Genera búsquedas de UDM con Gemini

Compatible con:

Puedes usar Gemini para generar consultas de búsqueda de la UDM desde el panel de Gemini o cuando uses la búsqueda de la UDM.

Para obtener los mejores resultados, Google recomienda usar el panel de Gemini para generar consultas de búsqueda.

Genera una búsqueda de UDM con el panel de Gemini

  1. Accede a Google SecOps y abre el panel de Gemini de la siguiente forma: haciendo clic en el logotipo de Gemini.

  2. Ingresa una instrucción de lenguaje natural y presiona Intro. La instrucción en lenguaje natural debe estar en inglés.

    Abrir el panel de Gemini y escribir instrucción

    Figura 1: Abre el panel de Gemini y, luego, ingresa una instrucción

  3. Revisa la búsqueda de la AUA generada. Si la búsqueda generada cumple según tus requisitos, haz clic en Ejecutar búsqueda.

  4. Gemini genera un resumen de los resultados junto con las acciones sugeridas.

  5. de Gemini para continuar con la investigación.

Ejemplos de instrucciones de búsqueda y preguntas de seguimiento

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Genera una consulta de búsqueda de la AUA con lenguaje natural

Con la función de búsqueda de UDM de Google SecOps, puedes ingresar una consulta de lenguaje natural sobre tus datos, y Gemini puede traducirla en una consulta de búsqueda de UDM que puedes ejecutar en eventos de UDM.

Para obtener mejores resultados, Google recomienda usar el panel de Gemini para generar consultas de búsqueda.

Para usar una búsqueda de lenguaje natural y crear una consulta de búsqueda de la UDM, completa los siguientes pasos:

  1. Accede a Google SecOps.
  2. Navega a Búsqueda de SIEM.

  3. Ingresa una declaración de búsqueda en la barra de consultas en lenguaje natural y haz clic en Genera una consulta. Debes usar inglés para la búsqueda.

    Ingresa una búsqueda de lenguaje natural y haz clic en Generar. Consulta

    Figura 2: Ingresa una búsqueda de lenguaje natural y haz clic en Generar consulta

    Los siguientes son algunos ejemplos de afirmaciones que podrían generar una búsqueda útil de la UDM:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Si la instrucción de búsqueda incluye un término basado en el tiempo, el selector de hora es se ajustan automáticamente para que coincidan. Por ejemplo, esto se aplicaría a las siguientes búsquedas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Si no se puede interpretar la sentencia de búsqueda, verás el siguiente mensaje:
    "No se pudo generar una consulta válida. Intenta preguntar de otra manera".

  4. Revisa la búsqueda de la AUA generada.

  5. (Opcional) Ajusta el intervalo de tiempo de búsqueda.

  6. Haz clic en Run Search.

  7. Revisa los resultados de la búsqueda para determinar si el evento está presente. Si es necesario, usar los filtros de búsqueda para reducir la lista de resultados.

  8. Proporciona comentarios sobre la consulta con los comentarios de la Consulta generada. íconos. Selecciona una de las siguientes opciones:

    • Si la consulta muestra los resultados esperados, haz clic en el ícono de Me gusta.
    • Si la consulta no muestra los resultados esperados, haz clic en el ícono de pulgar hacia abajo.
    • De forma opcional, incluye detalles adicionales en el campo Comentarios.
    • Para enviar una búsqueda de UDM revisada que ayude a mejorar los resultados, sigue estos pasos:
    • Edita la búsqueda de UDM que se generó.
    • Haz clic en Enviar. Si no volviste a escribir la consulta, el texto del diálogo y te pide que edites la consulta.
    • Haz clic en Enviar. La búsqueda de la UDM revisada se limpiará de datos sensibles y se usará para mejorar los resultados.

Cómo borrar una sesión de chat

Puedes borrar la sesión de tu conversación de chat o borrar todas las sesiones de chat. Gemini mantiene todos los historiales de conversaciones de los usuarios de forma privada y se adhiere a las prácticas de IA responsable de Google Cloud. El historial de usuarios nunca se usa para entrenar modelos.

  1. En el panel de Gemini, selecciona Borrar chat en el menú de en la parte superior derecha.
  2. Haz clic en Borrar chat en la esquina inferior derecha para borrar el chat actual. sesión.
  3. (Opcional) Para borrar todas las sesiones de chat, selecciona Borrar todas las sesiones de chat y, luego, haz clic en Borrar todos los chats.

Proporcionar comentarios

Puedes enviar comentarios a las respuestas generadas por la IA de Gemini asistencia en la investigación. Tus comentarios ayudan a Google a mejorar la función y el resultado que genera Gemini.

  1. En el panel Gemini, selecciona el ícono de Me gusta o No me gusta.
  2. Si seleccionas No me gusta, puedes agregar comentarios adicionales sobre el motivo por el que elegiste la calificación (opcional).
  3. Haz clic en Enviar comentarios.