Generare query di ricerca UDM con Gemini

Supportato in:

Puoi utilizzare Gemini per generare query di ricerca UDM dal riquadro Gemini o quando utilizzi la ricerca UDM.

Per risultati ottimali, Google consiglia di utilizzare il riquadro Gemini per generare query di ricerca.

Generare una query di ricerca UDM utilizzando il riquadro Gemini

  1. Accedi a Google SecOps e apri il riquadro Gemini facendo clic sul logo di Gemini.

  2. Inserisci un prompt in linguaggio naturale e premi Invio. Il prompt in linguaggio naturale deve essere in inglese.

    Apri il riquadro di Gemini e inserisci il prompt

    Figura 1: apri il riquadro di Gemini e inserisci il prompt

  3. Rivedi la query di ricerca UDM generata. Se la query di ricerca generata soddisfa i tuoi requisiti, fai clic su Esegui ricerca.

  4. Gemini genera un riepilogo dei risultati insieme alle azioni suggerite.

  5. di Gemini per continuare la tua indagine.

Prompt di ricerca e domande di follow-up di esempio

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Genera una query di ricerca UDM utilizzando il linguaggio naturale

Utilizzando la funzionalità di ricerca UDM di Google SecOps, puoi inserire una query in linguaggio naturale sui tuoi dati e Gemini può tradurla in una query di ricerca UDM che puoi eseguire sugli eventi UDM.

Per ottenere risultati migliori, Google consiglia di utilizzare il riquadro Gemini per generare query di ricerca.

Per utilizzare una ricerca in linguaggio naturale per creare una query di ricerca UDM, completa i seguenti passaggi:

  1. Accedi a Google SecOps.
  2. Vai a Ricerca SIEM.

  3. Inserisci un'istruzione di ricerca nella barra delle query in linguaggio naturale e fai clic su Genera query. Devi utilizzare l'inglese per la ricerca.

    Inserisci una ricerca in linguaggio naturale e fai clic su Genera query.

    Figura 2: inserisci una ricerca in linguaggio naturale e fai clic su Genera query

    Di seguito sono riportati alcuni esempi di istruzioni che potrebbero generare una ricerca UDM utile:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se l'istruzione di ricerca include un termine basato sul tempo, il selettore dell'ora viene adattato automaticamente in base alla corrispondenza. Ad esempio, questo vale per le seguenti ricerche:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se l'istruzione di ricerca non può essere interpretata, viene visualizzato il seguente messaggio:
    "Spiacenti, non è stato possibile generare una query valida. Prova a porre la domanda in un altro modo."

  4. Rivedi la query di ricerca UDM generata.

  5. (Facoltativo) Modifica l'intervallo di tempo di ricerca.

  6. Fai clic su Esegui ricerca.

  7. Esamina i risultati di ricerca per verificare se l'evento è presente. Se necessario, utilizza i filtri di ricerca per restringere l'elenco dei risultati.

  8. Fornisci un feedback sulla query utilizzando le icone di feedback per le query generate. Seleziona una delle seguenti opzioni:

    • Se la query restituisce i risultati previsti, fai clic sull'icona Mi piace.
    • Se la query non restituisce i risultati previsti, fai clic sull'icona Non mi piace.
    • (Facoltativo) Includi ulteriori dettagli nel campo Feedback.
    • Per inviare una query di ricerca UDM rivista che contribuisca a migliorare i risultati:
    • Modifica la query di ricerca UDM generata.
    • Fai clic su Invia. Se non hai riscritto la query, il testo nella finestra di dialogo ti chiede di modificarla.
    • Fai clic su Invia. La query di ricerca UDM rivista verrà sottoposta a sanificazione per rimuovere i dati sensibili e utilizzata per migliorare i risultati.

Eliminare una sessione di chat

Puoi eliminare la sessione della conversazione di chat o tutte le sessioni di chat. Gemini gestisce in privato tutte le cronologie delle conversazioni degli utenti e rispetta le pratiche di AI responsabile di Google Cloud. La cronologia utente non viene mai utilizzata per addestrare i modelli.

  1. Nel riquadro Gemini, seleziona Elimina chat dal menu in alto a destra.
  2. Fai clic su Elimina chat in basso a destra per eliminare la sessione di chat corrente.
  3. (Facoltativo) Per eliminare tutte le sessioni di chat, seleziona Elimina tutte le sessioni di chat e poi fai clic su Elimina tutte le chat.

Invia il tuo feedback

Puoi fornire feedback sulle risposte generate dall'assistenza per le indagini con l'IA di Gemini. Il tuo feedback aiuta Google a migliorare la funzionalità e l'output generato da Gemini.

  1. Nel riquadro Gemini, seleziona l'icona Mi piace o Non mi piace.
  2. (Facoltativo) Se selezioni Non mi piace, puoi aggiungere un feedback aggiuntivo sul motivo per cui hai scelto la valutazione.
  3. Fai clic su Invia feedback.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.