Générer des actions recommandées pour un incident de sécurité avec Now Assist pour Réponse aux incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Générez automatiquement les prochaines étapes que vos analystes peuvent suivre pour les aider à fermer un incident de sécurité dans l’espace de travail Réponse aux incidents de sécurité. Les étapes recommandées sont basées sur les incidents de sécurité existants et les articles de la base de connaissances.

    Avant de commencer

    Les prochaines étapes recommandées fonctionnent pour les incidents de sécurité actifs dans un état autre que Fermé ou Annulé.

    L’application Recherche IA doit être activée pour que la compétence Actions recommandées fonctionne pour les incidents de sécurité. Pour vérifier que Recherche IA est activé sur votre instance, accédez à Tous > Recherche IA > État de Recherche IA. Contactez l’assistance si la page indique que Recherche IA n’est pas activée.

    Rôles requis : sn_si.analyste, sn_si.manager ou sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Important :
    Cette Now Assist compétence est activée par défaut. La compétence sera automatiquement disponible pour les utilisateurs de rôle appropriés pour l’application. Pour plus d'informations, consultez Now Assist skills, agents, and agentic workflows on by default.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Espace de travail Réponse aux incidents de sécurité et ouvrez un incident de sécurité qui vous est affecté.
    2. Sélectionnez l’icône Actions recommandées dans la barre latérale contextuelle.
      Bouton d’actions recommandées sélectionné dans la barre latérale contextuelle
    3. Sélectionnez Obtenir des recommandations.
    4. Dans le modal Vérifier le contenu généré par l’IA, sélectionnez J’acknowledge.
      Les actions recommandées générées sont affichées dans des cartes. Jusqu’à quatre références pour les actions sont affichées en haut. Ces références peuvent être n’importe quelle combinaison d’articles de la base de connaissances (KB) ou d’incidents de sécurité (SIR#).
    5. Dans une carte, choisissez-en un.
      OptionDescription
      Afficher les détails Affichez les détails de cette action de rattrapage.
      Enregistrer dans les notes de travail Examinez les notes de travail et ayez la possibilité de les modifier avant de les enregistrer dans les notes de travail de l’incident de sécurité.
      Sélectionner un lien de référence Affichez l’incident de sécurité ou l’article de la base de connaissances utilisé comme source pour ces actions.
      Remarque :
      Cliquez sur le bouton Afficher plus pour afficher les actions recommandées dans l’ordre chronologique, guidant les analystes de sécurité à travers les étapes suivantes pour analyser et enquêter sur l’incident de sécurité.
    6. Facultatif : Sélectionnez l’icône d’actualisation dans le panneau Actions recommandées pour régénérer les actions recommandées.
      Les actions recommandées restent en cache pendant une heure. Vous pouvez choisir d’actualiser les étapes recommandées si :
      • Vous pensez que les informations relatives à l’incident de sécurité ont changé depuis la dernière fois que vous avez généré les actions.
      • Vous quittez la page, vous vous déconnectez, vous vous reconnectez et revenez dans l’heure qui suit à l’incident de sécurité.

      Vous devez régénérer les actions en commençant par l’étape 3 pour les afficher au bout d’une heure.

    7. Facultatif : Cliquez sur les icônes Utile ou Pas utile pour partager vos commentaires sur les recommandations.
      Remarque :
      Si vous marquez une recommandation comme inutile, vous aurez la possibilité d’ajouter des commentaires détaillés, ce qui contribuera à améliorer la qualité des recommandations futures.
    8. Sélectionnez Créer une tâche de réponse sur une carte.
      Un nouvel onglet s’ouvre dans l’espace de travail. Les champs Description brève et Description sont renseignés automatiquement à partir des détails de la carte d’action recommandée que vous avez sélectionnée.
    9. Modifiez le formulaire selon vos besoins et sélectionnez Enregistrer pour créer la tâche de réponse.
      Tant que vous n’avez pas modifié la valeur de la propriété système, les deux options de toutes les actions recommandées que vous générez restent Afficher les détails et Créer une tâche de réponse.
    10. Facultatif : Créez une tâche de réponse à partir des actions recommandées.
      Par défaut, le workflow vous offre la possibilité d’enregistrer les actions recommandées dans les notes de travail des cartes. Si vous souhaitez avoir la possibilité de créer une tâche de réponse à partir d’une carte d’action au lieu de les enregistrer dans les notes de travail, vous devez modifier le champ Valeur de la propriété système Action recommandée pour SecOps [sn_sec_ra.card_action_config].
      1. En tant qu’utilisateur ayant le rôle de gestionnaire d’incidents de sécurité [sn_si.manager], accédez à sys_properties. LISTE.
      2. Localisez la propriété système Action recommandée pour SecOps [sn_sec_ra.card_action_config] et ouvrez l’enregistrement.
      3. Changez la valeur de share_to_work_notes en create_task.
      4. Enregistrez l'enregistrement.
      5. Revenez à l’enregistrement de l’incident de sécurité et actualisez la page.
        Les cartes d’action vous offrent les options Afficher les détails et Créer une tâche de réponse.