セキュリティインシデントレスポンスワークスペースからの相関インサイトの生成

セキュリティインシデントレスポンス向け Now Assist の v3.0.0 以降では、相関インサイトを生成して表示し、結果をセキュリティインシデントレスポンスワークスペースで表示します。

• 以前は、インサイトの基になる構成アイテム (CI) または影響を受けるユーザーを選択した場合、ルックアップはセキュリティインシデントに関連付けられた影響を受けるプライマリユーザーまたはプライマリ CI を返していました。v3.0.0 以降エージェントは、関連リストからどの CI または影響を受けるユーザーとセキュリティインシデントを関連付けるかを尋ねます。
• セキュリティインシデントレスポンスワークスペース内の任意のステータスのセキュリティインシデントの [調査] タブから相関インサイトを生成できます。
• 関連する観測事象、構成アイテム、および影響を受けるユーザーについて、複数のアイテムのインサイトを同時に生成できます。
• 結果はモードレスダイアログに表示され、サイズ変更や移動ができます。
• 相関のルックアップの時間範囲は 30 日間です。
  注:

  セキュリティインシデントに関連付けられた観測事象を生成すると、別の時間範囲で再生成するまで、その観測事象のインサイトが保存されます。新しい時間範囲のインサイトが表示されます。

セキュリティインシデントレスポンスワークスペースで [相関インサイトを生成] オプションを表示するには、相関インサイトの生成スキルをアクティブ化する必要があります。詳細については、「セキュリティインシデントレスポンス向け Now Assistのスキルの構成」を参照してください。

セキュリティインシデントレスポンスワークスペース および UI (UI16) のNow Assistパネルからの相関インサイトの生成

Now Assist パネルに [相関インサイトの生成 (Generate Correlation Insights)] オプションを表示するには、あらかじめ相関インサイト生成スキルをアクティブ化する必要があります。

Now Assist パネルが表示されない場合は、アクティブ化する必要があります。詳細については、「Activate the Now Assist panel standard chat」を参照してください。

• 相関インサイトは、 セキュリティインシデントレスポンスワークスペース または 従来 UI (UI16) の任意のステータスのセキュリティインシデントレコードから生成できます。
• デフォルトでは、相関インサイトは過去 30 日間の一致するレコードを検索します。
• 相関インサイトフィルターの構成アイテム、影響を受けるユーザー、および観測事象の値は、セキュリティインシデントレスポンスワークスペース の [詳細] タブ、または 従来 UI (UI16) の [構成アイテム]、[影響を受けるユーザー]、および [観測事象] 関連リストで確認できます。
• 会話をリセットするまで、検索クライテリアと結果は Now Assist パネルに表示されたままになります。会話をリセットするには、パネルの [その他のオプション Now Assist ] アイコン ( ) を選択し、[ 会話をリセット] を選択します。
• 生成された相関インサイトでこれらのレコードを表示するには、次のテーブルにアクセスできる必要があります。
  • 構成アイテム [cmdb_ci] テーブル
  • インシデント [incident] テーブル
  • 変更要求 [change_request] テーブル
  • 問題 [problem] テーブル
  • 脆弱性一致アイテム [sn_vul_vulnerable_item] テーブル
  • 関連の観測事象 [sn_ti_observable] テーブル
• 相関インサイトの結果は、アクセスできるテーブルに基づいています。たとえば、相関インサイトの結果に脆弱性一致アイテム (VIT) を表示する場合は、 脆弱性対応 アプリケーションがインストールされていて、読み取りアクセスロール (sn_vul.read_all) を持っている必要があります。

相関インサイトを生成する手順については、「 を使用して セキュリティインシデントレスポンスワークスペース からの相関インサイトの生成 セキュリティインシデントレスポンス向け Now Assist と を使用して [ Now Assist ] パネルで相関インサイトを生成する セキュリティインシデントレスポンス向け Now Assist」を参照してください。