Gemini no Google SecOps

Para saber mais sobre o Gemini, modelos de linguagem grandes e modelos IA, consulte Gemini para Código do Google. Confira também a documentação do Gemini e notas da versão.

• Disponibilidade: o Gemini no Google SecOps está disponíveis globalmente. Os dados do Gemini são processados da seguinte forma: regiões: us-central1, asia-southeast1 e europe-west1. Cliente as solicitações são encaminhadas para a região mais próxima para processamento.

• Preços: para informações sobre preços, consulte as Operações de segurança do Google preços

• Segurança do Gemini: para informações sobre a segurança do Gemini recursos no Google Cloud, consulte Segurança com IA generativa

• Governança de dados: para informações sobre a governança de dados do Gemini. consulte Como o Gemini para Google Cloud usa dados

• Certificações: para mais informações sobre as certificações do Gemini, consulte Certificações do Gemini

• Plataforma SecLM: o Gemini para Google SecOps usa um diversos modelos de linguagem grandes pela plataforma SecLM, incluindo o especializado em Sec-PaLM. A Sec-PaLM é treinada com base em dados, incluindo segurança blogs, relatórios de inteligência contra ameaças, regras de detecção YARA e YARA-L, SOAR playbooks, scripts de malware, informações sobre vulnerabilidade, e vários outros conjuntos de dados especializados. Para mais informações, consulte Segurança com IA generativa

As seções a seguir fornecem documentação para a Recursos do Google SecOps com tecnologia do Gemini:

• Usar o Gemini para investigar problemas de segurança

• Gerar consultas de pesquisa do UDM

• Gerar uma regra YARA-L usando o Gemini

• Ajuda com questões de segurança e inteligência contra ameaças

• Usar o widget de investigação de IA

• Criar playbooks usando o Gemini

Use o Gemini para investigar problemas de segurança

O Gemini oferece assistência na investigação, que pode ser acessada no em qualquer parte do Google SecOps. O Gemini pode ajudar com investigações, fornecendo suporte para o seguinte:

• Pesquisa: o Gemini pode ajudar você a criar, editar e fazer pesquisas direcionadas a eventos relevantes usando comandos em linguagem natural. O Gemini também pode ajudar você a iterar em uma pesquisa, ajustar o escopo, expandir o período e adicionar filtros. É possível concluir todas essas tarefas usando comandos de linguagem natural inseridos no painel do Gemini.
• Resumos de pesquisa: o Gemini pode resumir pesquisas automaticamente. resultados após cada pesquisa e ação de filtro subsequente. A O painel do Gemini resume os resultados da sua pesquisa de forma concisa e mais compreensível. O Gemini também pode responder perguntas contextuais perguntas sobre os resumos que ele fornece.
• Geração de regras: o Gemini pode criar novas regras YARA-L da as consultas de pesquisa UDM geradas.
• Perguntas de segurança e análise de inteligência contra ameaças: Gemini pode responder a perguntas gerais sobre o domínio de segurança. Além disso, o Gemini pode responder a perguntas específicas de inteligência contra ameaças e fornecer resumos sobre atores de ameaças, IOCs e outros tópicos de inteligência de ameaças.
• Correção de incidentes: com base nas informações de eventos retornadas, O Gemini pode sugerir seguir os passos. Sugestões também podem aparecer depois de filtrar os resultados da pesquisa. Por exemplo, o Gemini pode sugerir analisar um alerta ou regra relevante ou filtrar um host ou usuário específico.

Gerar consultas de pesquisa de UDM

Você pode usar o Gemini para gerar consultas de pesquisa de UDM Gemini ou ao usar a pesquisa de UDM.

Para ter melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

• Gerar uma consulta de pesquisa UDM no painel Gemini

• Gerar uma consulta de pesquisa do UDM na pesquisa do UDM

Gerar uma consulta de pesquisa UDM usando o painel Gemini

1. Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.

2. Digite um comando de linguagem natural e pressione Enter. O processo O comando de idioma precisa estar em inglês.

   

   Figura 1: abrir o painel do Gemini e inserir o comando

3. Revise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender requisitos, clique em Executar pesquisa.

4. O Gemini produz um resumo dos resultados com as ações sugeridas.

5. Insira perguntas complementares em linguagem natural sobre os resultados da pesquisa fornecidos pelo Gemini para continuar sua investigação.

