Gemini dans Google SecOps

Pour en savoir plus sur Gemini, les grands modèles de langage et de l'IA, consultez Gemini pour Code pour en savoir plus. Vous pouvez également consulter la documentation Gemini et notes de version.

• Disponibilité: Gemini dans Google SecOps est disponibles dans le monde entier. Les données Gemini sont traitées comme suit : régions: us-central1, asia-southeast1 et europe-west1. Client sont acheminées vers la région la plus proche pour traitement.

• Tarifs: pour en savoir plus sur les tarifs, consultez la page consacrée à Google Security Operations. tarifs

• Sécurité de Gemini: pour en savoir plus sur la sécurité de Gemini de Google Cloud, consultez Sécurité avec l'IA générative

• Gouvernance des données: pour en savoir plus sur la gouvernance des données Gemini consultez la section Comment Gemini pour Google Cloud utilise vos données

• Certifications: pour en savoir plus sur les certifications Gemini, consultez Certifications pour Gemini

• Plate-forme SecLM: Gemini pour Google SecOps utilise un de grands modèles de langage via la plate-forme SecLM, y compris un modèle Sec-PaLM spécialisé. Le Sec-PaLM est entraîné sur les données, y compris sur la sécurité. blogs, rapports CTI, règles de détection YARA et YARA-L, SOAR playbooks, scripts de logiciels malveillants, informations sur les failles, produit la documentation et de nombreux autres jeux de données spécialisés. Pour plus d'informations, Voir la page Sécurité avec l'IA générative

Les sections suivantes fournissent de la documentation pour Fonctionnalités Google SecOps fournies par Gemini:

• Utiliser Gemini pour examiner les problèmes de sécurité

• Générer des requêtes de recherche UDM

• Générer une règle YARA-L à l'aide de Gemini

• Assistance pour les questions de sécurité et de renseignements sur les menaces

• Utiliser le widget d'investigation par IA

• Créer des playbooks avec Gemini

Utiliser Gemini pour examiner les problèmes de sécurité

Gemini facilite l'investigation, accessible depuis tout aspect de Google SecOps. Gemini peut vous aider en prenant en charge les éléments suivants:

• Recherche: Gemini peut vous aider à créer, modifier et exécuter des recherches. ciblant des événements pertinents à l'aide d'invites en langage naturel. Gemini peut aussi vous aider à itérer sur une recherche, à en ajuster la portée, étendez la période et ajoutez des filtres. Vous pouvez effectuer toutes ces tâches à l'aide de requêtes en langage naturel entrées dans le volet Gemini.
• Résumés de recherche: Gemini peut résumer automatiquement les recherches après chaque recherche et action de filtrage ultérieure. La Le volet Gemini résume les résultats de votre recherche de manière concise compréhensible. Gemini peut aussi répondre dans le contexte sur les résumés qu'il fournit.
• Génération de règles: Gemini peut créer des règles YARA-L à partir du Requêtes de recherche UDM générées.
• Questions sur la sécurité et analyse du renseignement sur les menaces: Gemini peut répondre aux questions générales sur le domaine de la sécurité. De plus, Gemini peut répondre à des questions spécifiques du renseignement sur les menaces et fournir des résumés sur les acteurs malveillants, les IOC et d’autres sujets de renseignement sur les menaces.
• Correction des incidents: en fonction des informations d'événement renvoyées, Gemini peut vous suggérer de suivre les étapes. Des suggestions peuvent aussi s'afficher après avoir filtré les résultats de recherche. Par exemple, Gemini peut suggérer examiner une alerte, une règle ou un filtrage pertinents pour un hôte ou un utilisateur spécifique.

Générer des requêtes de recherche UDM

Vous pouvez utiliser Gemini pour générer des requêtes de recherche UDM à partir du volet Gemini ou lorsque vous utilisez la recherche UDM.

Pour de meilleurs résultats, Google recommande d'utiliser le volet Gemini pour générer requêtes de recherche.

