Analyser les mesures des opérations de sécurité : workflow agentique

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Discutez avec un agent IA à partir du Now Assist panneau pour vous aider à comprendre l’efficacité avec laquelle vos analystes de sécurité travaillent avec la résolution des incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.manager

    Pourquoi et quand exécuter cette tâche

    Important :
    Ce workflow agentique est activé par défaut. Pour plus d'informations, consultez Now Assist skills, agents, and agentic workflows on by default.

    Procédure

    1. Sélectionnez l’icône Now Assist (Now Assist icon.) n’importe où dans votre instance.
      Le Now Assist panneau s’affiche.
    2. Sélectionnez Analyser les mesures des opérations de sécurité dans le Now Assist panneau.
    3. À l’invite, sélectionnez Analyser les mesures des incidents de sécurité.

      Le ticket de workflow agentique Analyser les mesures des opérations de sécurité est sur demande. Vous pouvez saisir n’importe quelle requête en langage naturel, mais vous pouvez envisager d’utiliser les invites décrites dans la table et les étapes suivantes pour vous familiariser avec les données de mesures disponibles et ce que vous pouvez en faire.

      Votre demande ou réponse Description
      Saisissez un nom pour l’un de vos groupes d’analystes de sécurité et demandez des mesures, par exemple :
      • Analyser les mesures des opérations de sécurité pour l’équipe d’analystes L1.
      • Mesures de sécurité pour l’équipe d’analystes L1 au cours des six derniers mois.
      • Comment l’équipe d’analystes L1 s’est-elle comportée le mois dernier ?
      		 Spécifiez une équipe par son nom et indiquez une période.
      Mettez fin à la session ou arrêtez-la. Mettez fin à la conversation.

      Vous préférerez peut-être que l’espace de Réponse aux incidents de sécurité travail soit ouvert dans un autre onglet afin de pouvoir consulter les groupes d’affectation, les dates et d’autres informations pour vos invites.

      Votre conversation est enregistrée jusqu’à ce que vous démarriez une nouvelle messagerie instantanée. Pour démarrer une nouvelle messagerie instantanée, sélectionnez l’icône Nouvelle messagerie instantanée (icône Nouvelle messagerie instantanée).

      Votre demande est répétée et affichée en surbrillance avec plus d’informations.

      Après quelques instants, vous êtes invité à fournir plus d’informations sur un analyste ou un groupe d’analystes spécifique.

    4. Saisissez un nom de groupe d’affectation, par exemple, Équipe d’analystes L1.
    5. À l’invite, saisissez une plage horaire, par exemple, Les six derniers mois.
      Les résultats du délai moyen de résolution (MTTR), du délai moyen d’affectation (MTTA) et du nombre total d’incidents de sécurité traités par votre équipe s’affichent. Sélectionnez le lien pour plus d’informations. Un nouvel onglet s’ouvre avec une liste dans UI16.
    6. Développez la liste Sources et sélectionnez le lien Liste des incidents de sécurité .
      Une liste des incidents de sécurité affectés au groupe d’analystes L1 s’affiche dans un nouvel onglet dans l’interface utilisateur 16. En haut de la liste, la plage de dates que vous avez demandée (6 mois) s’affiche au format suivant : Ouvert > = 2024-09-23 > Ouvert < = 2025-03-23. Vous êtes invité si vous souhaitez afficher une analyse plus détaillée du MTTR, du MTTA ou du volume de tickets.

      Dans cette liste, vous pouvez sélectionner un lien pour ouvrir des incidents de sécurité individuels à examiner. Vous pouvez saisir un numéro d’enregistrement dans la liste de la messagerie instantanée pour que l’agent IA effectue un résumé.

    7. Revenez à la messagerie instantanée et saisissez votre demande de mesure des performances en langage naturel, par exemple, Oui, approfondir MTTR.
      De plus amples informations sont fournies pour votre demande, notamment un résumé et des données organisées en sections pour les champs relatifs à l’incident de sécurité.
      • Analyse des catégories : répartition par catégorie. Les exemples peuvent inclure un accès non autorisé, une vulnérabilité non corrigée, unfaux positif, entre autres.
      • Analyse des priorités : répartition par gravité : critique, élevée, modérée.
      • Analyse de l’équipe : répartition du MTTR par membres individuels de l’équipe.
      • Analyse des valeurs hors norme : répartition des incidents de sécurité qui ont des valeurs anormalement élevées, faibles ou d’autres valeurs uniques.
    8. À l’invite, entrez une réponse affirmative à la demande de suggestions d’amélioration.
      Vos suggestions s’affichent. En fonction des résultats de l’évaluation, vous souhaiterez peut-être rechercher plus d’informations sur des types spécifiques d’incidents de sécurité.
    9. À l’invite, par exemple, demandez en langage naturel tous les incidents de sécurité de la catégorie hameçonnage qui sont dans l’état Analyse.
    10. Sélectionnez le lien Afficher les résultats .
      Une liste des incidents de sécurité qui correspondent à votre demande est fournie dans un nouvel onglet dans UI16.

      À partir de cette liste, vous pouvez ouvrir des incidents individuels et demander des résumés à l’agent IA.

    11. Facultatif : Modifiez les propriétés système des champs sources utilisés pour l’analyse des mesures et la valeur du facteur aberrant.
      • sn_sec_gen_ai.aia_metric_analysis_dimensions : l’agent IA décompose l’analyse en fonction des champs suivants lors de l’analyse des mesures MTTR et MTTA : catégorie, priorité, close_code, assigned_toalert_sensor. Les utilisateurs disposant des rôles sn_si.manager et sn_si.admin peuvent modifier cette liste.
      • sn_sec_gen_ai.aia_metric_analysis_outlier_factor : cette propriété détermine le facteur aberrant pour MTTR et MTTA. La valeur aberrante par défaut est 2. Par défaut, un enregistrement est une valeur aberrante si son MTTR dépasse 2 fois le temps moyen nécessaire à un groupe d’affectation pour résoudre les incidents de sécurité pour la période que vous avez demandée. Les utilisateurs disposant des rôles sn_si.manager et sn_si.admin peuvent modifier cette valeur.