Google SecOps における Gemini

Gemini、大規模言語モデル、責任ある AI の詳細については、Gemini for Code をご覧ください。また、Gemini のドキュメントリリースノートもご覧ください。

  • 提供状況: Google SecOps の Gemini はグローバルで利用できます。Gemini のデータは、次のリージョンで処理されます。us-central1asia-southeast1europe-west1して、ソース別にトラフィック データを分類します。お客様のリクエストは、処理のために最も近いリージョンにルーティングされます。

  • 料金 - 料金の詳細については、Google Security Operations の料金をご覧ください

  • Gemini のセキュリティ : Google Cloud での Gemini セキュリティ機能の詳細については、生成 AI によるセキュリティをご覧ください

  • データ ガバナンス: Gemini データ ガバナンスのプラクティスの詳細については、Gemini for Google Cloud がデータを使用する仕組みをご覧ください

  • 認証 : Gemini 認証の詳細については、Gemini の認証をご覧ください

  • SecLM プラットフォーム: Google SecOps 向け Gemini は、特別な Sec-PaLM モデルを含む、SecLM プラットフォームを介してさまざまな大規模言語モデルを使用します。Sec-PaLM は、セキュリティ ブログ、脅威インテリジェンス レポート、YARA と YARA-L の検出ルール、SOAR ハンドブック、マルウェア スクリプト、脆弱性情報、プロダクト ドキュメント、その他多くの専用データセットなどのデータでトレーニングされています。詳細については、生成 AI によるセキュリティをご覧ください

以下のセクションでは、Gemini を活用した Google SecOps 機能に関するドキュメントについて説明します。

Gemini を使用してセキュリティの問題を調査する

Gemini は、Google SecOps のどの部分からでもアクセスできる調査支援を提供します。Gemini は、次のサポートを提供することで調査を支援します。

  • 検索: Gemini は、自然言語プロンプトを使用して、関連するイベントをターゲットにした検索構築、編集、実行を支援します。 また、Gemini は検索の反復処理、範囲の調整、期間の延長、フィルタの追加も支援します。これらのタスクはすべて、Gemini ペインに入力された自然言語プロンプトを使用して完了できます。
  • 検索の要約: Gemini は、すべての検索と後続のフィルタ アクションの後で、検索結果を自動的に要約できます。Gemini ペインでは、検索の結果が簡潔でわかりやすい形式で要約されます。また Gemini は、提供する要約について、コンテキストに応じたフォローアップの質問に回答することもできます。
  • ルール生成: Gemini は、生成した UDM 検索クエリから新しい YARA-L ルールを作成できます。
  • セキュリティに関する質問と脅威インテリジェンス分析: Gemini は、セキュリティ ドメインに関する一般的な質問に回答できます。また、Gemini は特定の脅威インテリジェンスに関する質問に回答し、脅威アクター、IOC、脅威インテリジェンスに関するその他のトピックに関する要約を提供できます。
  • インシデント修復: 返されたイベント情報に基づいて、Gemini は後続のステップを提案できます。提案は、検索結果のフィルタ後にも表示されることがあります。たとえば、Gemini は、関連するアラートやルールの確認や、特定のホストやユーザーのフィルタを提案できます。

Gemini ペインから、または UDM 検索の使用時に、Gemini を使用して、UDM 検索クエリを生成できます。

最適な結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

Gemini ペインを使用して UDM 検索クエリを生成する

  1. Google SecOps にログインし、Gemini のロゴをクリックして Gemini ペインを開きます。
  2. 自然言語プロンプトを入力し、Enter キーを押します。自然言語プロンプトは英語にする必要があります。

    Gemini ペインを開き、プロンプトを入力します

    図 1: Gemini ペインを開き、プロンプトを入力する

  3. 生成された UDM 検索クエリを確認します。生成された検索クエリが要件を満たしている場合は、[検索を実行] をクリックします。

  4. Gemini は、結果の要約と推奨されるアクションを生成します。

  5. 調査を続行するには、Gemini から提供される検索結果に関する自然言語のフォローアップの質問を入力します。

検索プロンプトとフォローアップの質問の例
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

自然言語を使用して UDM 検索クエリを生成する

Google SecOps 検索機能を使用すると、データに関する自然言語クエリを入力すると、Gemini でこれを UDM イベントに対して実行できる UDM 検索クエリに変換できます。