• Générer une requête de recherche UDM dans le volet Gemini

• Générer une requête de recherche UDM dans la recherche UDM

Générer une requête de recherche UDM à l'aide du volet Gemini

1. Connectez-vous à Google SecOps et ouvrez le volet Gemini en cliquant sur le logo Gemini.

2. Saisissez une requête en langage naturel, puis appuyez sur Entrée. La nature la requête doit être en anglais.

   

   Figure 1: Ouvrir le volet Gemini et saisir une requête

3. Examinez la requête de recherche UDM générée. Si la requête de recherche générée répond aux critères selon vos besoins, cliquez sur Exécuter la recherche.

4. Gemini génère un résumé des résultats ainsi que des suggestions d'actions.

5. Saisissez des questions de suivi en langage naturel concernant les résultats de recherche fournis par Gemini pour poursuivre votre enquête.

Exemples de requêtes de recherche et de questions complémentaires

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Générer une requête de recherche UDM à l'aide du langage naturel

La fonctionnalité Recherche Google SecOps vous permet de saisir un code requête en langage sur vos données. Gemini pourra alors la traduire Requête de recherche UDM que vous pouvez exécuter avec les événements UDM.

Pour de meilleurs résultats, Google recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

Pour utiliser une recherche en langage naturel afin de créer une requête de recherche UDM, effectuez la en suivant les étapes ci-dessous:

1. Connectez-vous à Google SecOps.
2. Accédez à Rechercher.

3. Saisissez une expression de recherche dans la barre de requête en langage naturel, puis cliquez sur Générer une requête Vous devez utiliser l'anglais pour la recherche.

   

   Figure 2: Saisir une recherche en langage naturel, puis cliquer sur "Générer une requête"

   Voici quelques exemples d'instructions qui peuvent générer un Recherche UDM:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si l'instruction de recherche inclut un terme temporel, l'outil de sélection de l'heure est automatiquement ajustés en conséquence. Cela s'applique par exemple recherches suivantes:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche : message:
"Désolé, aucune requête valide n'a pu être générée. Essayez de poser une manière différente. »

4. Examinez la requête de recherche UDM générée.

5. (Facultatif) Ajustez la période de recherche.

6. Cliquez sur Exécuter la recherche.

7. Examinez les résultats de recherche pour déterminer si l'événement est présent. Si nécessaire, utiliser des filtres de recherche pour affiner la liste des résultats.

8. fournir des commentaires sur la requête à l'aide de la fonctionnalité Requête générée ; . Sélectionnez l'une des options suivantes :

   • Si la requête renvoie les résultats attendus, cliquez sur l'icône J'aime.
   • Si la requête ne renvoie pas les résultats attendus, cliquez sur "Je n'aime pas". .
   • (Facultatif) Ajoutez des informations supplémentaires dans le champ Commentaires.
   • Pour envoyer une requête de recherche UDM modifiée qui permet d'améliorer les résultats:
   • Modifiez la requête de recherche UDM générée.
   • Cliquez sur Envoyer. Si vous n'avez pas réécrit la requête, le texte de la boîte de dialogue vous invite à modifier la requête.
   • Cliquez sur Envoyer. La nouvelle requête de recherche UDM sera éliminée des données sensibles et utilisées pour améliorer les résultats.

Générer une règle YARA-L à l'aide de Gemini

1. Utilisez une requête en langage naturel pour générer une règle (par exemple, create a rule to detect logins from bruce-monroe). Appuyez sur Entrée. Gemini génère une règle pour détecter le comportement que vous avez recherché dans le volet Gemini.

2. Cliquez sur Ouvrir dans l'éditeur de règles pour afficher et modifier la nouvelle règle dans le panneau "Règles". Éditeur. Cette fonctionnalité vous permet uniquement de créer des règles pour un seul événement.

   Par exemple, à l'aide de la requête de règle précédente, Gemini génère le la règle suivante:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Pour activer la règle, cliquez sur Enregistrer une nouvelle règle. La règle apparaît dans la liste de règles à gauche. Maintenez le pointeur sur la règle, cliquez sur l'icône de menu, et faites glisser l'option Règle en direct vers la droite (vert). Pour plus plus d'informations, consultez la section Gérer des règles à l'aide de règles éditeur.

