Gemini in Google SecOps

Weitere Informationen zu Gemini, Large Language Models und verantwortungsvoller KI findest du unter Gemini für Code. Weitere Informationen finden Sie auch in der Gemini-Dokumentation und den Versionshinweisen.

  • Verfügbarkeit: Gemini in Google SecOps ist weltweit verfügbar. Gemini-Daten werden in den folgenden Regionen verarbeitet: us-central1, asia-southeast1 und europe-west1. Kundenanfragen werden zur Verarbeitung an die nächstgelegene Region weitergeleitet.

  • Preise: Weitere Informationen zu Preisen finden Sie unter pricing.

  • Gemini-Sicherheit: Informationen zu den Gemini-Sicherheitsfunktionen in Google Cloud finden Sie unter Sicherheit mit generativer KI.

  • Data Governance: Informationen zu den Data Governance-Praktiken von Gemini finden Sie unter So verwendet Gemini für Google Cloud Ihre Daten.

  • Zertifizierungen: Informationen zu Gemini-Zertifizierungen finden Sie unter Zertifizierungen für Gemini.

  • SecLM-Plattform: Gemini für Google SecOps verwendet eine Reihe von Large Language Models über die SecLM-Plattform, einschließlich des spezialisierten Sec-PaLM-Modells. Sec-PaLM wurde mit Daten trainiert, darunter Sicherheitsblogs, Berichte zu Threat Intelligence, YARA- und YARA-L-Erkennungsregeln, SOAR-Playbooks, Malware-Scripts, Informationen zu Sicherheitslücken, Produktdokumentationen und viele andere spezialisierte Datasets. Weitere Informationen finden Sie unter Sicherheit mit generativer KI.

In den folgenden Abschnitten finden Sie Dokumentation zu den Google SecOps-Funktionen, die auf Gemini basieren:

Sicherheitsprobleme mit Gemini untersuchen

Gemini bietet Unterstützung bei der Prüfung, auf die Sie von jedem Teil von Google SecOps aus zugreifen können. Gemini kann Sie bei Ihren Prüfungen unterstützen, indem es Folgendes unterstützt:

  • Suche: Gemini kann Ihnen mithilfe von Prompts in natürlicher Sprache dabei helfen, Suchanfragen zu erstellen, zu bearbeiten und durchzuführen, die auf relevante Ereignisse ausgerichtet sind. Gemini kann Ihnen auch dabei helfen, eine Suche zu iterieren, den Umfang anzupassen, den Zeitraum zu erweitern und Filter hinzuzufügen. Alle diese Aufgaben können Sie mit Prompts in natürlicher Sprache im Gemini-Bereich ausführen.
  • Zusammenfassungen der Suche: Gemini kann Suchergebnisse nach jeder Suche und nachfolgenden Filteraktion automatisch zusammenfassen. Der Gemini-Bereich fasst die Ergebnisse Ihrer Suche in einem prägnanten und verständlichen Format zusammen. Gemini kann auch kontextabhängige Nachfragen zu den bereitgestellten Zusammenfassungen beantworten.
  • Regelgenerierung: Gemini kann aus den generierten UM-Suchanfragen neue YARA-L-Regeln erstellen.
  • Sicherheitsfragen und Bedrohungsanalyse: Gemini kann allgemeine Fragen zum Thema Sicherheit beantworten. Darüber hinaus kann Gemini spezifische Fragen zu Threat Intelligence beantworten und Zusammenfassungen zu Bedrohungsakteuren, IOCs und anderen Themen rund um Threat Intelligence bereitstellen.
  • Behebung von Vorfällen: Basierend auf den zurückgegebenen Ereignisinformationen kann Gemini passende Schritte vorschlagen. Vorschläge können auch nach dem Filtern der Suchergebnisse angezeigt werden. Gemini kann beispielsweise vorschlagen, eine relevante Benachrichtigung oder Regel zu prüfen oder nach einem bestimmten Host oder Nutzer zu filtern.

Sie können mit Gemini UDM-Suchanfragen über den Gemini-Bereich oder über die UDM-Suche generieren.

Google empfiehlt, zum Generieren von Suchanfragen den Gemini-Bereich zu verwenden, um die besten Ergebnisse zu erzielen.

UDM-Suchabfrage mit dem Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an und öffnen Sie den Gemini-Bereich, indem Sie auf das Gemini-Logo klicken.

  2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Der Prompt in natürlicher Sprache muss auf Englisch sein.