より良い結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

自然言語検索を使用して UDM 検索クエリを作成するには、次の手順を完了します。

  1. Google SecOps にログインします。
  2. [検索] に移動します。
  3. 自然言語のクエリバーに検索ステートメントを入力し、[Generate Query] をクリックします。検索には英語を使用する必要があります。

    自然言語検索を入力し、[クエリを生成] をクリックします

    図 2: 自然言語検索を入力し、[Generate Query] をクリックします。

    有用な UDM 検索を生成するステートメントの例を次に示します。

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"
  4. 検索ステートメントに時間ベースの用語が含まれている場合、一致するように時間ピッカーが自動的に調整されます。たとえば、これは次の検索に該当します。

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    検索ステートメントを解釈できない場合は、次のメッセージが表示されます。
    「有効なクエリを生成できませんでした。別の方法を試してください。」

  5. 生成された UDM 検索クエリを確認します。

  6. (省略可)検索の期間を調整します。

  7. [検索を実行] をクリックします。

  8. 検索結果を確認して、イベントが存在するかどうかを確認します。必要に応じて、検索フィルタを使用して結果の一覧を絞り込みます。

  9. [生成されたクエリ] のフィードバック アイコンを使用して、クエリに関するフィードバックを提供します。次のいずれかを選択します。

    • クエリから期待される結果が返された場合は、「高く評価」アイコンをクリックします。
    • クエリから返された結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。
    • (省略可)[フィードバック] フィールドに追加情報を入力します。
    • 結果を改善するために修正した UDM 検索クエリを送信するには:
    • 生成された UDM 検索クエリを編集します。
    • [送信] をクリックします。クエリを書き換えていない場合、ダイアログ内のテキストでクエリを編集するように求められます。
    • [送信] をクリックします。修正された UDM 検索クエリはセンシティブ データをサニタイズし、結果を改善するために使用されます。

Gemini を使用して YARA-L ルールを生成する

  1. 自然言語プロンプトを使用してルールを生成します(例: create a rule to detect logins from bruce-monroe)。Enter キーを押します。 Gemini は、Gemini ペインで検索した動作を検出するルールを生成します。

  2. [ルールエディタで開く] をクリックして、ルールエディタで新しいルールを表示、変更します。この機能を使用して、単一イベントルールのみを作成できます。

    たとえば、前述のルール プロンプトを使用して、Gemini は次のルールを生成します。

    rule logins_from_bruce_monroe {
      meta:
        author = "Google Gemini"
        description = "Detect logins from bruce-monroe"
      events:
        $e.metadata.event_type = "USER_LOGIN"
        $e.principal.user.userid = "bruce-monroe"
      outcome:
        $principal_ip = array($e.principal.ip)
        $target_ip = array($e.target.ip)
        $target_hostname = $e.target.hostname
        $action = array($e.security_result.action)
      condition:
        $e
    }
    
  3. ルールを有効にするには、[新しい規則を保存] をクリックします。左側のルールリストにルールが表示されます。ルールの上にポインタを置き、メニュー アイコンをクリックし、[Live Rule] オプションを右(緑)に切り替えます。詳細については、ルールエディタを使用してルールを管理するをご覧ください。

生成されたルールに関するフィードバックを提供する

生成されたルールに関するフィードバックを提供できます。このフィードバックは、ルール生成機能の精度を向上させるために使用されます。

  • ルールの構文が期待どおりに生成された場合は、「高く評価」アイコンをクリックします。
  • ルールの構文が期待どおりでない場合は、「低く評価」アイコンをクリックします。 生成されたルールの構文で見つかった問題を最もよく表すオプションを確認します。(省略可)[フィードバックの説明] フィールドに追加情報を入力します。[フィードバックを送信する] をクリックします。

脅威インテリジェンスとセキュリティ保護用の質問の支援

Gemini は、脅威アクター、その関連付け、それらの行動パターン(MITRE TTP に関する質問を含む)などのトピックに関する脅威インテリジェンスに関連する質問に回答できます。

Gemini のペインに質問を入力します。

  1. 脅威インテリジェンスに関する質問を入力します。例: What is UNC3782?

