を使用して セキュリティインシデントレスポンスワークスペース からの相関インサイトの生成 セキュリティインシデントレスポンス向け Now Assist
セキュリティインシデントレスポンスワークスペースで相関インサイトを生成して表示し、過去のイベントを作業中のセキュリティインシデントに結び付けるのに役立ちます。
始める前に
必要なロール:sn_si.analyst、sn_si.manager、または sn_si.basic
このタスクについて
重要:
この Now Assist スキルはデフォルトでオンになっています。このスキルは、アプリケーションの適切なロールユーザーが自動的に利用できるようになります。詳細については、「Now Assist skills, agents, and agentic workflows on by default」を参照してください。
手順
-
[インサイトを生成] を選択します。
ダイアログが開きます。しばらくすると、相関のインサイトが表示されます。このダイアログには次のオプションがあります。
- インサイトをリフレッシュ (
):初期インサイトが生成された後にリスト内のアイテムを変更し、結果を更新できます。 - 展開 (
):ダイアログのサイズを変更し、ページ上をドラッグします。
ダイアログの相関インサイトエントリごとに、次のオプションがあります。
- 時間範囲を変更 :時間範囲を選択して、一致するインサイトを含むダイアログを再ロードします。新しい時間範囲を選択すると、このエントリの結果が自動的に再生成されます。各エントリーの時間範囲は、インサイトの横に表示されます (例:35.35.35.35)。(100 日)。
- 最終生成日:インサイトが最後に生成された日付。
- コンテンツを評価する:(
、役 
) - コピー:(
)インサイトをクリップボードにコピーします。 - 作業メモに共有 :コンテンツを編集してセキュリティインシデントの作業メモに公開します。
観測事象の相関インサイトは、デフォルトのルックアップ期間 (30 日間) に基づいて初めて観測事象を生成するときに保存されます。これらのインサイトは、異なるルックアップ期間で観測事象のインサイトを再生成するまで保存されます。次の手順に従って、クエリの 30 日の制限を変更します。- セキュリティインシデントマネージャーロール [sn_si.manager] を持つユーザーとして、[sys_properties.LIST] に移動します。
- 相関ルックバック期間 [sn_sec_gen_ai.correlation_lookback_period] システムプロパティを見つけて、レコードを開きます。
- [値] フィールドに 360 までの数値を入力します。
- レコードを保存します。
- セキュリティインシデントレコードに戻り、ページを更新します。
- 相関インサイトを生成します。結果は、新しいルックアップ期間に基づいています。
- インサイトをリフレッシュ (