使用 Gemini 生成 UDM 搜索查询

支持的平台:

您可以在 Gemini 窗格中或使用 UDM 搜索时使用 Gemini 生成 UDM 搜索查询。

为了获得最佳效果,Google 建议您使用 Gemini 窗格生成搜索查询。

使用 Gemini 窗格生成 UDM 搜索查询

  1. 登录 Google SecOps,然后点击 Gemini 徽标打开 Gemini 窗格。

  2. 输入自然语言提示,然后按 Enter 键。自然语言提示必须使用英语。

    打开 Gemini 窗格并输入提示

    图 1:打开 Gemini 窗格并输入提示

  3. 查看生成的 UDM 搜索查询。如果生成的搜索查询符合您的要求,请点击运行搜索

  4. Gemini 会生成结果摘要以及建议的操作。

  5. 继续调查。

搜索提示和跟进问题示例

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

使用自然语言生成 UDM 搜索查询

借助 Google SecOps UDM 搜索功能,您可以输入有关数据的自然语言查询,Gemini 会将其转换为 UDM 搜索查询,您可以针对 UDM 事件运行该查询。

为获得更好的结果,Google 建议您使用 Gemini 窗格生成搜索查询

如需使用自然语言搜索创建 UDM 搜索查询,请完成以下步骤:

  1. 登录 Google SecOps。
  2. 前往 SIEM 搜索

  3. 在自然语言查询栏中输入搜索语句,然后点击生成查询。您必须使用英语进行搜索。

    输入自然语言搜索查询,然后点击“生成查询”

    图 2:输入自然语言搜索查询,然后点击“生成查询”

    以下是一些可能生成有用 UDM 搜索的语句示例:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. 如果搜索语句包含基于时间的字词,则时间选择器会自动调整以匹配。例如,这适用于以下搜索:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    如果无法解读搜索语句,您会看到以下消息:
    “抱歉,无法生成有效的查询。请换个方式提问。”

  4. 查看生成的 UDM 搜索查询。

  5. (可选)调整搜索时间范围。

  6. 点击运行搜索

  7. 查看搜索结果,确定相应活动是否存在。如有需要,请使用搜索过滤条件缩小结果列表。

  8. 使用生成的查询反馈图标提供有关查询的反馈。从下列选项中选择一项:

    • 如果查询返回预期结果,请点击“我喜欢”图标。
    • 如果查询未返回预期结果,请点击“不喜欢”图标。
    • (可选)在反馈字段中添加更多详细信息。
    • 如需提交经过修改的 UDM 搜索查询以帮助改进结果,请执行以下操作:
    • 修改生成的 UDM 搜索查询。
    • 点击提交。如果您未重写查询,对话框中会显示文字,提示您修改查询。
    • 点击提交。经过修改的 UDM 搜索查询将经过敏感数据清理,并用于改进搜索结果。

删除聊天会话

您可以删除聊天对话会话,也可以删除所有聊天会话。 Gemini 会以私密方式保留所有用户对话记录,并遵循 Google Cloud的负责任 AI 实践。我们绝不会使用用户历史记录来训练模型。

  1. 在 Gemini 窗格中,从右上角的菜单中选择删除对话
  2. 点击右下角的删除对话可删除当前对话会话。
  3. (可选)如要删除所有聊天会话,请选择删除所有聊天会话,然后点击删除所有对话

提供反馈

您可以针对 Gemini AI 调查协助生成的回答提供反馈。您的反馈有助于 Google 改进该功能以及 Gemini 生成的输出。

  1. 在 Gemini 窗格中,选择“我喜欢”或“不喜欢”图标。
  2. (可选)如果您选择“不喜欢”,可以添加详细反馈,说明您选择此评价的原因。
  3. 点击发送反馈

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。