  2. 結果を確認します。

  3. 脅威インテリジェンス レポートで参照される特定の IOC を検索するクエリを作成するよう Gemini に指示して、調査を続行します。脅威インテリジェンスの情報は、Google SecOps ライセンスの利用可能な利用資格によって異なります。

例: 脅威インテリジェンスとセキュリティ保護用の質問

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini と MITRE

MITRE ATT&CK® マトリックスは、実際のサイバー攻撃者が使用する TTP を文書化したナレッジベースです。MITRE マトリックスは、組織がどのように標的になるかを把握し、攻撃を説明するための標準化された構文を提供します。

MITRE の戦術、手法、手順(TTP)について Gemini の質問をし、次の MITRE の詳細を含むコンテキストに応じた回答を受け取ることができます。

  • 戦術
  • 技術
  • サブ技術
  • 検出の候補
  • プロシージャ
  • 緩和策

Gemini は、Google SecOps が各 TTP に対して利用可能なキュレートされた検出へのリンクを返します。また、Gemini にフォローアップの質問をして、MITRE TTP と、それが企業に与える影響に関する追加の分析情報を得ることもできます。

チャット セッションを削除する

チャットの会話セッションを削除するか、すべてのチャット セッションを削除できます。Gemini は、ユーザーのすべての会話履歴を非公開で保持し、Google Cloud の責任ある AI への取り組みを遵守します。ユーザー履歴はモデルのトレーニングには使用されません。

  1. Gemini ペインで、右上のメニューから [チャットを削除] を選択します。
  2. 右下にある [チャットを削除] をクリックして、現在のチャット セッションを削除します。
  3. (省略可)すべてのチャット セッションを削除するには、[チャット セッションをすべて削] を選択してから、[チャットをすべて削除] をクリックします。

フィードバックを送信

Gemini AI Investigation 支援で生成された回答に対して、フィードバックを提供できます。皆様のフィードバックは、Google の機能と Gemini が生成する出力の改善に役立ちます。

  1. Gemini ペインで、高評価または低評価のアイコンを選択します。
  2. (省略可)低評価を選択した場合は、その評価を選択した理由に関するフィードバックを追加できます。
  3. [フィードバックを送信] をクリックします。

AI Investigation ウィジェット

AI Investigation ウィジェットはケース全体(アラート、イベント、エンティティ)を確認し、ケースでどの程度の注意が必要かに関する AI 生成のケースの概要を提供します。また、ウィジェットは脅威をより深く理解するためにアラートデータを要約し、効果的な修復のために次のステップに関する推奨事項を提供します。

分類、要約、推奨事項のすべてに、AI の精度と有用性のレベルに関するフィードバックを入力するオプションが含まれています。フィードバックは精度の向上に役立てられます。

AI Investigation ウィジェットが、[Cases] ページの [Case Overview] タブに表示されます。ケースにアラートが 1 つしかない場合は、[Case Overview] タブをクリックしてこのウィジェットを表示する必要があります。

ai-investigation

手動で作成されたケースや [Your Workdesk] から開始されたリクエスト ケースでは、AI Investigation ウィジェットが表示されません。

AI Investigation ウィジェットに関するフィードバックを送信する

  1. 結果が許容できる場合は、「高く評価」アイコンをクリックします。[その他のフィードバック] フィールドで詳細情報を追加できます。

  2. 結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。表示されたオプションから 1 つを選択し、関連があると思われるその他のフィードバックを追加します。

  3. [フィードバックを送信] をクリックします。

AI Investigation ウィジェットを削除する

デフォルトのビューには AI Investigation ウィジェットが含まれています。

デフォルト ビューから AI Investigation ウィジェットを削除するには、次の操作を行います。

  1. [SOAR Settings] > [Case Data] > [Views] に移動します。

  2. 左側のパネルから [Default Case View] を選択します。

  3. AI Investigation ウィジェットの [削除] アイコンをクリックします。

Gemini を使用してハンドブックを作成

Gemini を使用すると、プロンプトをセキュリティの問題の解決に役立つ機能的なハンドブックに変換することで、ハンドブックの作成プロセスを合理化できます。

プロンプトを使用してハンドブックを作成する

  1. [レスポンス] > [ハンドブック] に移動します。
  2. 追加 アイコンを選択し、新しいハンドブックを作成します。
  3. 新しいハンドブック ペインで、[AI を使用してハンドブックを作成する] を選択します。
  4. プロンプト ペインで、包括的で適切に構成されたプロンプトを英語で入力します。ハンドブックのプロンプトの作成方法については、Gemini ハンドブックの作成用のプロンプトの作成をご覧ください。
  5. [Generate Playbook] をクリックします。
  6. 生成されたハンドブックを含むプレビュー ペインが表示されます。変更する場合は、[ 編集 ] をクリックしてプロンプトを絞り込みます。
  7. [Create Playbook] をクリックします。
  8. メインペインに表示されたハンドブックに変更を加える場合は、[Create Playbooks using AI] を選択して、プロンプトを書き換えます。Gemini によって、新しいハンドブックが作成されます。

