使用 Gemini 生成搜索查询

支持的平台:

您可以在 Gemini 窗格中或使用 Google 安全运营中心搜索时使用 Gemini 生成搜索查询。

为了获得最佳效果,Google 建议您使用 Gemini 窗格生成搜索查询。

使用 Gemini 窗格生成搜索查询

  1. 登录 Google SecOps,然后点击 Gemini 徽标打开 Gemini 窗格。

  2. 输入自然语言提示,然后按 Enter 键。自然语言提示必须使用英语。

    打开 Gemini 窗格并输入提示

    图 1. 打开 Gemini 窗格并输入提示。

  3. 查看生成的搜索查询。搜索查询使用 YARA-L 2.0 语法。如果生成的搜索查询符合您的要求,请点击运行搜索。Gemini 会生成结果摘要以及建议的操作。

搜索提示和跟进问题示例

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

使用自然语言生成搜索查询

您可以使用 Google SecOps 搜索功能输入有关数据的自然语言查询,Gemini 会将其转换为针对 UDM 事件运行的搜索查询。

为获得更好的结果,Google 建议您使用 Gemini 窗格生成搜索查询

如需使用自然语言搜索创建搜索查询,请完成以下步骤:

  1. 登录 Google SecOps。
  2. 依次前往调查 > SIEM 搜索

  3. 在自然语言查询栏中输入搜索语句,然后点击生成查询。您必须使用英语进行搜索。

    输入自然语言搜索查询,然后点击“生成查询”

    图 2. 输入自然语言搜索查询,然后点击“生成查询”。

    以下是一些可能会生成有用搜索结果的语句示例:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. 如果搜索语句包含基于时间的字词,则时间选择器会自动调整以匹配。例如,这适用于以下搜索:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    如果无法解读搜索语句,您会看到以下消息:
    “抱歉,无法生成有效的查询。请换个方式提问。”

  4. 查看生成的搜索查询。语法为 YARA-L 2.0

  5. (可选)调整搜索时间范围。

  6. 点击运行搜索

  7. 查看搜索结果,确定相应活动是否存在。如有需要,请使用搜索过滤条件缩小结果列表。

  8. 使用生成的查询反馈图标提供有关查询的反馈。从下列选项中选择一项:

    • 如果查询返回预期结果,请点击 thumb_up 我喜欢
    • 如果查询未返回预期结果,请点击 thumb_down thumbs down
    • 可选:在反馈字段中添加更多详细信息。
    • 如需提交经过修改的搜索查询以帮助改进结果,请执行以下操作:
      1. 修改生成的搜索查询。
      2. 点击提交。如果您未重写查询,对话框中会显示文字,提示您修改查询。
      3. 点击提交。我们会对修改后的搜索查询进行敏感数据清理,并将其用于改进搜索结果。

删除聊天会话

您可以删除聊天对话会话,也可以删除所有聊天会话。 Gemini 会以私密方式保留所有用户对话记录,并遵循 Google Cloud的负责任 AI 实践。我们绝不会使用用户历史记录来训练模型。

  1. 在 Gemini 窗格中,从右上角的菜单中选择删除对话
  2. 点击右下角的删除对话可删除当前对话会话。
  3. (可选)如要删除所有聊天会话,请选择删除所有聊天会话,然后点击删除所有对话

提供反馈

您可以针对 Gemini AI 调查协助生成的回答提供反馈。您的反馈有助于 Google 改进该功能以及 Gemini 生成的输出。

  1. 在 Gemini 窗格中,选择“我喜欢”或“不喜欢”图标。
  2. (可选)如果您选择“不喜欢”,可以添加详细反馈,说明您选择此评价的原因。
  3. 点击发送反馈

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。