    Gemini-Bereich öffnen und Prompt eingeben

    Abbildung 1: Gemini-Bereich öffnen und Prompt eingeben

  3. Prüfen Sie die generierte UDM-Suchabfrage. Wenn die generierte Suchanfrage Ihren Anforderungen entspricht, klicken Sie auf Suche ausführen.

  4. Gemini erstellt eine Zusammenfassung der Ergebnisse mit vorgeschlagenen Aktionen.

  5. Geben Sie Folgefragen in natürlicher Sprache zu den von Gemini bereitgestellten Suchergebnissen ein, um Ihre Untersuchung fortzusetzen.

Beispiele für Suchaufforderungen und Nachfragen
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

UDM-Suchabfrage in natürlicher Sprache generieren

Mit der Funktion „Google SecOps Search“ können Sie eine Abfrage in natürlicher Sprache zu Ihren Daten eingeben, die von Gemini in eine UDM-Suchabfrage umgewandelt werden kann, die sich für UDM-Ereignisse ausführen lässt.

Für bessere Ergebnisse empfiehlt Google, den Gemini-Bereich zum Generieren von Suchanfragen zu verwenden.

Führen Sie die folgenden Schritte aus, um eine UDM-Suchabfrage mithilfe einer Suche in natürlicher Sprache zu erstellen:

  1. Melden Sie sich in Google SecOps an.
  2. Gehen Sie zu Suchen.

  3. Geben Sie eine Suchanweisung in die Abfrageleiste der natürlichen Sprache ein und klicken Sie auf Abfrage generieren. Sie müssen Englisch für die Suche verwenden.

    Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf

    Abbildung 2: Eine Suche in natürlicher Sprache eingeben und auf „Abfrage generieren“ klicken

    Im Folgenden finden Sie einige Beispiele für Anweisungen, die eine nützliche UDM-Suche generieren können:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanweisung einen zeitbasierten Begriff enthält, wird die Zeitauswahl automatisch entsprechend angepasst. Das trifft beispielsweise auf die folgenden Suchvorgänge zu:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanweisung nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
    "Leider konnte keine gültige Abfrage generiert werden. Versuchen Sie es mit einer anderen Frage.“

  4. Prüfen Sie die generierte UDM-Suchabfrage.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Sehen Sie in den Suchergebnissen nach, ob das Ereignis vorhanden ist. Bei Bedarf können Sie die Liste der Ergebnisse mithilfe von Suchfiltern eingrenzen.

  8. Verwenden Sie die Feedbacksymbole für Generierte Abfrage, um Feedback zu der Abfrage zu geben. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Daumen-nach-oben-Symbol.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse liefert, klicken Sie auf das Daumen-nach-unten-Symbol.
    • Optional: Geben Sie im Feld Feedback zusätzliche Details ein.
    • So senden Sie eine überarbeitete UDM-Suchanfrage, die zur Verbesserung der Ergebnisse beiträgt:
    • Bearbeiten Sie die generierte UDM-Suchabfrage.
    • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht neu geschrieben haben, werden Sie vom Text im Dialogfeld aufgefordert, die Abfrage zu bearbeiten.
    • Klicken Sie auf Senden. Die überarbeitete UDM-Suchabfrage wird von sensiblen Daten bereinigt und zur Verbesserung der Ergebnisse verwendet.

YARA-L-Regel mit Gemini generieren

  1. Verwenden Sie einen Prompt in natürlicher Sprache, um eine Regel zu erstellen (z. B. create a rule to detect logins from bruce-monroe). Drücken Sie die Eingabetaste. Gemini generiert eine Regel, um das Verhalten zu erkennen, nach dem Sie im Gemini-Bereich gesucht haben.

  2. Klicken Sie auf Im Regeleditor öffnen, um die neue Regel im Regeleditor anzusehen und zu ändern. Mit dieser Funktion lassen sich nur Regeln für einzelne Ereignisse erstellen.

    Beispielsweise generiert Gemini mit der vorherigen Regel-Eingabeaufforderung die folgende Regel:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Klicken Sie auf Neue Regel speichern, um die Regel zu aktivieren. Die Regel wird links in der Liste der Regeln angezeigt. Bewegen Sie den Mauszeiger auf die Regel, klicken Sie auf das Menüsymbol und aktivieren Sie die Option Live-Regel nach rechts (grün). Weitere Informationen finden Sie unter Regeln mit dem Regeleditor verwalten.

Feedback zur generierten Regel geben

Sie können Feedback zur generierten Regel geben. Dieses Feedback wird verwendet, um die Genauigkeit der Funktion zur Regelerstellung zu verbessern.

