を使用して [ Now Assist ] パネルで相関インサイトを生成する セキュリティインシデントレスポンス向け Now Assist

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:3分

    • Now Assistパネルから相関インサイトを生成して、過去のイベントを作業中のセキュリティインシデントに結び付けるのに役立ちます。

    始める前に

    必要なロール:sn_si.analyst、sn_si.manager、または sn_si.basic

    このタスクについて

    重要:
    この Now Assist スキルはデフォルトでオンになっています。このスキルは、アプリケーションの適切なロールユーザーが自動的に利用できるようになります。詳細については、「Now Assist skills, agents, and agentic workflows on by default」を参照してください。

    手順

    1. 移動先 すべて > セキュリティインシデント > セキュリティインシデントレスポンスワークスペース をクリックし、自分にアサインされているセキュリティインシデントを開きます。
    2. または、従来 UI (UI16) で、セキュリティインシデント [sn_si_incident] テーブルでセキュリティインシデントを見つけて開きます。
    3. 上部のヘッダーにある Now Assist アイコン ( AI スパークルアイコン) を選択して、 Now Assist パネルを開きます。
    4. [相関インサイトの生成 (Generate Correlation Insights)] を選択します。
      相関インサイトは、次の値の 1 つ以上が一致する場合に生成されます。インサイトのベースとなる次のフィルターが Now Assist パネルに表示されます。他のセキュリティインシデントと一致するフィルターのみが表示されます。
      注:
      セキュリティインシデントレコードを開いていない場合は、[相関インサイトの生成 (Generate Correlation Insights)] を選択した後、セキュリティインシデントレコードの番号を入力するように求められます。
      • 構成アイテム (CI):同じ CI を持ち、特定のシステムの潜在的な脆弱性を特定する際に役立つレコード。たとえば、ユーザーのラップトップなどです。
      • 影響を受けるユーザー:頻繁なフィッシング試行や複数回の不正アクセス試行などのパターンを確認するのに役立つ、同じユーザーに関連する過去のインシデント。たとえば、特定のユーザー名です。
      • 観測事象:継続している攻撃がある可能性、または悪意のあるインフラストラクチャの繰り返しの使用を示唆する共有観測事象によってリンクされているレコード。例としては、IP アドレス、URL、ファイルハッシュなどがあります。観測事象の正確な値 (完全なファイルハッシュなど) を入力する必要があります。

      これらのフィルターのいずれにも一致するデータが存在しない場合、何も表示されません。作業対象のセキュリティインシデントにこれらの値のいずれかを追加して保存し、パネルで会話をリセットして再試行するように求められます。

    5. パネルの [その他のオプション] メニューアイコン ([その他のオプション] メニューアイコン) を選択して会話をリセットし、[会話をリセット] を選択してNow Assistします。
    6. フィルターを選択します。

      一致する結果が Now Assist パネルに表示されます。

      次の例では、[構成アイテム] が要求されています。検索により、概要と、一致する構成アイテム (CI) を持つレコードへのリンクが返されています。

      検索結果は、セキュリティインシデントレコード (SIR)、インシデント (INC)、変更要求 (CHG)、問題 (PRB)、脆弱性一致アイテム (VIT) のレコードタイプ別にグループ化されます。
      • [影響を受けるユーザー] フィルターは、SIR、INC、CHG レコードを返します。
      • [構成] フィルターアイテムは、SIR、INC、CHG、PRB、VIT レコードを返します。
      • 観測事象フィルターは SIR レコードを返します。
      Now Assist 相関インサイトの構成アイテムに対して返されたレコードを含むパネル。
    7. オプション: 次の手順に従って、クエリの 30 日の制限を変更します。
      1. セキュリティインシデントマネージャーロール [sn_si.manager] を持つユーザーとして、[sys_properties.LIST] に移動します。
      2. 相関ルックバック期間 [sn_sec_gen_ai.correlation_lookback_period] システムプロパティを見つけて、レコードを開きます。
      3. [値] フィールドに 360 までの数値を入力します。
      4. レコードを保存します。
      5. セキュリティインシデントレコードに戻り、ページを更新します。