Envoyer des commentaires sur la règle générée

Vous pouvez envoyer des commentaires sur la règle générée. Ces commentaires servent à améliorer la précision de la fonctionnalité de génération de règles.

• Si la syntaxe de la règle a été générée comme prévu, cliquez sur l'icône J'aime.
• Si la syntaxe de la règle ne correspond pas à vos attentes, cliquez sur l'icône représentant un pouce vers le bas. Sélectionnez l'option qui décrit le mieux le problème que vous avez rencontré avec les la syntaxe des règles. (Facultatif) Ajoutez des informations supplémentaires dans la section Décrivez votre feedback. Cliquez sur Envoyer des commentaires.

Assistance pour les renseignements sur les menaces et les questions de sécurité

Gemini peut répondre aux questions liées à la Threat Intelligence sur les acteurs malveillants, leurs associations, leurs schémas de comportement, etc. y compris des questions sur les FTP MITRE.

Les questions de Threat Intelligence se limitent aux informations dont vous disposez Édition du produit Google SecOps. Réponses à les questions peuvent varier en fonction de l'édition du produit. Plus précisément, les menaces les données d'intelligence sont plus limitées dans les éditions de produits autres qu'Enterprise Plus car ils n’incluent pas d’accès complet à Mandiant et VirusTotal.

Saisissez vos questions dans le volet Gemini.

1. Saisissez une question sur les renseignements sur les menaces. Par exemple : What is UNC3782?

2. Examinez les résultats.

3. Étudiez plus en détail en demandant à Gemini de créer des requêtes à rechercher CTI référencés dans les rapports de Threat Intelligence. Menace informations basées sur l'intelligence sont soumises aux droits d'accès disponibles licence Google SecOps.

Exemple: Renseignements sur les menaces et questions de sécurité

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini et MITRE

La MITRE ATT&CK® Matrix est une base de connaissances qui décrit les modes opératoires utilisés par les cyberattaquants. MITRE Matrix permet de comprendre comment votre organisation pourrait être ciblée fournit une syntaxe standardisée pour discuter des attaques.

Vous pouvez poser des questions à Gemini sur les tactiques, techniques et et recevoir des réponses pertinentes d'un point de vue contextuel, y compris les informations MITRE suivantes:

• Stratégie
• Technique
• Sous-technique
• Suggestions de détection
• Procédures
• Mesures d'atténuation

Gemini renvoie un lien vers les détections sélectionnées Google SecOps met à disposition chaque TTP. Vous pouvez également demander Questions complémentaires à Gemini pour obtenir des informations supplémentaires sur un mode de paiement MITRE et son impact potentiel sur votre entreprise.

Supprimer une session de chat

Vous pouvez supprimer votre session de chat ou toutes les sessions de chat. Gemini conserve tous les historiques de conversation des utilisateurs de manière privée et respecte à l'IA responsable de Google Cloud pratiques pour en savoir plus. L'historique de l'utilisateur n'est jamais utilisé pour entraîner des modèles.

1. Dans le volet Gemini, sélectionnez Supprimer la discussion dans le menu en haut à droite.
2. Cliquez sur Supprimer le chat en bas à droite pour supprimer le chat actuel. session.
3. (Facultatif) Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat. puis cliquez sur Supprimer tous les chats.

Fournir des commentaires

Vous pouvez donner votre avis sur les réponses générées par l'IA de Gemini une assistance pour enquêter. Vos commentaires nous aident à améliorer la fonctionnalité et les généré par Gemini.

1. Dans le volet Gemini, sélectionnez l'icône J'aime ou Je n'aime pas.
2. (Facultatif) Si vous sélectionnez "Je n'aime pas", vous pouvez ajouter des commentaires sur pourquoi vous avez choisi cette note.
3. Cliquez sur Envoyer des commentaires.

