Suchanfragen mit Gemini generieren

Sie können Gemini verwenden, um Suchanfragen über den Gemini-Bereich oder die Google Security Operations-Suche zu generieren.

Für optimale Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

• Suchanfrage über den Gemini-Bereich generieren

• Suchanfrage in natürlicher Sprache generieren

Suchanfrage über den Gemini-Bereich generieren

1. Melden Sie sich in Google SecOps an und klicken Sie auf das Gemini-Logo, um den Gemini-Bereich zu öffnen.

2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Der Prompt in natürlicher Sprache muss auf Englisch sein.

   

   Abbildung 1. Öffnen Sie den Gemini-Bereich und geben Sie den Prompt ein.

3. Überprüfen Sie die generierte Suchanfrage. Die Suchanfrage verwendet die YARA-L 2.0-Syntax. Wenn die generierte Suchanfrage Ihren Anforderungen entspricht, klicken Sie auf Suche ausführen. Gemini erstellt eine Ergebniszusammenfassung mit vorgeschlagenen Aktionen.

Beispiele für Suchanfragen und weiterführende Fragen

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Suchanfrage in natürlicher Sprache generieren

Mit der Suchfunktion von Google SecOps können Sie eine Suchanfrage in natürlicher Sprache zu Ihren Daten eingeben. Gemini kann diese in eine Suchanfrage umwandeln, die auf UDM-Ereignisse angewendet wird.

Für bessere Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

So erstellen Sie mit der Suche in natürlicher Sprache eine Suchanfrage:

1. Melden Sie sich in Google SecOps an.
2. Gehen Sie zu Untersuchung > SIEM-Suche.

3. Geben Sie eine Suchanfrage in die Suchleiste für natürliche Sprache ein und klicken Sie auf Abfrage generieren. Die Suche muss auf Englisch erfolgen.

   

   Abbildung 2. Geben Sie eine Suchanfrage in natürlicher Sprache ein und klicken Sie auf „Abfrage generieren“.

   Im Folgenden finden Sie einige Beispiele für Suchanfragen, die nützliche Ergebnisse liefern könnten:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by or sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Wenn die Suchanfrage einen zeitbezogenen Begriff enthält, wird die Zeitauswahl automatisch angepasst. Das gilt beispielsweise für die folgenden Suchanfragen:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Wenn die Suchanfrage nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
„Die Abfrage konnte nicht generiert werden. Versuchen Sie, die Frage anders zu stellen.“

4. Überprüfen Sie die generierte Suchanfrage. Die Syntax ist YARA-L 2.0.

5. Optional: Passen Sie den Suchzeitraum an.

6. Klicken Sie auf Suche ausführen.

7. Prüfen Sie in den Suchergebnissen, ob das Ereignis vorhanden ist. Mithilfe von Suchfiltern können Sie die Liste der Ergebnisse bei Bedarf eingrenzen.

8. Geben Sie Feedback zur Abfrage mithilfe der Feedbacksymbole für generierte Abfragen. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

   • Wenn die Abfrage die erwarteten Ergebnisse liefert, klicken Sie auf Mag ich Mag ich.
   • Wenn die Abfrage nicht die erwarteten Ergebnisse zurückgibt, klicken Sie auf Mag ich nicht Mag ich nicht.
   • Optional: Geben Sie im Feld Feedback zusätzliche Details ein.
   • So reichen Sie eine überarbeitete Suchanfrage ein, mit der die Ergebnisse verbessert werden können:
     1. Bearbeiten Sie die generierte Suchanfrage.
     2. Klicken Sie auf Senden. Wenn Sie die Abfrage nicht umgeschrieben haben, werden Sie im Dialogfeld aufgefordert, sie zu bearbeiten.
     3. Klicken Sie auf Senden. Die überarbeitete Suchanfrage wird von sensiblen Daten bereinigt und verwendet, um die Ergebnisse zu verbessern.

Chatsitzung löschen

Sie können die Chatsitzung oder alle Chatsitzungen löschen. Gemini verwaltet alle Nutzerunterhaltungen vertraulich und hält sich an die Verantwortungsbewusste-KI-Grundsätze von Google Cloud. Der Nutzerverlauf wird niemals zum Trainieren von Modellen verwendet.

1. Wählen Sie im Gemini-Bereich rechts oben im Menü die Option Chat löschen aus.
2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen und dann Alle Chats löschen aus.

Feedback geben

Sie können Feedback zu Antworten geben, die von der KI-gestützten Ermittlungshilfe von Gemini generiert wurden. Ihr Feedback hilft uns, die Funktion und die von Gemini generierten Ergebnisse zu verbessern.

1. Wählen Sie im Gemini-Bereich das Symbol „Mag ich“ oder „Mag ich nicht“ aus.
2. Optional: Wenn Sie „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben, warum Sie diese Bewertung ausgewählt haben.
3. Klicken Sie auf Feedback senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten