Generieren Sie automatisch die nächsten Schritte, die Ihre Analysten ausführen können, um einen Security Incident im Security Incident Response-Arbeitsbereich zu schließen. Die empfohlenen Schritte basieren auf vorhandenen Security Incidents und Wissensartikeln.
Vorbereitungen
Die empfohlenen nächsten Schritte funktionieren für aktive Security Incidents in allen anderen Status als Geschlossen oder Abgebrochen.
Die Anwendung „KI-Suche“ muss aktiviert sein, damit die Kompetenz „Empfohlene Aktionen“ für Security Incidents funktioniert. Um zu überprüfen, ob die KI-Suche in Ihrer Instanz aktiviert ist, navigieren Sie zu . Wenden Sie sich an den Support, wenn auf der Seite angezeigt wird, dass die KI-Suche nicht aktiviert ist.
Erforderliche Rolle: sn_si.analyst, sn_si.manager oder sn_si.basic
Prozedur
-
Navigieren zu und öffnen Sie einen Ihnen zugewiesenen Security Incident.
-
Wählen Sie in der kontextabhängigen Sidebar das Symbol Empfohlene Aktionen (
).
-
Wählen Sie Empfehlungen abrufenaus.
-
Wählen Sie im Modal zum Überprüfen des KI-generierten Inhalts die Option Ich bestätige aus.
Die generierten empfohlenen Aktionen werden in Karten angezeigt. Bis zu vier Referenzen für die Aktionen werden oben angezeigt. Diese Referenzen können eine beliebige Kombination aus Wissensartikeln (KB) oder Security Incidents (SIR#) sein.
-
Wählen Sie auf einer Karte eine aus.
| Option | Beschreibung |
|---|
| Details anzeigen |
Zeigen Sie die Details für diese Korrekturaktion an. |
| In Arbeitsnotizen speichern |
Überprüfen Sie die Arbeitsnotizen, und nutzen Sie die Möglichkeit, sie zu bearbeiten, bevor Sie sie in den Arbeitsnotizen des Security Incident speichern. |
| Wählen Sie einen Referenzlink aus |
Zeigen Sie den Security Incident oder den Wissensartikel an, der als Quelle für diese Aktionen verwendet wird. |
- Wahlweise:
Wählen Sie im Bereich Empfohlene Aktionen das Aktualisierungssymbol, um die empfohlenen Aktionen erneut zu generieren.
Die empfohlenen Aktionen bleiben eine Stunde lang im Cache. In folgenden Fällen können Sie die empfohlenen Schritte aktualisieren:
- Sie sind der Meinung, dass Informationen im Zusammenhang mit dem Security Incident seit dem letzten Generieren der Aktionen geändert wurden.
- Sie verlassen die Seite, melden sich ab, melden sich wieder an und kehren innerhalb von einer Stunde zum Security Incident zurück.
Sie müssen die Aktionen ab Schritt 3 neu generieren, um sie nach einer Stunde anzuzeigen.
-
Wählen Sie auf einer Karte Antwortaufgabe erstellen aus.
Im Arbeitsbereich wird eine neue Registerkarte geöffnet. Die Felder Kurzbeschreibung und Beschreibung werden automatisch anhand der Details auf der ausgewählten empfohlenen Aktionskarte ausgefüllt.
-
Bearbeiten Sie das Formular nach Bedarf, und wählen Sie Speichern, um die Antwortaufgabe zu erstellen.
Bis Sie den Wert in der Systemeigenschaft ändern, bleiben die beiden Optionen für alle von Ihnen generierten empfohlenen Aktionen Details anzeigen und Antwortaufgabe erstellen.
- Wahlweise:
Erstellen Sie eine Antwortaufgabe aus den empfohlenen Aktionen.
Standardmäßig bietet Ihnen der Workflow die Möglichkeit, die empfohlenen Aktionen in Arbeitsnotizen von den Karten zu speichern. Wenn Sie die Möglichkeit haben möchten, eine Antwortaufgabe aus einer Aktionskarte zu erstellen, anstatt sie in Arbeitsnotizen zu speichern, müssen Sie das Feld Wert für die Systemeigenschaft „Empfohlene SecOps-Aktion“ [sn_sec_ra.card_action_config] ändern.
-
Navigieren Sie als Benutzer mit der Rolle „Security Incident Manager“ [sn_si.manager] zu sys_properties.LIST.
-
Suchen Sie die Systemeigenschaft „Empfohlene SecOps-Aktion“ [sn_sec_ra.card_action_config], und öffnen Sie den Datensatz.
-
Ändern Sie den Wert von „share_to_work_notes“ in „create_task“.
-
Speichern Sie den Datensatz.
-
Kehren Sie zum Security Incident-Datensatz zurück, und aktualisieren Sie die Seite.
Die Aktionskarten bieten Ihnen die Optionen Details anzeigen und Antwortaufgabe erstellen.
