Gerar consultas de pesquisa do UDM com o Gemini
Você pode usar o Gemini para gerar consultas de pesquisa da UDM no painel do Gemini ou ao usar a pesquisa da UDM.
Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.
Gerar uma consulta de pesquisa de UDM usando o painel do Gemini
- Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.
Digite uma solicitação de linguagem natural e pressione Enter. O comando de idioma natural precisa estar em inglês.
Figura 1: abrir o painel do Gemini e inserir o comando
Analise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa.
O Gemini gera um resumo dos resultados e ações sugeridas.
pelo Gemini para continuar a investigação.
Exemplos de comandos de pesquisa e perguntas complementares
Show me all failed logins for the last 3 days
Generate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.n
Who is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
List all of the domains in the results set
What types of events were returned?
Show me events from my firewall in the last 24 hours
What were the 16 unique hostnames in the results set?
What were the 9 unique IPs associated with the results set?
Gerar uma consulta de pesquisa do UDM usando linguagem natural
Com o recurso de pesquisa UDM do Google SecOps, você pode inserir uma consulta de linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma consulta de pesquisa UDM que pode ser executada em eventos UDM.
Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.
Para usar uma pesquisa de linguagem natural e criar uma consulta de pesquisa da UDM, siga estas etapas:
- Faça login no Google SecOps.
- Acesse a Pesquisa SIEM.
Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. Você precisa usar o inglês para a pesquisa.
Figura 2: digite uma pesquisa em linguagem natural e clique em "Gerar consulta".
Confira a seguir alguns exemplos de declarações que podem gerar uma pesquisa útil de UDM:
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by or sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"
- yesterday
- within the last 5 days
- on Jan 1, 2023
Analise a consulta de pesquisa do UDM gerada.
(Opcional) Ajuste o período da pesquisa.
Clique em Executar pesquisa.
Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use os filtros de pesquisa para restringir a lista de resultados.
Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:
- Se a consulta retornar os resultados esperados, clique no ícone de aprovação.
- Se a consulta não retornar os resultados esperados, clique no ícone de polegar para baixo.
- (Opcional) Inclua mais detalhes no campo Feedback.
- Para enviar uma consulta de pesquisa revisada da UDM que ajude a melhorar os resultados:
- Edite a consulta de pesquisa do UDM gerada.
- Clique em Enviar. Se você não reescrever a consulta, o texto na caixa de diálogo vai pedir para você editar a consulta.
- Clique em Enviar. A consulta de pesquisa revisada da UDM será limpa de dados sensíveis e usada para melhorar os resultados.
Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplica às seguintes pesquisas:
Se a instrução de pesquisa não puder ser interpretada, você vai receber a seguinte
mensagem:
"Não foi possível gerar uma consulta válida. Tente perguntar de
outra forma."
Excluir uma sessão de chat
Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém o histórico de conversas dos usuários em particular e adere às práticas responsáveis de IA do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.
- No painel Gemini, selecione Delete chat no menu no canto superior direito.
- Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
- (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.
Gerar feedback
Você pode enviar feedback sobre as respostas geradas pela assistência de investigação da IA do Gemini. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.
- No painel Gemini, selecione o ícone de polegar para cima ou para baixo.
- (Opcional) Se você selecionar "Não gostei", poderá adicionar mais feedback sobre por que escolheu essa classificação.
- Clique em Enviar comentários.