Widget d'investigation IA

Le widget d'investigation par IA examine l'ensemble du cas (alertes, événements et entités) et fournit un résumé généré par IA indiquant le niveau d'attention le cas échéant. Le widget récapitule également les données d'alerte afin de mieux de la menace et fournit des recommandations sur les prochaines étapes pour une remédiation efficace.

La classification, le résumé et les recommandations incluent tous une option permettant sur le niveau de précision et d'utilité de l'IA. Les commentaires sont utilisés pour nous aider à améliorer la précision.

Le widget d'investigation par IA s'affiche dans l'onglet Présentation du cas dans Demandes. S'il n'y a qu'une seule alerte dans la demande, Case Overview (Présentation de la demande d'assistance) pour voir ce widget.

Le widget d'investigation par IA ne s'affiche pas pour les cas créés manuellement ou pour envoyer des demandes depuis Your Workdesk.

Envoyer des commentaires sur le widget d'investigation d'IA

1. Si les résultats sont acceptables, cliquez sur l'icône J'aime. Vous pouvez en ajouter d'autres dans le champ Commentaires supplémentaires.

2. Si les résultats ne correspondent pas à ceux attendus, cliquez sur l'icône Je n'aime pas. Sélectionnez une option parmi les options proposées et ajoutez tout commentaire supplémentaire pertinentes.

3. Cliquez sur Envoyer des commentaires.

Supprimer le widget d'investigation IA

Le widget d'investigation par IA est inclus dans la vue par défaut.

Pour supprimer le widget d'investigation IA de la vue par défaut, procédez comme suit:

1. Accédez à Paramètres SOAR > Données de cas > Vues.

2. Sélectionnez Vue par défaut de la demande dans le panneau latéral de gauche.

3. Cliquez sur l'icône Supprimer dans le widget d'investigation IA.

Créer des playbooks avec Gemini

Gemini peut vous aider à simplifier le processus de création de playbooks en transformant vos requêtes en un playbook fonctionnel qui aide à résoudre les problèmes de sécurité.

Créer un playbook à l'aide de requêtes

1. Accédez à Réponse > Playbooks.
2. Sélectionnez l' ajouter et créez un playbook.
3. Dans le volet "Nouveau playbook", sélectionnez Créer des playbooks à l'aide de l'IA.
4. Dans le volet de requête, saisissez une requête complète et bien structurée dans anglais. Pour en savoir plus sur la rédaction d'une requête de playbook, consultez Rédiger des requêtes pour créer des playbooks sur Gemini.
5. Cliquez sur Générer le playbook.
6. Un volet d'aperçu avec le playbook généré s'affiche. Si vous voulez faire modifications, cliquez sur modifier et affiner la requête.
7. Cliquez sur Créer un playbook.
8. Si vous souhaitez modifier le playbook une fois qu'il est affiché dans le volet principal, sélectionnez Créer des playbooks avec l'IA et réécrivez votre requête. Gemini va créer un playbook pour vous.

Envoyer des commentaires sur les playbooks créés par Gemini

1. Si les résultats du playbook sont satisfaisants, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations dans le champ Commentaires supplémentaires.
2. Si les résultats du playbook n'ont pas été conformes à vos attentes, cliquez sur l'icône Je n'aime pas. Sélectionnez l'une des options proposées et ajoutez, le cas échéant, des commentaires que vous jugez pertinents.

Rédiger des requêtes pour créer des playbooks Gemini

La fonctionnalité de playbook Gemini a été conçue pour créer des playbooks en fonction de l'entrée en langage naturel que vous fournissez. Vous devez saisir un texte clair et des requêtes bien structurées dans la zone de requête du playbook Gemini, qui génère Playbook Google SecOps, qui inclut les déclencheurs, les actions et les conditions. La qualité du playbook dépend de la précision de la requête fournies. Des requêtes bien formulées contenant des informations claires les détails spécifiques produisent des playbooks plus efficaces.

