Gemini - 安全运营

如需详细了解 Gemini、大语言模型和 Responsible AI，请参阅 Gemini for Code。您还可以查看 Gemini 文档和版本说明。

• 可用性：Gemini in Security Operations 可在全球范围内使用，供无合规性要求的客户使用。

• 价格 - 如需详细了解价格，请参阅 Chronicle Security Operations pricing。

• 双子座安全 - 如需详细了解 Google Cloud 中的 Gemini 安全功能，请参阅使用生成式 AI 确保安全。

• 数据治理 - 如需详细了解 Gemini 数据治理做法，请参阅 Gemini for Google Cloud 如何使用您的数据。

• 认证 - 如需详细了解 Gemini 认证，请参阅 Gemini 认证。

• Sec-PaLM 大语言模型 - 用于安全操作的 Gemini 使用 Sec-PaLM。Sec-PaLM 基于数据进行训练，其中包括安全博客、威胁情报报告、YARA 和 YARA-L 检测规则、SOAR 手册、恶意软件脚本、漏洞信息、产品文档和许多其他专用数据集。如需了解详情，请参阅生成式 AI 确保安全。

以下部分提供了由 Gemini 提供支持的 Chronicle Security Operations 功能的文档：

• 使用自然语言生成 UDM 搜索查询

• 使用自然语言生成规则

• 使用 AI 调查 widget

使用自然语言生成 UDM 搜索查询

您可以输入与数据有关的简单自然语言搜索，Chronicle 可将此语句转换为 UDM 搜索查询，然后您可以针对 UDM 事件运行该查询。

如需使用自然语言搜索创建 UDM 搜索查询，请完成以下步骤：

1. 登录 Chronicle。
2. 前往 UDM 搜索。

3. 在自然语言查询栏中输入搜索查询，然后点击 Generate Query。

   您必须使用英语进行搜索。

   以下是一些可能会生成实用 UDM 搜索的语句示例：

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

如果搜索语句包含基于时间的字词，时间选择器会自动调整以匹配。例如，这适用于以下搜索：

• yesterday
• within the last 5 days
• on Jan 1, 2023

如果系统无法解读搜索语句，您会看到以下消息：
“Sorry, no valid query could not generate not valid query. 请尝试换个方式提问。”

4. 查看生成的 UDM 搜索查询。

5. （可选）调整搜索时间范围。

6. 点击搜索。

7. 查看搜索结果，确定相应活动是否存在。如果需要，请使用搜索过滤器缩小结果列表范围。

8. 使用生成的查询反馈图标提供有关查询的反馈。从下列选项中选择一项：

   • 如果查询返回预期结果，请点击拇指朝上图标。
   • 如果查询未返回预期结果，请点击“不喜欢”图标。
   • （可选）在反馈字段中添加其他详细信息。
   • 要提交有助于改进搜索结果的修订后的 UDM 搜索查询，请执行以下操作：
   • 修改已生成的 UDM Search 查询。
   • 点击提交。如果您没有重写查询，则对话框中的文本会提示您修改查询。
   • 点击提交。修订后的 UDM 搜索查询将清理敏感数据，并用于改进结果。

使用自然语言生成规则

使用自然语言搜索生成 UDM 搜索查询后，您可以通过完成以下步骤，生成包含相应安全信息和规则信息的 Chronicle 规则：

1. 使用自然语言生成 UDM 搜索。

   例如，将自然语言语句 Find all logins from bruce-monroe 转换为 UDM 搜索 metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe"。

2. 点击生成规则。

   例如，使用之前生成的 UDM 搜索，Chronicle 会生成以下规则：

   rule logins_from_bruce_monroe {
     meta:
       author = "Chronicle Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. 点击在编辑器中打开，查看生成的 YARA-L 规则、规则名称以及规则包含的其他元数据。您只能使用此功能创建单个事件规则。

4. 要启用规则，请点击规则编辑器中的保存新规则。该规则会显示在左侧的规则列表中。将指针悬停在规则上，点击菜单图标，然后将实时规则选项切换到右侧（绿色）。如需了解详情，请参阅使用规则编辑器管理规则。

针对生成的规则提供反馈

您可以就生成的规则提供反馈。此反馈用于提高规则生成功能的准确性。

如需提供有关规则的反馈，请完成以下步骤：

1. 点击关于规则的反馈。
   • 如果规则语法正常生成，请点击“我喜欢”图标。
   • 如果规则语法不符合您的预期，请点击“不喜欢”图标。
   • （可选）在向我们提供更多信息字段中添加更多详细信息。
2. 点击提交反馈。

AI 调查 widget

AI 调查 widget 会查看整个案例（提醒、事件和实体），并提供 AI 生成的案例摘要，其中说明了该案例可能需要多大的关注。该 widget 还汇总了提醒数据，以更好地了解威胁，并提供后续措施建议，以便进行有效修复。

分类、摘要和建议都包含一个选项，用于就 AI 准确率和实用性提供反馈。这些反馈用于帮助我们改进准确性。

AI 调查 widget 显示在案例页面的案例概览标签页下。如果案例中只有一条提醒，您需要点击 Case Overview 标签页才能查看此 widget。

对于手动创建的支持请求或从您的 Workdesk 发起的支持请求，系统不会显示 AI 调查 widget。

针对 AI 调查微件提供反馈

1. 如果结果可以接受，请点击“我喜欢”图标。您可以在其他反馈字段中添加更多信息。

2. 如果结果不符合预期，请点击“不喜欢”图标。从提供的选项中选择一项，并添加您认为相关的任何其他反馈。

3. 点击发送反馈。

移除 AI 调查微件

AI 调查微件包含在默认视图中。

如需从默认视图中移除 AI 调查 widget，请执行以下操作：

1. 依次转到 SOAR 设置 > 案例数据 > 视图。

2. 从左侧面板中选择 Default Case View。

3. 点击 AI 调查微件上的删除图标。