Exemplos de comandos de pesquisa e perguntas complementares

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa UDM usando linguagem natural

Com o recurso Pesquisa de SecOps do Google, você pode inserir uma linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma Consulta de pesquisa de UDM que pode ser executada em eventos de UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para: gerar consultas de pesquisa.

Para usar uma pesquisa em linguagem natural e criar uma consulta de UDM, conclua o seguintes etapas:

1. Faça login no Google SecOps.
2. Acesse Pesquisa.

3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. É necessário usar o inglês para a pesquisa.

   

   Figura 2: insira uma pesquisa em linguagem natural e clique em "Gerar consulta"

   Veja a seguir alguns exemplos de instruções que podem gerar uma Pesquisa UDM:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplicaria seguintes pesquisas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Se a instrução de pesquisa não puder ser interpretada, você verá o seguinte message:
"Não foi possível gerar uma consulta válida. Tente fazer uma de um jeito diferente".

4. Revise a consulta de pesquisa do UDM gerada.

5. (Opcional) Ajuste o período da pesquisa.

6. Clique em Executar pesquisa.

7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, usar filtros de pesquisa para restringir a lista de resultados.

8. Envie feedback sobre a consulta usando o feedback da Consulta gerada. ícones. Selecione uma destas opções:

   • Se a consulta retornar os resultados esperados, clique no ícone "Gostei".
   • Se a consulta não retornar os resultados esperados, clique no ícone "Não gostei" ícone.
   • Opcional: inclua mais detalhes no campo Feedback.
   • Para enviar uma consulta de pesquisa UDM revisada que ajude a melhorar os resultados:
   • Edite a consulta de pesquisa UDM que foi gerada.
   • Clique em Enviar. Se você não reescreveu a consulta, o texto na caixa de diálogo solicita que você edite a consulta.
   • Clique em Enviar. A consulta de pesquisa do UDM revisada será eliminada dados sensíveis e usados para melhorar os resultados.

Gerar uma regra YARA-L usando o Gemini

1. Use um comando de linguagem natural para gerar uma regra (por exemplo, create a rule to detect logins from bruce-monroe). Pressione Enter. O Gemini gera uma regra para detectar o comportamento que você pesquisou no painel do Gemini.

2. Clique em Abrir no editor de regras para conferir e modificar a nova regra em "Regras". Editor. Esse recurso só pode ser usado para criar regras de evento único.

   Por exemplo, usando o comando de regra anterior, o Gemini gera a seguinte regra:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Para ativar a regra, clique em Salvar nova regra. A regra aparece na lista de regras à esquerda. Mantenha o ponteiro sobre a regra, clique no ícone de menu, e alterne a opção Live Rule para a direita (verde). Para mais informações, consulte Gerenciar regras usando regras Editor.

Enviar comentários sobre a regra gerada

Você pode enviar feedback sobre a regra gerada. Esse feedback é usado para melhorar a precisão do recurso de geração de regras.

• Se a sintaxe da regra tiver sido gerada conforme esperado, clique no ícone "Gostei".
• Se a sintaxe da regra não for a esperada, clique no ícone "Não gostei". Marque a opção que melhor indica o problema que você encontrou com o a sintaxe das regras. (Opcional) Inclua detalhes adicionais na seção Descreva seu feedback. Clique em Enviar feedback.

Assistência com perguntas sobre segurança e inteligência contra ameaças

O Gemini pode responder a perguntas relacionadas à inteligência contra ameaças sobre tópicos como autores de ameaças, suas associações e seus padrões comportamentais, incluindo perguntas sobre TTPs do MITRE.

As perguntas de inteligência contra ameaças são limitadas às informações disponíveis à sua Edição de produto do Google SecOps. Respostas para podem variar dependendo da edição do produto. Especificamente, ameaças os dados de inteligência são mais limitados em edições de produtos que não são do Enterprise Plus porque não incluem acesso total a Mandiant e VirusTotal.

Digite suas perguntas no painel do Gemini.

1. Faça uma pergunta de inteligência contra ameaças. Por exemplo: What is UNC3782?

2. Analise os resultados.

3. Investigue mais pedindo ao Gemini para criar consultas para procurar IOCs específicos mencionados nos relatórios de inteligência de ameaças. Ameaça informações de inteligência estão sujeitas aos direitos disponíveis do seu Licença do Google SecOps.

.

