UDM-Suchanfragen mit Gemini generieren

Unterstützt in:

Sie können mit Gemini UDM-Suchanfragen über die Gemini-Bereich oder wenn Sie die UDM-Suche verwenden.

Für optimale Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

UDM-Suchabfrage mit dem Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an und öffnen Sie den Gemini-Bereich, indem Sie auf das Gemini-Logo klicken.

  2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Das natürliche Sprach-Prompt muss auf Englisch sein.

    Gemini-Bereich öffnen und eingeben Aufforderung

    Abbildung 1: Gemini-Bereich öffnen und Prompt eingeben

  3. Prüfen Sie die generierte UDM-Suchabfrage. Wenn die generierte Suchanfrage die Klicken Sie auf Suche ausführen.

  4. Gemini erstellt eine Ergebniszusammenfassung mit vorgeschlagenen Aktionen.

  5. von Gemini, um mit der Untersuchung fortzufahren.

Beispiele für Suchaufforderungen und Nachfragen

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

UDM-Suchanfrage in natürlicher Sprache generieren

Mit der UDM-Suchfunktion von Google SecOps können Sie eine Suchanfrage in natürlicher Sprache zu Ihren Daten eingeben. Gemini kann diese in eine UDM-Suchanfrage umwandeln, die Sie auf UDM-Ereignisse anwenden können.

Für bessere Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

So erstellen Sie mit einer Suche in natürlicher Sprache eine UDM-Suchanfrage:

  1. Melden Sie sich in Google SecOps an.
  2. Gehen Sie zu SIEM Search.

  3. Geben Sie eine Suchanweisung in die Abfrageleiste in natürlicher Sprache ein und klicken Sie auf Abfrage generieren: Die Suche muss auf Englisch erfolgen.

    Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf Generieren Abfrage

    Abbildung 2: Eine Suche in natürlicher Sprache eingeben und auf „Abfrage generieren“ klicken

    Im Folgenden finden Sie einige Beispiele für Anweisungen, die eine nützliche UDM-Suche generieren könnten:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanweisung einen zeitbasierten Begriff enthält, ist die Zeitauswahl automatisch angepasst. Dies gilt beispielsweise für die folgenden Suchanfragen:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanfrage nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
    „Leider konnte keine gültige Abfrage generiert werden. Versuchen Sie, die Frage anders zu stellen.“

  4. Sehen Sie sich die generierte UDM-Suchanfrage an.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Prüfen Sie in den Suchergebnissen, ob das Ereignis vorhanden ist. Verwenden Sie bei Bedarf Suchfilter, um die Liste der Ergebnisse einzugrenzen.

  8. Geben Sie Feedback zur Abfrage mithilfe der Feedbacksymbole für generierte Abfragen. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Symbol „Mag ich“.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Symbol „Mag ich nicht“.
    • Optional: Geben Sie im Feld Feedback zusätzliche Details ein.
    • So reichen Sie eine überarbeitete UDM-Suchanfrage ein, mit der sich die Ergebnisse verbessern lassen:
    • Bearbeiten Sie die generierte UDM-Suchabfrage.
    • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht neu geschrieben haben, Text im Dialogfeld werden Sie aufgefordert, die Abfrage zu bearbeiten.
    • Klicken Sie auf Senden. Die überarbeitete UDM-Suchanfrage wird von sensible Daten und werden zur Verbesserung der Ergebnisse verwendet.

Chatsitzung löschen

Sie können Ihre Chatunterhaltung oder alle Chatsitzungen löschen. Gemini speichert alle Nutzerunterhaltungen privat und hält sich an die Verantwortungsbewusste-KI-Grundsätze von Google Cloud. Der Nutzerverlauf wird niemals zum Trainieren von Modellen verwendet.

  1. Wähle im Gemini-Bereich Chat löschen aus dem Menü oben rechts.
  2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen aus. und dann auf Alle Chats löschen.

Feedback geben

Sie können Feedback zu Antworten geben, die von der KI-gestützten Ermittlungshilfe von Gemini generiert wurden. Ihr Feedback hilft Google, die Funktion und der von Gemini generierten Ausgabe.

  1. Wählen Sie im Gemini-Bereich das Symbol für „Mag ich“ oder „Mag ich nicht“ aus.
  2. Optional: Wenn Sie die Option „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben. warum Sie sich für die Bewertung entschieden haben.
  3. Klicken Sie auf Feedback senden.