Gerar consultas de pesquisa do UDM com o Gemini

Compatível com:

Você pode usar o Gemini para gerar consultas de pesquisa da UDM no painel do Gemini ou ao usar a pesquisa da UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Gerar uma consulta de pesquisa de UDM usando o painel do Gemini

  1. Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.

  2. Digite uma solicitação de linguagem natural e pressione Enter. O comando de idioma natural precisa estar em inglês.

    Abrir o painel do Gemini e inserir o comando

    Figura 1: abrir o painel do Gemini e inserir o comando

  3. Analise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa.

  4. O Gemini gera um resumo dos resultados e ações sugeridas.

  5. do Gemini para continuar a investigação.

Exemplos de comandos de pesquisa e perguntas complementares

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa do UDM usando linguagem natural

Com o recurso de pesquisa UDM do Google SecOps, você pode inserir uma consulta de linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma consulta de pesquisa UDM que pode ser executada em eventos UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa de linguagem natural e criar uma consulta de pesquisa da UDM, siga estas etapas:

  1. Faça login no Google SecOps.
  2. Acesse a Pesquisa SIEM.

  3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. Você precisa usar o inglês para a pesquisa.

    Digite uma pesquisa com linguagem natural e clique em "Gerar consulta".

    Figura 2: digite uma pesquisa em linguagem natural e clique em "Gerar consulta".

    Confira a seguir alguns exemplos de declarações que podem gerar uma pesquisa útil de UDM:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplica às seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a instrução de pesquisa não puder ser interpretada, você verá a seguinte mensagem:
    "Não foi possível gerar uma consulta válida. Tente perguntar de outra forma."

  4. Analise a consulta de pesquisa do UDM gerada.

  5. (Opcional) Ajuste o período da pesquisa.

  6. Clique em Executar pesquisa.

  7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.

  8. Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:

    • Se a consulta retornar os resultados esperados, clique no ícone de aprovação.
    • Se a consulta não retornar os resultados esperados, clique no ícone de polegar para baixo.
    • (Opcional) Inclua mais detalhes no campo Feedback.
    • Para enviar uma consulta de pesquisa revisada da UDM que ajude a melhorar os resultados:
    • Edite a consulta de pesquisa do UDM gerada.
    • Clique em Enviar. Se você não reescrever a consulta, o texto na caixa de diálogo vai solicitar que você edite a consulta.
    • Clique em Enviar. A consulta de pesquisa revisada da UDM será limpa de dados sensíveis e usada para melhorar os resultados.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém o histórico de conversas do usuário em particular e adere às práticas de IA responsável do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.

  1. No painel Gemini, selecione Delete chat no menu no canto superior direito.
  2. Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
  3. (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback sobre as respostas geradas pela assistência de investigação da IA do Gemini. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.

  1. No painel Gemini, selecione o ícone de polegar para cima ou para baixo.
  2. (Opcional) Se você selecionar "Não gostei", poderá adicionar mais feedback sobre por que escolheu essa classificação.
  3. Clique em Enviar comentários.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.