurité [sn_si.manager], accédez à sys_properties. LISTE.
-
Localisez la propriété système Action recommandée SecOps [sn_sec_ra.card_action_config] et ouvrez l’enregistrement.
-
Remplacez la valeur share_to_work_notes par create_task.
-
Enregistrez l'enregistrement.
-
Revenez à l’enregistrement d’incident de sécurité et actualisez la page.
Les cartes d’action vous fournissent les options Afficher les détails et Créer une tâche de réponse.