  • Wenn die Regelsyntax wie erwartet generiert wurde, klicken Sie auf das Daumen-nach-oben-Symbol.
  • Wenn die Regelsyntax nicht Ihren Erwartungen entspricht, klicken Sie auf das Symbol „Mag ich nicht“. Wählen Sie die Option aus, die das Problem mit der generierten Regelsyntax am besten beschreibt. Optional: Geben Sie im Feld Beschreiben Sie Ihr Feedback zusätzliche Details an. Klicken Sie auf Feedback geben.

Unterstützung bei Bedrohungsdaten und Sicherheitsfragen

Gemini kann Fragen zu Bedrohungsdaten zu Themen wie Bedrohungsakteuren, ihren Assoziationen und ihren Verhaltensmustern beantworten, einschließlich Fragen zu MITRE-TTPs.

Fragen zu Threat Intelligence sind auf Informationen beschränkt, die für Ihre Google SecOps-Produktversion verfügbar sind. Antworten auf Fragen können je nach Produktversion variieren. Insbesondere sind die Daten zu Threat Intelligence in anderen Produktversionen als Enterprise Plus eingeschränkter, da sie keinen vollständigen Zugriff auf Mandiant und VirusTotal enthalten.

Geben Sie Ihre Fragen in den Gemini-Bereich ein.

  1. Geben Sie eine Frage zu Threat Intelligence ein. Beispiel: What is UNC3782?

  2. Überprüfen Sie die Ergebnisse.

  3. Untersuchen Sie weiter und bitten Sie Gemini, Abfragen zu erstellen, um nach bestimmten Bedrohungsindikatoren zu suchen, auf die in den Berichten zu Bedrohungsdaten verwiesen wird. Informationen zu Threat Intelligence unterliegen den verfügbaren Berechtigungen Ihrer Google SecOps-Lizenz.

Beispiel: Fragen zu Threat Intelligence und Sicherheit

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini und MITRE

Die MITRE ATT&CK®-Matrix ist eine Wissensdatenbank, in der die TTPs dokumentiert sind, die von realen Cyberkriminellen verwendet werden. Die MITRE-Matrix bietet ein Verständnis dafür, wie Ihre Organisation angegriffen werden könnte, und bietet eine standardisierte Syntax zur Besprechung von Angriffen.

Sie können Gemini Fragen zu MITRE-Taktiken, ‐Techniken und ‐Verfahren (TTP) stellen und erhalten kontextbezogene Antworten, die die folgenden MITRE-Details enthalten:

  • Taktik
  • Verfahren
  • Untertechnik
  • Vorschläge zur Erkennung
  • Prozeduren
  • Abwehrmaßnahmen

Gemini gibt einen Link zu den ausgewählten Erkennungsmechanismen zurück, die Google SecOps für jedes TTP bereitstellt. Sie können Gemini auch Folgefragen stellen, um zusätzliche Informationen zu einem MITRE-TTP und den möglichen Auswirkungen auf Ihr Unternehmen zu erhalten.

Chatsitzung löschen

Sie können Ihre Chatunterhaltung oder alle Chatsitzungen löschen. Gemini verwaltet den gesamten Unterhaltungsverlauf von Nutzern und hält sich an die verantwortungsbewussten KI-Praktiken von Google Cloud. Der Nutzerverlauf wird nie zum Trainieren von Modellen verwendet.

  1. Wählen Sie im Gemini-Bereich oben rechts im Menü die Option Chat löschen aus.
  2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen aus und klicken Sie dann auf Alle Chats löschen.

Feedback geben

Sie können Feedback zu den Antworten geben, die von der Prüfungsunterstützung durch Gemini AI generiert wurden. Ihr Feedback hilft Google, die Funktion und die von Gemini generierten Ergebnisse zu verbessern.

  1. Wählen Sie im Gemini-Bereich das Symbol für „Mag ich“ oder „Mag ich nicht“ aus.
  2. (Optional) Wenn Sie die Option „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben, warum Sie sich für diese Bewertung entschieden haben.
  3. Klicken Sie auf Feedback senden.

KI-Untersuchungs-Widget

Das AI Investigation-Widget prüft den gesamten Fall (Benachrichtigungen, Ereignisse und Entitäten) und liefert eine KI-generierte Fallzusammenfassung, die angibt, wie viel Aufmerksamkeit der Fall möglicherweise erfordern würde. Das Widget fasst außerdem die Warndaten für ein besseres Verständnis der Bedrohung zusammen und bietet Empfehlungen für die nächsten Schritte für eine effektive Abhilfe.

