Gemini in Google SecOps

Weitere Informationen zu Gemini, Large Language Models und Responsible AI finden Sie unter Gemini für Code. Weitere Informationen finden Sie in der Gemini-Dokumentation und in den Versionshinweisen.

  • Verfügbarkeit: Gemini in Google SecOps ist weltweit verfügbar. Gemini-Daten werden in den folgenden Regionen verarbeitet: us-central1, asia-southeast1 und europe-west1. Kundenanfragen werden zur Verarbeitung an die nächstgelegene Region weitergeleitet.

  • Preise: Informationen zu Preisen finden Sie in der pricing für Google Security Operations.

  • Gemini-Sicherheit: Informationen zu Gemini-Sicherheitsfeatures in Google Cloud finden Sie unter Sicherheit mit generativer KI.

  • Data Governance: Informationen zu den Data Governance-Praktiken von Gemini finden Sie unter So werden Ihre Daten von Gemini for Google Cloud verwendet.

  • Zertifizierungen: Informationen zu Gemini-Zertifizierungen finden Sie unter Zertifizierungen für Gemini.

  • SecLM-Plattform: Gemini für Google SecOps verwendet eine Reihe von Large Language Models über die SecLM-Plattform, einschließlich des spezialisierten Sec-PaLM-Modells. Sec-PaLM wird mit Daten wie Sicherheitsblogs, Threat-Intelligence-Berichten, YARA- und YARA-L-Erkennungsregeln, SOAR-Playbooks, Malware-Skripts, Informationen zu Schwachstellen, Produktdokumentationen und vielen anderen spezialisierten Datasets trainiert. Weitere Informationen finden Sie unter Sicherheit mit generativer KI.

Die folgenden Abschnitte enthalten die Dokumentation für die Google SecOps-Features auf Basis von Gemini:

Gemini zur Untersuchung von Sicherheitsproblemen verwenden

Gemini bietet Unterstützung bei der Prüfung, auf die von jedem Bereich von Google SecOps aus zugegriffen werden kann. Gemini kann Sie bei Ihren Prüfungen unterstützen und bietet Unterstützung für folgende Themen:

  • Suche: Gemini unterstützt Sie beim Erstellen, Bearbeiten und Ausführen von Suchanfragen, die auf relevante Ereignisse mit Prompts in natürlicher Sprache ausgerichtet sind. Gemini kann Ihnen auch dabei helfen, eine Suche zu iterieren, den Umfang anzupassen, den Zeitraum zu erweitern und Filter hinzuzufügen. Sie können alle diese Aufgaben mit Prompts in natürlicher Sprache ausführen, die in den Gemini-Bereich eingegeben werden.
  • Zusammenfassungen der Suche: Gemini kann Suchergebnisse nach jeder Such- und nachfolgenden Filteraktion automatisch zusammenfassen. Im Gemini-Bereich werden die Ergebnisse Ihrer Suche in einem kompakten und verständlichen Format zusammengefasst. Gemini kann auch kontextbezogene Folgefragen zu den Zusammenfassungen beantworten.
  • Regelgenerierung: Gemini kann aus den generierten UM-Suchanfragen neue YARA-L-Regeln erstellen.
  • Sicherheitsfragen und Threat-Intelligence-Analyse: Gemini kann allgemeine Fragen zu Sicherheitsdomains beantworten. Darüber hinaus kann Gemini spezifische Fragen zu Bedrohungsdaten beantworten und Zusammenfassungen über Angreifer, IOCs und andere Themen zu Bedrohungsdaten liefern.
  • Problemlösung: Auf Grundlage der zurückgegebenen Ereignisinformationen kann Gemini die weiteren Schritte vorschlagen. Vorschläge können auch nach dem Filtern der Suchergebnisse angezeigt werden. Gemini könnte beispielsweise vorschlagen, eine relevante Benachrichtigung oder Regel zu überprüfen oder nach einem bestimmten Host oder Nutzer zu filtern.

Sie können Gemini verwenden, um UDM-Suchanfragen über den Gemini-Bereich oder über die UDM-Suche zu generieren.

Für optimale Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

UDM-Suchabfrage mit dem Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an und öffnen Sie den Gemini-Bereich durch Klicken auf das Gemini-Logo.

  2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Der Prompt in natürlicher Sprache muss auf Englisch sein.

