Generieren Sie Korrelationseinblicke mit Now Assist für Security Incident Response

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Generieren Sie Korrelationseinblicke im Bereich Now Assist, um vergangene Ereignisse mit dem Security Incident zu verbinden, an dem Sie arbeiten. Sie können die zugehörigen Informationen, die Sie generieren, verwenden, um zu vermeiden, dass Ihre Ermittlungen in Bezug auf betroffene Benutzer, Konfigurationselemente und erkennbare Elemente duplizieren, und helfen Sie Ihnen, den Incident, an dem Sie arbeiten, schneller zu lösen.

    Vorbereitungen

    Die Kompetenz „Generierung von Korrelationseinblicken“ muss aktiviert werden, bevor die Option Korrelationseinblicke generieren im Bereich Now Assist angezeigt wird.

    Wenn der Bereich Now Assist nicht angezeigt wird, müssen Sie ihn aktivieren. Weitere Informationen finden Sie unter Turn on the Now Assist panel.

    Weitere Informationen zu Suchen nach Korrelationseinblicken finden Sie unter Korrelationseinblicke mit erkunden Now Assist für Security Incident Response.

    Erforderliche Rolle: sn_si.analyst, sn_si.manager oder sn_si.basic

    Prozedur

    1. Navigieren zu Alle > Security Incident > Arbeitsbereich für Security Incident Response und öffnen Sie einen Ihnen zugewiesenen Security Incident.
    2. Alternativ können Sie in der veraltet UI (UI16) in der Tabelle „Security Incidents“ [sn_si_incident] nach einem Security Incident suchen und ihn öffnen.
    3. Wählen Sie das Symbol Now Assist ( AI Sparkle-Symbol) im oberen Header, um den Bereich Now Assist zu öffnen.
    4. Wählen Sie Korrelationseinblicke generierenaus.
      Korrelationseinblicke werden generiert, wenn einer oder mehrere der folgenden Werte übereinstimmen. Im Bereich Now Assist werden die folgenden Filter angezeigt, auf denen Ihre Einblicke basieren. Es werden nur die Filter angezeigt, die Übereinstimmungen mit anderen Security Incidents aufweisen.
      Hinweis:
      Wenn kein Security Incident-Datensatz geöffnet ist, werden Sie aufgefordert, die Nummer für einen Security Incident-Datensatz einzugeben, nachdem Sie Korrelationseinblicke generierengewählt haben.
      • Configuration Item (CI): Datensätze mit demselben CI, mit denen Sie potenzielle Schwachstellen in bestimmten Systemen identifizieren können. Ein Beispiel könnte der Laptop eines Benutzers sein.
      • Betroffener Benutzer: Frühere Incidents, die denselben Benutzer haben, damit Sie Muster wie häufige Phishing-Versuche oder mehrere nicht autorisierte Zugriffsversuche erkennen können. Ein Beispiel ist der Name eines bestimmten Benutzers.
      • Erkennbare Elemente: Datensätze, die durch gemeinsam genutzte erkennbare Elemente verknüpft sind, die auf potenzielle laufende Angriffe oder die wiederholte Verwendung einer schädlichen Infrastruktur hindeuten. Beispiele können IP-Adressen, URLs oder Datei-Hashes sein. Beachten Sie, dass Sie einen genauen Wert für ein erkennbares Element eingeben müssen, z. B. einen vollständigen Datei-Hash.

      Wenn für keinen dieser Filter übereinstimmende Daten vorhanden sind, werden keine angezeigt. Sie werden aufgefordert, dem Security Incident, an dem Sie arbeiten, einen dieser Werte hinzuzufügen, ihn zu speichern, Ihre Konversation im Bereich zurückzusetzen und es erneut zu versuchen.

    5. Um Ihre Konversation zurückzusetzen, wählen Sie im Bereich das Symbol zum Zurücksetzen des Menüs Now Assist ( Menü zurücksetzen.) und dann Konversation zurücksetzen.
    6. Wählen Sie einen Filter aus.

      Übereinstimmende Ergebnisse werden im Bereich Now Assist angezeigt.

      Im folgenden Beispiel wurde Configuration item angefordert. Die Suche hat eine allgemeine Zusammenfassung und Links zu Datensätzen zurückgegeben, die ein übereinstimmendes Konfigurationselement aufweisen.

      Die Ergebnisse sind nach Datensatztyp gruppiert: Security Incident Record (SIR), Incident (INC), Change-Anforderung (CHG), Problem (PRB) und angreifbares Element (VIT).
      • Der Filter Betroffene Benutzer gibt zurück: SIR-, INC- und CHG-Datensätze.
      • Das Filterelement Configuration (Konfiguration) gibt zurück: SIR-, INC-, CHG-, PRB- und VIT-Datensätze.
      • Der Filter für erkennbare Elemente gibt SIR-Datensätze zurück.
      Now Assist-Bereich mit zurückgegebenen Datensätzen für ein Konfigurationselement für Korrelationseinblicke
    7. Wahlweise: Gehen Sie folgendermaßen vor, um das 30-Tage-Limit für die Abfrage zu ändern:
      1. Navigieren Sie als Benutzer mit der Rolle „Security Incident Manager“ [sn_si.manager] zu sys_properties.LIST.
      2. Suchen Sie die Systemeigenschaft Rückblickzeitraum für Korrelation [sn_sec_gen_ai.correlation_lookback_period], und öffnen Sie den Datensatz.
      3. Geben Sie im Feld „Wert“ eine Zahl bis zu 360 ein.
      4. Speichern Sie den Datensatz.
      5. Kehren Sie zum Security Incident-Datensatz zurück, und aktualisieren Sie die Seite.