Klassifizierung, Zusammenfassung und Empfehlungen beinhalten alle eine Option, Feedback zur Genauigkeit und Nützlichkeit der KI zu geben. Dieses Feedback hilft uns, die Genauigkeit zu verbessern.

Das AI Investigation-Widget wird auf der Seite Cases (Fälle) auf dem Tab Case Overview (Fallübersicht) angezeigt. Wenn der Fall nur eine Benachrichtigung enthält, müssen Sie auf den Tab Fallübersicht klicken, damit dieses Widget angezeigt wird.

KI-Prüfung

Das Widget „AI Investigation“ wird nicht für Fälle angezeigt, die manuell erstellt oder über Your Workdesk initiiert wurden.

Feedback für das KI-Prüftool geben

  1. Wenn die Ergebnisse akzeptabel sind, klicke auf das Daumen-nach-oben-Symbol. Im Feld Zusätzliches Feedback können Sie weitere Informationen eingeben.

  2. Wenn die Ergebnisse nicht Ihren Erwartungen entsprechen, klicken Sie auf das Symbol „Mag ich nicht“. Wählen Sie eine der angegebenen Optionen aus und fügen Sie zusätzliches Feedback hinzu, das Sie für relevant halten.

  3. Klicken Sie auf Feedback geben.

Widget „AI Investigation“ entfernen

Das Widget „AI Investigation“ ist in der Standardansicht enthalten.

So entfernen Sie das Widget „AI Investigation“ aus der Standardansicht:

  1. Gehen Sie zu SOAR-Einstellungen > Falldaten > Ansichten.

  2. Wählen Sie in der linken Seitenleiste Default Case View (Standardansicht der Supportanfragen) aus.

  3. Klicken Sie im AI Investigation-Widget auf das Symbol Löschen.

Playbooks mit Gemini erstellen

Mit Gemini kannst du die Erstellung von Playbooks optimieren, indem du deine Prompts in ein funktionales Playbook umwandelst, mit dem Sicherheitsprobleme behoben werden.

Playbook mit Prompts erstellen

  1. Gehen Sie zu Antworten > Playbooks.
  2. Klicken Sie auf das Symbol zum Hinzufügen und erstellen Sie ein neues Playbook.
  3. Wählen Sie im neuen Playbook-Bereich die Option Playbooks mit KI erstellen aus.
  4. Geben Sie im Prompt-Fenster einen umfassenden und gut strukturierten Prompt auf Englisch ein. Weitere Informationen zum Schreiben eines Playbook-Prompts finden Sie unter Prompts für die Erstellung eines Gemini-Playbooks schreiben.
  5. Klicken Sie auf Playbook erstellen.
  6. Ein Vorschaubereich mit dem generierten Playbook wird angezeigt. Wenn Sie Änderungen vornehmen möchten, klicken Sie auf Bearbeiten und verfeinern Sie die Eingabeaufforderung.
  7. Klicken Sie auf Playbook erstellen.
  8. Wenn Sie Änderungen am Playbook vornehmen möchten, sobald es im Hauptbereich angezeigt wird, wählen Sie Playbooks mit KI erstellen aus und schreiben Sie den Prompt neu. Gemini erstellt ein neues Playbook für dich.

Feedback zu Playbooks geben, die von Gemini erstellt wurden

  1. Wenn die Playbook-Ergebnisse gut sind, klicken Sie auf das Daumen-nach-oben-Symbol. Im Feld Zusätzliches Feedback kannst du weitere Angaben machen.
  2. Wenn die Playbook-Ergebnisse nicht wie erwartet waren, klicken Sie auf das Daumen-nach-unten-Symbol. Wählen Sie eine der Optionen aus und fügen Sie zusätzliches Feedback hinzu, das Ihrer Meinung nach relevant ist.

Prompts zum Erstellen eines Gemini-Playbooks schreiben

Die Playbook-Funktion von Gemini wurde entwickelt, um Playbooks basierend auf den von Ihnen bereitgestellten natürlichen Spracheingaben zu erstellen. Geben Sie klare und gut strukturierte Prompts in das Feld mit den Gemini-Playbook-Prompts ein. Daraufhin wird ein Google SecOps-Playbook mit Triggern, Aktionen und Bedingungen generiert. Die Qualität des Playbooks wird von der Genauigkeit des Prompts beeinflusst. Gut formulierte Prompts mit klaren und spezifischen Details führen zu effektiveren Playbooks.

