secops-triage

Skill do triażu alertów bezpieczeństwa, który prowadzi Cię przez standaryzowany protokół oceny incydentów. Określa, czy alert to fałszywy alarm, łagodny pozytywny wynik czy rzeczywista zagrożenie wymagające śledztwa. Pracuje z dostępnymi narzędziami w Twojej infrastrukturze — zarówno zdalnymi jak i lokalnymi — i automatycznie dostosowuje przepływ pracy. Idealne dla analityków Tier 1 SOC, którzy muszą szybko i konsekwentnie oceniać przychodzące alerty.

1. Zainstaluj skill secops-triage w swoim środowisku MCP, upewniając się, że masz dostęp do narzędzi Google SecOps (zdalne narzędzia takie jak get_case, list_cases, udm_search lub lokalne alternatywy takie jak get_case_full_details i search_security_events).

2. Uruchom skill poleceniem /security:triage, podając identyfikator alertu lub sprawy, którą chcesz przeanalizować.

3. Skill automatycznie zbiera kontekst alertu — typ, poziom ważności, kluczowe jednostki i zdarzenia wyzwalające — korzystając z dostępnych narzędzi w Twojej infrastrukturze.

4. Sprawdza duplikaty, wyszukując podobne sprawy po nazwie wyświetlanej, tagach lub opisie zawierającym te same jednostki, aby uniknąć redundantnych analiz.

5. Na podstawie zebranych danych skill klasyfikuje alert jako fałszywy alarm (FP), łagodny pozytywny wynik (BTP) lub rzeczywiste zagrożenie (TP) wymagające dalszego śledztwa.

6. Dokumentuje wynik i zamyka sprawę, jeśli jest duplikatem, lub rekomenduje następne kroki dla rzeczywistych zagrożeń.