Gemini によって作成されたハンドブックに関するフィードバックを提供する

  1. ハンドブックの結果が正しい場合は、「高く評価」アイコンをクリックします。 [その他のフィードバック] フィールドで詳細情報を追加できます。
  2. 結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。表示されたオプションから 1 つを選択し、関連があると思われるその他のフィードバックを追加します。

Gemini ハンドブック作成のプロンプトを作成する

Gemini ハンドブック機能は、指定する自然言語入力に基づいてハンドブックを作成するように設計されています。Gemini ハンドブックのプロンプト ボックスに、明確で構造化されたプロンプトを入力する必要があります。これにより、トリガー、アクション、条件を含む Google SecOps ハンドブックが生成されます。ハンドブックの品質は、提供されるプロンプトの精度の影響を受けます。明確で具体的な詳細を含む適切に作成されたプロンプトにより、より効果的なハンドブックが作成されます。

Gemini を使用したハンドブックの作成機能

Gemini ハンドブックの作成機能を使用すると、次のことができます。

  • アクション、トリガー、フローというアイテムを含む新しいハンドブックを作成します。
  • ダウンロードしたすべての商用統合を使用します。
  • プロンプトに特定のアクションと統合名をハンドブックのステップとして追加します。
  • 特定の統合と名前が指定されていないフローを説明するプロンプトを理解します。
  • SOAR レスポンス機能でサポートされている条件フローを使用します。
  • ハンドブックに必要なトリガーを検出します。

プロンプトでパラメータを使用すると、必ずしも正しいアクションが使用されるとは限りません。

効果的なプロンプトの作成

各プロンプトには、次の構成要素を含める必要があります。

  • 目的: 生成する対象
  • トリガー: ハンドブックがトリガーされる方法
  • ハンドブックのアクション: 実行される処理
  • 条件: 条件付きロジック

統合名を使用したプロンプトの例

次の例は、統合名を使用した適切に構造化されたプロンプトを示しています。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

このプロンプトには、前に定義した 4 つのコンポーネントが含まれます。

  • 明確な目標: マルウェアのアラートを処理する目標が定義されています。
  • 特定のトリガー: アクティベーションは、マルウェア アラートの受信に基づいて、特定のイベントに基づいて行われます。
  • ハンドブックのアクション: サードパーティ統合(VirusTotal)のデータを使用して Google Security Operations の SOAR エンティティを強化します。
  • 条件付きレスポンス: 以前の結果に基づく条件を指定します。たとえば、ファイル ハッシュに悪意のあるものが見つかった場合は、ファイルを検疫する必要があります。

統合名の代わりにフローを使用したプロンプトの例

次の例は、適切に構造化されたプロンプトを示していますが、特定の統合名を指定せずにフローを記述しています。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

この Gemini ハンドブック作成機能では、このアクションの説明を取得してファイル ハッシュを拡充し、インストールされている統合を調べて、このアクションに最適なものを見つけることができます。

Gemini ハンドブックの作成機能では、環境にすでにインストールされている統合からのみ選択できます。

カスタム トリガー

標準トリガーの使用に加えて、ハンドブックのプロンプトでトリガーをカスタマイズできます。次のオブジェクトにプレースホルダを指定できます。

  • アラート
  • イベント
  • エンティティ
  • 環境
  • 自由テキスト

次の例では、不審なメールフォルダからのすべてのメール(メールの件名。

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

プロンプトの作成に関するヒント

  • 特定の統合名を使用することをおすすめします。統合は、環境内にすでにインストールされ、構成されている場合にのみ指定します。
  • Gemini のスペシャライゼーションを活用する: Gemini ハンドブック作成機能は、インシデント対応、脅威検出、自動セキュリティ ワークフローに沿ったプロンプトに基づいてハンドブックを構築するように特別に設計されています。
  • 目的、トリガー、アクション、条件を詳しく記述します。
  • 明確な目標を含める: マルウェア アラートの管理などの明確な目標を設定し、ハンドブックを有効にするトリガーを指定します。
  • 脅威分析に基づく、データの拡充やファイルの隔離などのアクションの条件を含めます。この明確性と具体性により、ハンドブックの有効性と自動化の可能性が高まります。

適切に構造化されたプロンプトの例

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

不適切な構成のプロンプトの例

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

このプロンプトは、Google SecOps のハンドブックの作成の範囲外であるマーケティング分析と戦略に焦点を当てているため、実用的なハンドブックを作成しません。