との相関インサイトの生成 セキュリティインシデントレスポンス向け Now Assist

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • Now Assistパネルから相関に関するインサイトを生成して、過去のイベントを作業中のセキュリティインシデントに結び付けるのに役立ちます。生成した関連情報を使用して、影響を受けるユーザー、構成アイテム、および観測事象の調査の重複を回避し、作業中のインシデントをより迅速に解決することができます。

    始める前に

    Now Assistパネルに [相関インサイトを生成] オプションを表示するには、相関インサイト生成スキルをアクティブ化する必要があります。

    Now Assistパネルが表示されない場合は、アクティブ化する必要があります。詳細については、「Activate Now Assist panel standard chat」を参照してください。

    相関インサイト検索の詳細については、「 による相関インサイトの探索 セキュリティインシデントレスポンス向け Now Assist」を参照してください。

    必要なロール:sn_si.analyst、sn_si.manager、または sn_si.basic

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > セキュリティインシデントレスポンスワークスペース をクリックし、自分に割り当てられているセキュリティインシデントを開きます。
    2. または、 従来 UI (UI16) で、セキュリティインシデント [sn_si_incident] テーブルでセキュリティインシデントを見つけて開きます。
    3. 上部のヘッダーにある Now Assist アイコン ( AI スパークルアイコン) を選択して、 Now Assist パネルを開きます。
    4. [相関インサイトの生成] を選択します。
      相関インサイトは、次の値の 1 つ以上が一致する場合に生成されます。インサイトの基礎となる次のフィルターが [ Now Assist ] パネルに表示されます。他のセキュリティインシデントに一致するフィルターのみが表示されます。
      注:
      セキュリティインシデントレコードを開いていない場合は、[ 相関インサイトを生成] を選択した後、セキュリティインシデントレコードの番号を入力するように求められます。
      • 構成アイテム (CI):特定のシステムの潜在的な脆弱性を特定するのに役立つ、同じ CI を持つレコード。たとえば、ユーザーのラップトップなどです。
      • 影響を受けるユーザー:同じユーザーを持つ過去のインシデント。これにより、頻繁なフィッシング試行や複数の不正なアクセス試行などのパターンを確認できます。たとえば、特定のユーザーの名前などです。
      • 観測事象:進行中の潜在的な攻撃や悪意のあるインフラストラクチャの繰り返しの使用を示唆する共有観測事象によってリンクされているレコード。例としては、IP アドレス、URL、ファイルハッシュなどがあります。観測事象の正確な値 (完全なファイルハッシュなど) を入力する必要があることに注意してください。

      これらのフィルターのいずれにも一致するデータが存在しない場合、何も表示されません。これらの値の 1 つを作業元のセキュリティインシデントに追加して保存し、パネルで会話をリセットして再試行するように求められます。

    5. 会話をリセットするには、パネルで [ Now Assist リセットメニュー] アイコン ( リセットメニュー.) を選択し、[ 会話をリセット] を選択します。
    6. フィルターを選択します。

      一致する結果が Now Assist パネルに表示されます。

      次の例では、 構成アイテム が要求されています。検索により、高レベルのサマリーと、一致する構成アイテムがあるレコードへのリンクが返されました。

      結果は、セキュリティインシデントレコード (SIR)、インシデント (INC)、変更要求 (CHG)、問題 (PRB)、脆弱性一致アイテム (VIT) のレコードタイプ別にグループ化されます。
      • 影響を受けるユーザーフィルターは、SIR、INC、および CHG レコードを返します。
      • 構成フィルターアイテムは、SIR、INC、CHG、PRB、および VIT レコードを返します。
      • [観測事象] フィルターは SIR レコードを返します。
      相関インサイトの構成アイテム (CI) の返されたレコードを含む Now Assist パネル
    7. オプション: クエリの 30 日間の制限を変更するには、次の手順を実行します。
      1. セキュリティインシデントマネージャーロール [sn_si.manager] を持つユーザーとして、[sys_properties] に移動します。リスト。
      2. 相関ルックバック期間 [sn_sec_gen_ai.correlation_lookback_period] システムプロパティを見つけて、レコードを開きます。
      3. [ ] フィールドに最大 360 の数値を入力します。
      4. レコードを保存します
      5. セキュリティインシデントレコードに戻り、ページを更新します。