    Öffnen Sie den Gemini-Bereich und geben Sie die Eingabeaufforderung

    Abbildung 1: Gemini-Bereich öffnen und Eingabeaufforderung eingeben

  3. Überprüfen Sie die generierte UDM-Suchabfrage. Wenn die generierte Suchanfrage Ihren Anforderungen entspricht, klicken Sie auf Suche ausführen.

  4. Gemini erstellt eine Ergebniszusammenfassung mit den vorgeschlagenen Aktionen.

  5. Geben Sie Folgefragen in natürlicher Sprache zu den von Gemini bereitgestellten Suchergebnissen ein, um Ihre Untersuchung fortzusetzen.

Beispiele für Aufforderungen zur Suche und Folgefragen
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

UDM-Suchabfrage mit natürlicher Sprache generieren

Mit der Google SecOps-Suchfunktion können Sie eine Abfrage in natürlicher Sprache zu Ihren Daten eingeben und Gemini in eine UDM-Suchabfrage übersetzen, die Sie für UDM-Ereignisse ausführen können.

Für bessere Ergebnisse empfiehlt Google die Verwendung des Gemini-Bereichs zum Generieren von Suchanfragen.

Führen Sie die folgenden Schritte aus, um eine UDM-Suchabfrage mithilfe einer Suche in natürlicher Sprache zu erstellen:

  1. Melden Sie sich in Google SecOps an.
  2. Gehen Sie zu Suchen.

  3. Geben Sie eine Suchanweisung in die Abfrageleiste in natürlicher Sprache ein und klicken Sie auf Abfrage generieren. Die Suchanfrage muss auf Englisch gestellt werden.

    Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf „Abfrage generieren“.

    Abbildung 2: Suche in natürlicher Sprache eingeben und auf „Abfrage generieren“ klicken

    Im Folgenden finden Sie einige Beispiele für Anweisungen, die eine nützliche UM-Suche generieren könnten:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanweisung einen zeitbasierten Begriff enthält, wird die Zeitauswahl automatisch entsprechend angepasst. Dies würde zum Beispiel für die folgenden Suchanfragen gelten:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanweisung nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
    „Es konnte keine gültige Abfrage generiert werden. Versuchen Sie es mit einer anderen Methode.“

  4. Überprüfen Sie die generierte UDM-Suchabfrage.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Sehen Sie in den Suchergebnissen nach, ob das Ereignis vorhanden ist. Verwenden Sie bei Bedarf Suchfilter, um die Liste der Ergebnisse einzugrenzen.

  8. Über die Feedbacksymbole für Generierte Abfrage können Sie Feedback zur Abfrage geben. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Daumen-nach-oben-Symbol.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse liefert, klicken Sie auf das Daumen-nach-unten-Symbol.
    • Optional: Geben Sie zusätzliche Details in das Feld Feedback ein.
    • So senden Sie eine überarbeitete UDM-Suchabfrage, die zur Verbesserung der Ergebnisse beiträgt:
    • Bearbeiten Sie die generierte UDM-Suchabfrage.
    • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht neu geschrieben haben, werden Sie aufgefordert, die Abfrage zu bearbeiten.
    • Klicken Sie auf Senden. Die überarbeitete UDM-Suchabfrage wird von sensiblen Daten bereinigt und zur Verbesserung der Ergebnisse verwendet.

YARA-L-Regel mit Gemini generieren

  1. Verwenden Sie einen Prompt in natürlicher Sprache, um eine Regel zu generieren, z. B. create a rule to detect logins from bruce-monroe. Drücken Sie die Eingabetaste. Gemini generiert eine Regel, um das Verhalten zu erkennen, nach dem Sie im Gemini-Bereich gesucht haben.

  2. Klicken Sie auf Im Regeleditor öffnen, um die neue Regel im Regeleditor anzusehen und zu ändern. Sie können mit dieser Funktion nur Regeln für einzelne Ereignisse erstellen.

    Beispiel: Mithilfe der vorherigen Regelaufforderung generiert Gemini die folgende Regel:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Klicken Sie auf Neue Regel speichern, um die Regel zu aktivieren. Die Regel wird in der Liste der Regeln auf der linken Seite angezeigt. Halten Sie den Mauszeiger über die Regel, klicken Sie auf das Menüsymbol und bewegen Sie die Option Live-Regel nach rechts (grün). Weitere Informationen finden Sie unter Regeln mit dem Regeleditor verwalten.

Feedback zur generierten Regel geben

Sie können Feedback zur generierten Regel geben. Dieses Feedback wird verwendet, um die Genauigkeit der Funktion zur Regelgenerierung zu verbessern.

