Générer des requêtes de recherche UDM avec Gemini
Vous pouvez utiliser Gemini pour générer des requêtes de recherche UDM à partir du volet Gemini ou lorsque vous utilisez la recherche UDM.
Pour de meilleurs résultats, Google vous recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.
Générer une requête de recherche UDM à l'aide du volet Gemini
- Connectez-vous à Google SecOps et ouvrez le volet Gemini en cliquant sur le logo Gemini.
Saisissez une requête en langage naturel, puis appuyez sur Entrée. L'invite en langage naturel doit être en anglais.
Figure 1: Ouvrir le volet Gemini et saisir une requête
Examinez la requête de recherche UDM générée. Si la requête de recherche générée répond à vos exigences, cliquez sur Exécuter la recherche.
Gemini génère un résumé des résultats ainsi que des suggestions d'actions.
par Gemini pour poursuivre votre enquête.
Exemples d'invites de recherche et de questions complémentaires
Show me all failed logins for the last 3 daysGenerate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.nWho is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hoursList all of the domains in the results setWhat types of events were returned?
Show me events from my firewall in the last 24 hoursWhat were the 16 unique hostnames in the results set?What were the 9 unique IPs associated with the results set?
Générer une requête de recherche UDM en langage naturel
Grâce à la fonctionnalité de recherche UDM de Google SecOps, vous pouvez saisir une requête en langage naturel sur vos données. Gemini peut ensuite la traduire en requête de recherche UDM que vous pouvez exécuter sur les événements UDM.
Pour de meilleurs résultats, Google recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.
Pour créer une requête de recherche UDM à l'aide d'une recherche dans le langage naturel, procédez comme suit:
- Connectez-vous à Google SecOps.
- Accédez à Recherche SIEM.
Saisissez une instruction de recherche dans la barre de requête en langage naturel, puis cliquez sur Générer une requête. Vous devez effectuer la recherche en anglais.
Figure 2: Saisissez une recherche en langage naturel, puis cliquez sur "Générer une requête"
Voici quelques exemples d'instructions susceptibles de générer une recherche UDM utile:
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by or sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"
- yesterday
- within the last 5 days
- on Jan 1, 2023
Examinez la requête de recherche UDM générée.
(Facultatif) Ajustez la période de recherche.
Cliquez sur Exécuter la recherche.
Examinez les résultats de recherche pour savoir si l'événement est présent. Si nécessaire, utilisez des filtres de recherche pour affiner la liste des résultats.
Envoyez des commentaires sur la requête à l'aide des icônes de commentaires Requête générée. Sélectionnez l'une des options suivantes :
- Si la requête renvoie les résultats attendus, cliquez sur l'icône J'aime.
- Si la requête ne renvoie pas les résultats attendus, cliquez sur l'icône "Je n'aime pas".
- (Facultatif) Ajoutez des informations supplémentaires dans le champ Commentaires.
- Pour envoyer une requête de recherche UDM révisée qui permet d'améliorer les résultats:
- Modifiez la requête de recherche UDM générée.
- Cliquez sur Envoyer. Si vous n'avez pas réécrit la requête, le texte de la boîte de dialogue vous invite à la modifier.
- Cliquez sur Envoyer. La requête de recherche UDM révisée sera nettoyée des données sensibles et utilisée pour améliorer les résultats.
Si l'instruction de recherche inclut un terme basé sur le temps, le sélecteur de temps est automatiquement ajusté pour correspondre. Par exemple, cela s'applique aux recherches suivantes:
Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche:
"Désolé, aucune requête valide n'a pu être générée. Essayez de poser la question différemment."
Supprimer une session de chat
Vous pouvez supprimer votre session de chat ou toutes les sessions de chat. Gemini gère tous les historiques de conversation des utilisateurs de manière privée et respecte les pratiques d'IA responsable de Google Cloud. L'historique utilisateur n'est jamais utilisé pour entraîner des modèles.
- Dans le volet Gemini, sélectionnez Supprimer la discussion dans le menu en haut à droite.
- Cliquez sur Supprimer la discussion en bas à droite pour supprimer la session de chat en cours.
- (Facultatif) Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat, puis cliquez sur Supprimer tous les chats.
Fournir des commentaires
Vous pouvez envoyer des commentaires sur les réponses générées par l'assistance d'investigation de l'IA Gemini. Vos commentaires nous aident à améliorer la fonctionnalité et le résultat généré par Gemini.
- Dans le volet Gemini, sélectionnez l'icône J'aime ou Je n'aime pas.
- (Facultatif) Si vous sélectionnez "Je n'aime pas", vous pouvez ajouter des commentaires pour expliquer pourquoi vous avez choisi cette note.
- Cliquez sur Envoyer des commentaires.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.