Capacités de création de playbooks avec Gemini

Les fonctionnalités de création de playbooks Gemini vous permettent d'effectuer les opérations suivantes:

• Créez des playbooks avec les éléments suivants: actions, déclencheurs et flux.
• Utilisez toutes les intégrations commerciales téléchargées.
• Indiquez des actions spécifiques et des noms d'intégrations dans la requête en tant qu'étapes du playbook.
• Comprendre les invites permettant de décrire le flux lorsque des intégrations et des noms spécifiques ne sont pas fournis
• Utilisez les flux de conditions compatibles avec les capacités de réponse SOAR.
• Détecter le déclencheur nécessaire pour le playbook.

Vous ne pouvez pas effectuer les opérations suivantes à l'aide d'invites:

• Mettre à jour les playbooks existants
• Créez ou utilisez des blocs de playbook.
• Utilisez des intégrations personnalisées.
• Utilisez des actions parallèles dans les playbooks.
• Utilisez des intégrations qui n'ont pas été téléchargées ni installées.
• Utilisez des instances d'intégration.

Notez que l'utilisation de paramètres dans les invites ne permet pas toujours d'obtenir action en cours d'utilisation.

Créer des requêtes efficaces

Chaque requête doit inclure les composants suivants:

• Objectif: Éléments à générer
• Déclencheur: mode de déclenchement du playbook
• Action du playbook: action effectuée
• Condition: logique conditionnelle

Exemple de requête utilisant un nom d'intégration

L'exemple suivant présente une requête bien structurée utilisant un nom d'intégration:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Cette requête contient les quatre composants définis précédemment:

• Objectif clair: gérer les alertes en cas de détection de logiciels malveillants avec un objectif défini.
• Déclencheur spécifique: l'activation est basée sur un événement spécifique, vous recevez une alerte en cas de logiciel malveillant.
• Actions du playbook: améliore une entité SOAR Google Security Operations avec des données provenant d'une intégration tierce (VirusTotal).
• Réponse conditionnelle: spécifie une condition qui est en fonction des résultats précédents. Par exemple, si le hachage du fichier s’avère malveillant, le fichier doit être mis en quarantaine.

Exemple de requête utilisant un flux au lieu d'un nom d'intégration

L'exemple suivant montre une requête bien structurée, mais décrit le flux sans mentionner le nom de l'intégration.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La fonctionnalité de création de playbooks Gemini permet la description d'une action (enrichir un hachage de fichier) et d'examiner les afin de trouver celle qui convient le mieux à cette action.

La fonctionnalité de création de playbooks Gemini ne peut choisir qu'une intégration déjà installés dans votre environnement.

Déclencheurs personnalisés

En plus d'utiliser des déclencheurs standards, vous pouvez personnaliser un déclencheur dans le playbook requête. Vous pouvez spécifier des espaces réservés pour les objets suivants:

• Alerte
• Événement
• Entité
• Environnement
• Texte libre

Dans l'exemple suivant, du texte libre est utilisé pour créer un déclencheur qui est exécuté pour tous les e-mails présents dans le dossier e-mails suspects, à l'exception des messages concernés ; dont l'objet contient le mot [TEST].

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Conseils pour rédiger des requêtes

• Il est recommandé d'utiliser des noms d'intégration spécifiques: Ne spécifiez les intégrations que si elles sont est déjà installé et configuré dans votre environnement.
• Profiter de la spécialisation Gemini: le playbook Gemini de création est spécialement conçue pour créer des playbooks basés sur des requêtes qui correspondent à la gestion des incidents, à la détection des menaces et aux workflows de sécurité automatisés.
• Détaillez l'objectif, le déclencheur, l'action et la condition.
• Définissez des objectifs clairs: commencez par un objectif clair, tel que en gérant les alertes en cas de logiciels malveillants et en spécifiant les déclencheurs qui activent le playbook.
• inclure des conditions pour les actions, comme l'enrichissement de données ou la mise en quarantaine de fichiers, sur la base de l'analyse des menaces. Cette clarté et cette spécificité améliorent l'efficacité et le potentiel d'automatisation.

Exemples de requêtes bien structurées

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.