Gere automaticamente as próximas etapas que seus analistas podem executar para ajudá-los a fechar um incidente de segurança no Espaço de resposta a incidentes de segurança. As etapas recomendadas são baseadas em incidentes de segurança e artigos de conhecimento existentes.
Antes de Iniciar
As próximas etapas recomendadas funcionam para incidentes de segurança ativos em todos os estados diferentes de Encerrado ou Cancelado.
A aplicação Pesquisa com IA deve ser habilitada para que a habilidade Ações recomendadas funcione para incidentes de segurança. Para verificar se a Pesquisa com IA está habilitada em sua instância, navegue até . Entre em contato com o suporte se a página indicar que a Pesquisa com IA não está habilitada.
Funções necessárias: sn_si.analyst, sn_si.manager ou sn_si.basic
Procedimento
-
Navegar até e abra um incidente de segurança atribuído a você.
-
Selecione o ícone Ações recomendadas (
) na barra lateral contextual.
-
Selecione Obter recomendações.
-
No modal Verificar conteúdo gerado pela IA, selecione Reconheço.
As ações recomendadas geradas são exibidas em cartões. Até quatro referências para as ações são exibidas na parte superior. Essas referências podem ser qualquer combinação de artigos de conhecimento (KB) ou incidentes de segurança (SIR#).
-
Em um cartão, escolha um.
| Opção | Descrição |
|---|
| Exibir detalhes |
Exiba os detalhes desta ação de correção. |
| Salvar nas anotações de trabalho |
Revise as anotações de trabalho e tenha a opção de editá-las antes de salvá-las nas anotações de trabalho do incidente de segurança. |
| Selecione um link de referência |
Exiba o incidente de segurança ou o artigo de conhecimento usado como origem para essas ações. |
- Opcional:
Selecione o ícone de atualização no painel Ações recomendadas para gerar novamente as ações recomendadas.
As ações recomendadas permanecem armazenadas em cache por uma hora. Você pode optar por atualizar as etapas recomendadas se:
- Você acredita que as informações relacionadas ao incidente de segurança mudaram desde a última vez em que você gerou as ações.
- Você sai da página, faz logout, faz login novamente e retorna em uma hora ao incidente de segurança.
Você deve gerar novamente as ações começando com a etapa 3 para exibi-las após uma hora.
-
Selecione Criar tarefa de resposta em um cartão.
Uma nova guia é aberta no espaço. Os campos Descrição resumida e Descrição são preenchidos automaticamente a partir dos detalhes no cartão de ação recomendada que você selecionou.
-
Edite o formulário conforme necessário e selecione Salvar para criar a tarefa de resposta.
Até que você altere o Valor na propriedade do sistema, as duas opções em todas as ações recomendadas geradas permanecerão Exibir detalhes e Criar tarefa de resposta.
- Opcional:
Crie uma tarefa de resposta a partir das ações recomendadas.
Por padrão, o fluxo de trabalho oferece a opção de salvar as ações recomendadas nas anotações de trabalho dos cartões. Se você quiser ter a opção de criar uma tarefa de resposta a partir de um cartão de ação em vez de salvá-la em anotações de trabalho, deverá alterar o campo Valor da propriedade do sistema Ação recomendada de SecOps [sn_sec_ra.card_action_config].
-
Como um usuário com a função de gerente de incidentes de segurança [sn_si.manager], navegue até sys_properties.LIST.
-
Localize a propriedade do sistema Ação recomendada de SecOps [sn_sec_ra.card_action_config] e abra o registro.
-
Altere o Valor de share_to_work_notes para create_task.
-
Salve o registro.
-
Retorne ao registro do incidente de segurança e atualize a página.
Os cartões de ação fornecem as opções para Exibir detalhes e Criar tarefa de resposta.