Exemplo: perguntas de segurança e inteligência contra ameaças

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini e MITRE

A MITRE ATT&CK® Matrix é uma base de conhecimento que documenta os TTPs usados por adversários cibernéticos reais. A matriz do MITRE fornece uma compreensão de como sua organização pode ser visada e uma fornece uma sintaxe padronizada para discutir ataques.

Você pode fazer perguntas ao Gemini sobre táticas, técnicas e (TTPs) e receber respostas contextualmente relevantes que incluem seguintes detalhes do MITRE:

• Tática
• Técnica
• Subtécnica
• Sugestões de detecção
• Procedimentos
• Mitigações

O Gemini retorna um link para as detecções selecionadas O Google SecOps disponibiliza para cada TTP. Você também pode pedir Perguntas complementares do Gemini para saber mais sobre um MITRE TTP e como isso pode afetar sua empresa.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém todos os históricos de conversas dos usuários com privacidade e adere para a IA responsável do Google Cloud práticas do Google. O histórico do usuário nunca é usado para treinar modelos.

1. No painel do Gemini, selecione Excluir conversa no menu, no canto superior direito.
2. Clique em Excluir chat no canto inferior direito para excluir a conversa atual. sessão.
3. (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat. e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback para as respostas geradas pela IA do Gemini assistência na investigação. Seu feedback ajuda o Google a melhorar o recurso e a gerada pelo Gemini.

1. No painel do Gemini, selecione o ícone "Gostei" ou "Não gostei".
2. (Opcional) Se você clicar em "Não gostei", poderá adicionar feedback adicional sobre por que você escolheu essa classificação.
3. Clique em Enviar comentários.

Widget de investigação de IA

O widget de investigação de IA analisa todo o caso (alertas, eventos e entidades) e fornece um resumo gerado por IA de quanta atenção o conforme necessário. O widget também resume os dados de alertas para uma melhor compreensão da ameaça e oferece recomendações para as próximas etapas a serem tomadas para uma correção eficaz.

A classificação, o resumo e as recomendações incluem uma opção para deixar feedback sobre o nível de precisão e utilidade da IA. O feedback é usado para nos ajudar a melhorar a precisão.

O widget de investigação de IA aparece na guia Visão geral do caso na Casos. Se houver apenas um alerta no caso, clique no botão Visão geral do caso para ver esse widget.

O widget de investigação de IA não é exibido para casos criados manualmente ou solicite casos que são iniciados no Your Workdesk.

Envie feedback sobre o widget de investigação de IA

1. Se os resultados forem aceitáveis, clique no ícone "Gostei". Você pode adicionar mais informações no campo Feedback adicional.

2. Se os resultados não forem os esperados, clique no ícone "Não gostei". Selecione uma opção das opções fornecidas e adicione qualquer outro feedback adicional que você relevantes.

3. Clique em Enviar feedback.

Remover o widget de investigação de IA

O widget de investigação de IA está incluído na visualização padrão.

Para remover o widget de investigação de IA da visualização padrão, faça o seguinte:

1. Navegue até Configurações SOAR > Dados do caso > Visualizações.

2. Selecione Default Case View no painel lateral esquerdo.

3. Clique no ícone Excluir no widget de investigação de IA.

Criar playbooks com o Gemini

O Gemini pode ajudar você a simplificar o processo de criação de playbooks transformando seus comandos em um playbook funcional que ajuda a resolver a possíveis problemas de segurança.

Criar um playbook usando comandos

1. Acesse Resposta > Playbooks.
2. Selecione o adicionar adicionar e criar um novo playbook.
3. No novo painel do playbook, selecione Criar playbooks usando IA.
4. No painel de comandos, insira um comando abrangente e bem estruturado em inglês. Para mais informações sobre como escrever um comando do playbook, consulte Escrever comandos para a criação do playbook do Gemini.
5. Clique em Gerar playbook.
6. Um painel de visualização com o playbook gerado será exibido. Se quiser deixar alterações, clique editar e refine o comando.
7. Clique em Criar playbook.
8. Se você quiser fazer alterações no playbook quando ele for exibido no painel principal, selecione Criar playbooks usando IA e reescreva seu comando. O Gemini vai criar um playbook para você.

