Générer des aperçus de corrélation à partir de l'Espace de travail de la Réponse aux incidents de sécuritéNow Assist pour Réponse aux incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Générez et affichez des aperçus de corrélation dans pour Espace de travail de la Réponse aux incidents de sécurité vous aider à relier les événements passés à l’incident de sécurité sur lequel vous travaillez.

    Avant de commencer

    Rôles requis : sn_si.analyste, sn_si.manager ou sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Important :
    Cette Now Assist compétence est activée par défaut. La compétence sera automatiquement disponible pour les utilisateurs de rôle appropriés pour l’application. Pour plus d'informations, consultez Now Assist skills, agents, and agentic workflows on by default.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Espace de travail Réponse aux incidents de sécurité et ouvrez un incident de sécurité qui vous est affecté.
    2. Sélectionnez l’onglet Examiner sur l’enregistrement d’incident de sécurité.
    3. Sélectionnez un ou plusieurs filtres sur lesquels vous souhaitez baser vos aperçus de corrélation.

      Vous pouvez sélectionner plusieurs observables.

      • Observables associés : enregistrements liés par des observables partagés qui suggèrent des attaques potentielles en cours ou l’utilisation répétée d’infrastructures malveillantes. Il peut s’agir par exemple d’adresses IP, d’URL ou de hachages de fichiers.
      • Éléments de configuration (CI) : enregistrements qui ont les mêmes CI pour vous aider à identifier les vulnérabilités potentielles dans des systèmes spécifiques. Un exemple pourrait être les ordinateurs portables des utilisateurs.
      • Utilisateurs affectés : incidents passés qui ont les mêmes utilisateurs pour vous aider à voir des schémas tels que des tentatives d’hameçonnage fréquentes ou plusieurs tentatives d’accès non autorisé. Un exemple est le nom d’un utilisateur spécifique.

      La liste des éléments correspondants s’affiche.

    4. Sélectionnez les éléments de la liste pour lesquels vous souhaitez générer des aperçus.
    5. Sélectionnez Générer des aperçus.
      Une boîte de dialogue s’ouvre. Après quelques instants, vos aperçus de corrélation s’affichent. Vous disposez des options suivantes dans cette boîte de dialogue :
      • Actualiser les aperçus (icône de flèches circulaires qui actualisent la page) : vous pouvez modifier les éléments de la liste après avoir généré vos aperçus initiaux et mettre à jour vos résultats.
      • Développer ( icône de flèches qui développe la page) - Redimensionnez la boîte de dialogue et faites-la glisser sur la page.

      Vous disposez des options suivantes pour chaque entrée d’aperçu de corrélation dans la boîte de dialogue.

      • Modifier la plage horaire : sélectionnez une plage horaire pour recharger la boîte de dialogue avec les aperçus correspondants. Vos résultats pour cette entrée sont automatiquement régénérés si vous sélectionnez une nouvelle plage horaire. La plage horaire de chaque entrée s’affiche à côté de l’aperçu, par exemple, 35.35.35.35. (100 jours).
      • Dernière génération : date à laquelle l’aperçu a été généré pour la dernière fois.
      • Évaluez le contenu : (icône Pouce vers le haut pour ce qui est utile.)et (icône Pouce vers le bas pour pas utile).
      • Copier : ( icône de pages pour afficher l’action de copie.) Copiez l’aperçu dans le presse-papiers.
      • Partager dans les notes de travail : modifiez le contenu et publiez-le dans les notes de travail sur l’incident de sécurité.
      Les aperçus de corrélation sont stockés pour les observables lorsque vous les générez pour la première fois en fonction de la période de recherche par défaut (30 jours). Ces aperçus sont stockés jusqu’à ce que vous régénériez des aperçus pour les observables avec une période de recherche différente. Modifiez la limite de 30 jours pour la requête en procédant comme suit :
      1. En tant qu’utilisateur ayant le rôle de gestionnaire d’incidents de sécurité [sn_si.manager], accédez à sys_properties. LISTE.
      2. Recherchez la propriété système Période de vérification de corrélation [sn_sec_gen_ai.correlation_lookback_period] et ouvrez l’enregistrement.
      3. Saisissez un nombre dans le champ Valeur , jusqu’à 360.
      4. Enregistrez l'enregistrement.
      5. Revenez à l’enregistrement de l’incident de sécurité et actualisez la page.
      6. Générer des aperçus de corrélation. Vos résultats sont basés sur votre nouvelle période de recherche.