Gerar consultas de pesquisa do UDM com o Gemini

Compatível com:

Você pode usar o Gemini para gerar consultas de pesquisa da UDM no painel do Gemini ou ao usar a pesquisa da UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Gerar uma consulta de pesquisa de UDM usando o painel do Gemini

  1. Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.
  2. Digite uma solicitação de linguagem natural e pressione Enter. O comando de idioma natural precisa estar em inglês.

    Abra o painel do Gemini e insira
o comando

    Figura 1: abrir o painel do Gemini e inserir o comando

  3. Analise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa.

  4. O Gemini gera um resumo dos resultados e ações sugeridas.

  5. pelo Gemini para continuar a investigação.

Exemplos de comandos de pesquisa e perguntas complementares

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa do UDM usando linguagem natural

Com o recurso de pesquisa UDM do Google SecOps, você pode inserir uma consulta de linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma consulta de pesquisa UDM que pode ser executada em eventos UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa de linguagem natural e criar uma consulta de pesquisa da UDM, siga estas etapas:

  1. Faça login no Google SecOps.
  2. Acesse a Pesquisa SIEM.
  3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. Você precisa usar o inglês para a pesquisa.

    Digite uma pesquisa com linguagem natural e clique em "Gerar consulta".

    Figura 2: digite uma pesquisa em linguagem natural e clique em "Gerar consulta".

    Confira a seguir alguns exemplos de declarações que podem gerar uma pesquisa útil de UDM:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"
  4. Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplica às seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a instrução de pesquisa não puder ser interpretada, você vai receber a seguinte mensagem:
    "Não foi possível gerar uma consulta válida. Tente perguntar de outra forma."

  5. Analise a consulta de pesquisa do UDM gerada.

  6. (Opcional) Ajuste o período da pesquisa.

  7. Clique em Executar pesquisa.

  8. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use os filtros de pesquisa para restringir a lista de resultados.

  9. Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:

    • Se a consulta retornar os resultados esperados, clique no ícone de aprovação.
    • Se a consulta não retornar os resultados esperados, clique no ícone de polegar para baixo.
    • (Opcional) Inclua mais detalhes no campo Feedback.
    • Para enviar uma consulta de pesquisa revisada da UDM que ajude a melhorar os resultados:
    • Edite a consulta de pesquisa do UDM gerada.
    • Clique em Enviar. Se você não reescrever a consulta, o texto na caixa de diálogo vai pedir para você editar a consulta.
    • Clique em Enviar. A consulta de pesquisa revisada da UDM será limpa de dados sensíveis e usada para melhorar os resultados.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém o histórico de conversas dos usuários em particular e adere às práticas responsáveis de IA do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.

  1. No painel Gemini, selecione Delete chat no menu no canto superior direito.
  2. Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
  3. (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback sobre as respostas geradas pela assistência de investigação da IA do Gemini. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.

  1. No painel Gemini, selecione o ícone de polegar para cima ou para baixo.
  2. (Opcional) Se você selecionar "Não gostei", poderá adicionar mais feedback sobre por que escolheu essa classificação.
  3. Clique em Enviar comentários.