Fornecer feedback para os playbooks criados pelo Gemini

1. Se os resultados do playbook forem bons, clique no ícone "Gostei". Você pode adicionar mais informações no campo Feedback adicional.
2. Se os resultados do playbook não forem os esperados, clique no ícone "Não gostei". Selecione uma das opções fornecidas e inclua outros comentários que que você considera relevantes.

Escrever comandos para a criação do playbook do Gemini

O recurso de playbooks do Gemini foi desenvolvido para criar playbooks com base na entrada de linguagem natural que você fornece. Você precisa digitar valores comandos bem estruturados na caixa de comandos do playbook do Gemini, que gera playbook do Google SecOps, que inclui gatilhos, ações e condições. A qualidade do playbook é influenciada pela precisão do comando fornecidas. comandos bem formulados, que contêm detalhes específicos produzem playbooks mais eficazes.

Recursos de criação de playbooks com o Gemini

Você pode fazer o seguinte com os recursos de criação do playbook do Gemini:

• Criar novos playbooks com estes itens: ações, gatilhos, fluxos.
• Usar todas as integrações comerciais transferidas por download.
• Coloque ações específicas e nomes de integração no comando como etapas do playbook.
• Compreender os comandos para descrever o fluxo quando integrações e nomes específicos não são fornecidos.
• Use os fluxos de condições conforme compatível com as capacidades de resposta do SOAR.
• Detectar qual gatilho é necessário para o playbook.

Não é possível fazer o seguinte usando comandos:

• Atualizar os playbooks atuais.
• Criar ou usar blocos de playbooks.
• Usar integrações personalizadas.
• Usar ações paralelas em playbooks.
• Usar integrações que não foram transferidas por download e instaladas.
• Usar instâncias de integração.

O uso de parâmetros em prompts nem sempre resulta na resposta correta ação que está sendo usada.

Como criar comandos eficientes

Cada comando precisa incluir os seguintes componentes:

• Objetivo: o que gerar
• Gatilho: como o playbook será acionado.
• Ação do manual: o que ele faz
• Condição: lógica condicional

Exemplo de comando que usa o nome da integração

O exemplo abaixo mostra um comando bem estruturado usando um nome de integração:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esse comando contém os quatro componentes definidos anteriormente:

• Objetivo claro: tem um objetivo definido, lidando com alertas de malware.
• Acionador específico: a ativação é baseada em um evento específico. ou receber um alerta de malware.
• Ações do manual: aprimora uma entidade do SOAR do Google Security Operations com dados de uma integração de terceiros (VirusTotal).
• Resposta condicional: especifica uma condição que é com base em resultados anteriores. Por exemplo, se o hash do arquivo for considerado malicioso, o arquivo deve ser colocado em quarentena.

Exemplo de comando que usa um fluxo em vez de um nome de integração

O exemplo a seguir mostra um comando bem estruturado, mas descreve o fluxo sem mencionar o nome específico da integração.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

O recurso de criação de playbooks do Gemini consegue fazer isso descrição de uma ação (enriquecer um hash de arquivo) e analisar integrações para encontrar a melhor opção para essa ação.

O recurso de criação do playbook do Gemini só pode escolher integrações que já estão instalados no seu ambiente.

Gatilhos personalizados

Além de usar gatilhos padrão, um gatilho pode ser personalizado no playbook prompt de comando. É possível especificar marcadores de posição para os seguintes objetos:

• Alerta
• Evento
• Entity
• Ambiente
• Texto livre

No exemplo a seguir, texto livre é usado para criar um gatilho que é executado referente a todos os e-mails da pasta de e-mails suspeitos, exceto aos e-mails que contenham a palavra [TESTE] na linha de assunto do e-mail.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Dicas para escrever comandos

• A prática recomendada é usar nomes de integração específicos: Especifique integrações apenas se elas forem já instalado e configurado em seu ambiente.
• Aproveite a Especialização do Gemini: manual do Gemini recurso de criação foi desenvolvido especificamente para criar playbooks com base em comandos alinhadas à resposta a incidentes, detecção de ameaças e fluxos de trabalho de segurança automatizados.
• Descreva a finalidade, o gatilho, a ação e a condição.
• Inclua objetivos claros: comece com um objetivo claro, como gerenciar alertas de malware e especificar gatilhos que ativam o playbook.
• Inclua condições para ações, como enriquecer dados ou colocar arquivos em quarentena. com base na análise de ameaças. Essa clareza e especificidade aprimoram potencial de eficácia e automação.

Exemplos de comandos bem estruturados

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.