Générer des aperçus de corrélation dans le Now Assist panneau avec Now Assist pour Réponse aux incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Générez des aperçus de corrélation à partir du Now Assist panneau pour vous aider à relier les événements passés à l’incident de sécurité sur lequel vous travaillez.

    Avant de commencer

    Rôles requis : sn_si.analyste, sn_si.manager ou sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Important :
    Cette Now Assist compétence est activée par défaut. La compétence sera automatiquement disponible pour les utilisateurs de rôle appropriés pour l’application. Pour plus d'informations, consultez Now Assist skills, agents, and agentic workflows on by default.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Espace de travail Réponse aux incidents de sécurité et ouvrez un incident de sécurité qui vous est affecté.
    2. Dans l’interface legacy utilisateur (UI16), vous pouvez également localiser un incident de sécurité dans la table Incidents de sécurité [sn_si_incident] et l’ouvrir.
    3. Sélectionnez l’icône Now Assist ( icône Étincelle IA) dans l’en-tête supérieur pour ouvrir le Now Assist panneau.
    4. Sélectionnez Générer des aperçus de corrélation.
      Les aperçus de corrélation sont générés si une ou plusieurs des valeurs suivantes peuvent être mises en correspondance. Les filtres suivants sur lesquels baser vos idées s’affichent dans le Now Assist panneau. Seuls les filtres qui présentent des correspondances avec d’autres incidents de sécurité sont affichés.
      Remarque :
      Si aucun enregistrement d’incident de sécurité n’est ouvert, vous êtes invité à saisir le numéro d’un enregistrement d’incident de sécurité après avoir sélectionné Générer des aperçus de corrélation.
      • Élément de configuration (CI) : enregistrements qui ont le même CI pour vous aider à identifier les vulnérabilités potentielles dans des systèmes spécifiques. L’ordinateur portable d’un utilisateur peut en être un exemple.
      • Utilisateur affecté : incidents passés avec le même utilisateur pour vous aider à voir des schémas tels que des tentatives d’hameçonnage fréquentes ou plusieurs tentatives d’accès non autorisé. Un exemple est le nom d’un utilisateur spécifique.
      • Observables : enregistrements liés par des observables partagés qui suggèrent des attaques potentielles en cours ou l’utilisation répétée d’infrastructures malveillantes. Il peut s’agir par exemple d’adresses IP, d’URL ou de hachages de fichiers. Vous devez saisir une valeur exacte pour un observable, par exemple, un hachage de fichier complet.

      Si aucune donnée correspondante n’existe pour l’un de ces filtres, aucune n’est affichée. Vous êtes invité à ajouter l’une de ces valeurs à l’incident de sécurité sur lequel vous travaillez, à l’enregistrer et à réinitialiser votre conversation dans le panneau, puis à réessayer.

    5. Réinitialisez votre conversation en sélectionnant l’icône du Now Assist menu Autres options ( Icône du menu Autres options.) dans le panneau et sélectionnez Réinitialiser la conversation.
    6. Sélectionnez un filtre.

      Les résultats correspondants sont affichés dans le Now Assist panneau.

      Dans l’exemple suivant, l’élément de configuration a été demandé. La recherche a renvoyé un résumé de haut niveau et des liens vers des enregistrements qui ont un élément de configuration correspondant.

      Les résultats sont regroupés par type d’enregistrement : enregistrement d’incident de sécurité (SIR), incident (INC), demande de changement (CHG), problème (PRB) et élément vulnérable (VIT).
      • Le filtre Utilisateurs affectés renvoie les enregistrements SIR, INC et CHG.
      • L’élément de filtre de configuration renvoie les enregistrements SIR, INC, CHG, PRB et VIT.
      • Le filtre Observables renvoie les enregistrements SIR.
      Now Assist Panneau contenant les enregistrements renvoyés pour un élément de configuration pour les aperçus de corrélation.
    7. Facultatif : Modifiez la limite de 30 jours pour la requête en procédant comme suit :
      1. En tant qu’utilisateur ayant le rôle de gestionnaire d’incidents de sécurité [sn_si.manager], accédez à sys_properties. LISTE.
      2. Recherchez la propriété système Période de vérification de corrélation [sn_sec_gen_ai.correlation_lookback_period] et ouvrez l’enregistrement.
      3. Saisissez un nombre dans le champ Valeur , jusqu’à 360.
      4. Enregistrez l'enregistrement.
      5. Revenez à l’enregistrement de l’incident de sécurité et actualisez la page.