  • Wenn die Regelsyntax wie erwartet generiert wurde, klicken Sie auf das „Mag ich“-Symbol.
  • Wenn die Regelsyntax nicht Ihren Erwartungen entspricht, klicken Sie auf das Daumen-nach-unten-Symbol. Wählen Sie die Option aus, die das Problem am besten angibt, das Sie mit der generierten Regelsyntax gefunden haben. Optional: Machen Sie im Feld Beschreibung Ihres Feedbacks zusätzliche Angaben. Klicken Sie auf Feedback geben.

Unterstützung bei Fragen zu Bedrohungsdaten und Sicherheit

Gemini kann Fragen im Zusammenhang mit Bedrohungsdaten zu Themen wie Angreifern, deren Assoziationen und Verhaltensmustern beantworten, einschließlich Fragen zu MITRE-TTPs.

Geben Sie Ihre Fragen in den Gemini-Bereich ein.

  1. Geben Sie eine Threat Intelligence-Frage ein. Beispiel: What is UNC3782?

  2. Überprüfen Sie die Ergebnisse.

  3. Bitten Sie Gemini um die Erstellung von Abfragen, um nach bestimmten IOCs zu suchen, auf die in den Threat Intelligence-Berichten verwiesen wird. Informationen zu Bedrohungsdaten unterliegen den verfügbaren Berechtigungen Ihrer Google SecOps-Lizenz.

Beispiel: Fragen zu Bedrohungsdaten und Sicherheit

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini und MITRE

Die MITRE ATT&CK®-Matrix ist eine Wissensdatenbank, in der die TTPs dokumentiert werden, die von echten Cyberkriminellen verwendet werden. Die MITRE-Matrix bietet ein Verständnis dafür, wie Ihr Unternehmen angegriffen werden könnte, und bietet eine standardisierte Syntax für die Diskussion von Angriffen.

Sie können Gemini Fragen zu MITRE-Taktiken, -Techniken und -Verfahren (TTPs) stellen und im Kontext relevante Antworten erhalten, die die folgenden MITRE-Details enthalten:

  • Taktik
  • Verfahren
  • Untergeordnete Technik
  • Vorschläge zur Erkennung von Systemausfällen
  • Prozeduren
  • Risikominderungen

Gemini gibt einen Link zu den ausgewählten Erkennungen zurück, die Google SecOps für jeden TTP zur Verfügung stellt. Sie können Gemini auch Folgefragen stellen, um zusätzliche Informationen zu einem MITRE-TTP und dessen Auswirkungen auf Ihr Unternehmen zu erhalten.

Chatsitzung löschen

Sie können Ihre Chatunterhaltungssitzung oder alle Chatsitzungen löschen. Gemini verwaltet alle Unterhaltungsverläufe von Nutzern privat und hält die Responsible AI-Praktiken von Google Cloud ein. Der Nutzerverlauf wird nie zum Trainieren von Modellen verwendet.

  1. Wählen Sie im Gemini-Bereich oben rechts im Menü die Option Chat löschen aus.
  2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen aus und klicken Sie dann auf Alle Chats löschen.

Feedback geben

Sie können Feedback zu den Antworten geben, die von der Gemini AI-Prüfungsunterstützung generiert wurden. Ihr Feedback hilft Google dabei, die Funktion und die von Gemini generierte Ausgabe zu verbessern.

  1. Wählen Sie im Gemini-Bereich das „Mag ich“- oder „Mag ich nicht“-Symbol aus.
  2. Optional: Wenn Sie „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben, warum Sie diese Bewertung gewählt haben.
  3. Klicken Sie auf Feedback senden.

Widget für KI-Prüfungen

Das KI-Untersuchungs-Widget betrachtet den gesamten Fall (Benachrichtigungen, Ereignisse und Entitäten) und bietet eine KI-generierte Fallzusammenfassung darüber, wie viel Aufmerksamkeit der Fall erfordern könnte. Das Widget fasst auch die Benachrichtigungsdaten zusammen, um die Bedrohung besser zu verstehen, und bietet Empfehlungen für die nächsten Schritte für eine effektive Abhilfe.

Die Klassifizierung, Zusammenfassung und Empfehlungen beinhalten eine Option, um Feedback zum Grad der Genauigkeit und Nützlichkeit der KI zu geben. Das Feedback hilft uns, die Genauigkeit zu verbessern.

Das Widget „AI Investigation“ wird auf der Seite Fälle auf dem Tab Fallübersicht angezeigt. Wenn der Fall nur eine Benachrichtigung enthält, klicken Sie auf den Tab Fallübersicht, um dieses Widget zu sehen.

KI-Untersuchung

Das Widget für die KI-Prüfung wird nicht für Supportanfragen angezeigt, die manuell erstellt oder über Your Workdesk initiiert werden.

Feedback zum Widget für die KI-Prüfung geben

  1. Wenn die Ergebnisse akzeptabel sind, klicke auf das Daumen-hoch-Symbol. Im Feld Zusätzliches Feedback können Sie weitere Informationen angeben.

  2. Wenn die Ergebnisse nicht deinen Erwartungen entsprechen, klicke auf das „Mag ich nicht“-Symbol. Wählen Sie eine der verfügbaren Optionen aus und fügen Sie zusätzliches Feedback hinzu, das Sie für relevant halten.

  3. Klicken Sie auf Feedback geben.

Widget für KI-Prüfung entfernen

Das Widget „KI-Prüfung“ ist in der Standardansicht enthalten.

So entfernen Sie das Widget „KI-Prüfung“ aus der Standardansicht:

  1. Rufen Sie SOAR-Einstellungen > Falldaten > Datenansichten auf.

  2. Wählen Sie in der linken Seitenleiste Standardmäßige Fallansicht aus.

  3. Klicken Sie im Widget „KI-Prüfung“ auf das Symbol Löschen.

Playbooks mit Gemini erstellen

Gemini kann Sie dabei unterstützen, die Erstellung von Playbooks zu optimieren. Dafür verwandeln Sie Ihre Prompts in ein funktionales Playbook, mit dem sich Sicherheitsprobleme beheben lassen.

Playbook mit Prompts erstellen

  1. Gehen Sie zu Antwort > Playbooks.
  2. Wählen Sie das Symbol Hinzufügen aus und erstellen Sie ein neues Playbook.
  3. Wählen Sie im neuen Playbook-Bereich Playbooks mit KI erstellen aus.
  4. Geben Sie im Prompt-Bereich einen umfassenden und gut strukturierten Prompt auf Englisch ein. Weitere Informationen zum Schreiben eines Playbook-Prompts finden Sie unter Prompts für das Erstellen von Gemini-Playbooks schreiben.
  5. Klicken Sie auf Playbook erstellen.
  6. Ein Vorschaubereich mit dem generierten Playbook wird angezeigt. Wenn Sie Änderungen vornehmen möchten, klicken Sie auf Bearbeiten und verfeinern Sie die Eingabe.
  7. Klicken Sie auf Playbook erstellen.
  8. Wenn Sie Änderungen am Playbook vornehmen möchten, sobald es im Hauptbereich angezeigt wird, wählen Sie Playbooks mit KI erstellen aus und schreiben Sie den Prompt neu. Gemini erstellt ein neues Playbook für Sie.

Feedback zu Playbooks geben, die von Gemini erstellt wurden

  1. Wenn die Ergebnisse des Playbooks gut sind, klicken Sie auf das „Mag ich“-Symbol. Im Feld Zusätzliches Feedback können Sie weitere Angaben machen.
  2. Wenn die Playbook-Ergebnisse nicht wie erwartet waren, klicken Sie auf das „Mag ich nicht“-Symbol. Wählen Sie eine der Optionen aus und fügen Sie zusätzliches Feedback hinzu, das Sie für relevant halten.

Prompts zum Erstellen des Gemini-Playbooks schreiben

Die Playbook-Funktion Gemini wurde entwickelt, um Playbooks basierend auf der von Ihnen bereitgestellten Eingabe in natürlicher Sprache zu erstellen. Sie müssen klare und gut strukturierte Aufforderungen in das Feld mit den Gemini-Playbook-Prompts eingeben. Dadurch wird dann ein Google SecOps-Playbook mit Triggern, Aktionen und Bedingungen generiert. Die Qualität des Playbooks wird von der Genauigkeit des bereitgestellten Prompts beeinflusst. Gut formulierte Prompts mit klaren und spezifischen Details erzeugen effektivere Playbooks.

Funktionen der Playbook-Erstellung mit Gemini

Mit den Gemini-Funktionen zum Erstellen von Playbooks können Sie Folgendes tun:

  • Erstellen Sie neue Playbooks mit den folgenden Elementen: Aktionen, Trigger, Abläufe.
  • Verwende alle heruntergeladenen kommerziellen Integrationen.
  • Gib bestimmte Aktionen und Integrationsnamen als Playbook-Schritte in den Prompt ein.
  • Machen Sie sich mit Prompts vertraut, um den Ablauf zu beschreiben, bei dem keine spezifischen Integrationen und Namen angegeben sind.
  • Verwenden Sie Bedingungsabläufe, die in den SOAR-Antwortfunktionen unterstützt werden.
  • Ermitteln, welcher Trigger für das Playbook erforderlich ist

Beachten Sie, dass die Verwendung von Parametern in Prompts nicht immer dazu führt, dass die richtige Aktion verwendet wird.

Effektive Prompts formulieren

Jede Aufforderung muss die folgenden Komponenten enthalten:

  • Ziel: was generiert werden soll
  • Trigger: wie das Playbook ausgelöst wird
  • Playbook-Aktion: Aufgaben
  • Bedingung: bedingte Logik

Beispiel für einen Prompt mit Integrationsname

Das folgende Beispiel zeigt eine gut strukturierte Aufforderung mit einem Integrationsnamen:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Diese Eingabeaufforderung enthält die vier zuvor definierten Komponenten:

  • Klares Ziel: Hat ein definiertes Ziel, den Umgang mit Malware-Warnungen.
  • Bestimmter Auslöser: Die Aktivierung erfolgt anhand eines bestimmten Ereignisses, bei dem eine Malware-Warnung eingeht.
  • Playbook-Aktionen: erweitert eine Google Security Operations-SOAR-Entität mit Daten aus einer Drittanbieterintegration (VirusTotal).
  • Bedingte Antwort: Gibt eine Bedingung an, die auf vorherigen Ergebnissen basiert. Wenn sich beispielsweise der Datei-Hash als schädlich erweist, sollte die Datei unter Quarantäne gestellt werden.

Beispiel für einen Prompt mit einem Ablauf anstelle eines Integrationsnamens

Das folgende Beispiel zeigt eine gut strukturierte Aufforderung, beschreibt den Ablauf aber ohne den spezifischen Integrationsnamen.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Das Gemini-Playbook-Erstellungsfeature kann die Beschreibung einer Aktion – einen Datei-Hash anreichern – und die installierten Integrationen durchsehen, um diejenige zu finden, die am besten zu dieser Aktion passt.

Mit dem Feature zum Erstellen von Gemini-Playbooks können nur Integrationen ausgewählt werden, die bereits in Ihrer Umgebung installiert sind.

Benutzerdefinierte Trigger

Zusätzlich zu den Standardtriggern kann ein Trigger in der Playbook-Eingabeaufforderung angepasst werden. Sie können Platzhalter für die folgenden Objekte angeben:

  • Benachrichtigung
  • Ereignis
  • Entität
  • Umgebung
  • Freier Text

Im folgenden Beispiel wird Freitext verwendet, um einen Trigger zu erstellen, der für alle E-Mails aus dem Ordner verdächtige E-Mail ausgeführt wird, mit Ausnahme der E-Mails, deren Betreffzeile das Wort [TEST] enthält.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Tipps zum Schreiben von Prompts

  • Es empfiehlt sich, bestimmte Integrationsnamen zu verwenden: Geben Sie Integrationen nur an, wenn sie bereits in Ihrer Umgebung installiert und konfiguriert sind.
  • Vorteile der Gemini-Spezialisierung nutzen: Die Gemini-Funktion zum Erstellen von Playbooks wurde speziell zum Erstellen von Playbooks entwickelt, die auf Prompts basieren, die auf die Reaktion auf Vorfälle, die Bedrohungserkennung und automatisierte Sicherheitsworkflows abgestimmt sind.
  • Geben Sie den Zweck, den Trigger, die Aktion und die Bedingung an.
  • Legen Sie klare Ziele fest: Beginnen Sie mit einem klaren Ziel, z. B. der Verwaltung von Malware-Warnungen, und geben Sie Trigger an, die das Playbook aktivieren.
  • Fügen Sie Bedingungen für Aktionen wie das Anreichern von Daten oder das Speichern von Dateien in Quarantäne ein, die auf einer Bedrohungsanalyse basieren. Durch diese Klarheit und Spezifität verbessert sich die Effektivität des Playbooks und das Automatisierungspotenzial.

Beispiele für gut strukturierte Prompts

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Beispiele für schlecht strukturierte Prompts

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

Durch diesen Prompt wird kein funktionierendes Playbook erstellt, da er sich auf Marketinganalysen und -strategien konzentriert, was nicht in den Bereich der Playbook-Erstellung für Google SecOps fällt.