Funktionen der Playbook-Erstellung mit Gemini

Mit den Funktionen zum Erstellen von Gemini-Playbooks können Sie Folgendes tun:

  • Erstellen Sie neue Playbooks mit den folgenden Elementen: Aktionen, Trigger, Abläufe.
  • Verwende alle heruntergeladenen kommerziellen Integrationen.
  • Geben Sie bestimmte Aktionen und Integrationsnamen in der Aufforderung als Playbook-Schritte an.
  • Prompts verstehen, um den Ablauf zu beschreiben, bei dem keine spezifischen Integrationen und Namen angegeben werden.
  • Verwenden Sie Bedingungsabläufe, die in den SOAR-Antwortfunktionen unterstützt werden.
  • Ermitteln Sie, welcher Trigger für das Playbook erforderlich ist.

Folgendes ist mit Aufforderungen nicht möglich:

  • Vorhandene Playbooks aktualisieren.
  • Erstellen oder verwenden Sie Playbook-Blöcke.
  • Benutzerdefinierte Integrationen verwenden.
  • Nutzen Sie parallele Aktionen in Playbooks.
  • Verwende Integrationen, die noch nicht heruntergeladen und installiert wurden.
  • Integrationsinstanzen verwenden.

Beachten Sie, dass die Verwendung von Parametern in Prompts nicht immer dazu führt, dass die richtige Aktion verwendet wird.

Effektive Prompts erstellen

Jeder Prompt muss die folgenden Komponenten enthalten:

  • Ziel: was generiert werden soll
  • Trigger: wie das Playbook ausgelöst wird
  • Playbook-Aktion: Aktion
  • Bedingung: Bedingte Logik

Beispiel für einen Prompt mit dem Integrationsnamen

Das folgende Beispiel zeigt einen gut strukturierten Prompt mit einem Integrationsnamen:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Dieser Prompt enthält die vier zuvor definierten Komponenten:

  • Klares Ziel: Hat ein definiertes Ziel und behandelt Malware-Warnungen.
  • Spezifischer Trigger: Die Aktivierung basiert auf einem bestimmten Ereignis und erhält eine Malware-Benachrichtigung.
  • Playbook-Aktionen: Erweitert eine Google Security Operations SOAR-Entität mit Daten aus einer Drittanbieterintegration (VirusTotal).
  • Bedingte Antwort: Gibt eine Bedingung an, die auf früheren Ergebnissen basiert. Wenn sich beispielsweise der Datei-Hash als schädlich erweist, sollte die Datei unter Quarantäne gestellt werden.

Beispiel für einen Prompt mit einem Ablauf anstelle eines Integrationsnamens

Das folgende Beispiel zeigt einen gut strukturierten Prompt, beschreibt jedoch den Ablauf, ohne den spezifischen Namen der Integration zu nennen.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Das Feature zum Erstellen eines Gemini-Playbooks kann diese Beschreibung einer Aktion verwenden, also einen Datei-Hash anreichern, und die installierten Integrationen durchsehen, um diejenige zu finden, die am besten zu dieser Aktion passt.

Das Feature zum Erstellen von Gemini-Playbooks kann nur aus Integrationen auswählen, die bereits in Ihrer Umgebung installiert sind.

Benutzerdefinierte Trigger

Neben der Verwendung von Standardtriggern kann ein Trigger in der Playbook-Eingabeaufforderung angepasst werden. Sie können Platzhalter für die folgenden Objekte angeben:

  • Benachrichtigung
  • Ereignis
  • Entität
  • Umgebung
  • Freier Text

Im folgenden Beispiel wird Freitext verwendet, um einen Trigger zu erstellen, der für alle E-Mails aus dem Ordner verdächtige E-Mail ausgeführt wird, mit Ausnahme der E-Mails, die das Wort [TEST] in der Betreffzeile enthalten.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Tipps zum Schreiben von Prompts

  • Es empfiehlt sich, bestimmte Integrationsnamen zu verwenden: Geben Sie Integrationen nur an, wenn sie bereits in Ihrer Umgebung installiert und konfiguriert sind.
  • Nutzen Sie die Gemini-Spezialisierung: Die Funktion zum Erstellen von Playbooks von Gemini wurde speziell zum Erstellen von Playbooks auf der Grundlage von Prompts entwickelt, die auf die Reaktion auf Vorfälle, die Bedrohungserkennung und automatisierte Sicherheitsworkflows abgestimmt sind.
  • Geben Sie Zweck, Trigger, Aktion und Bedingung an.
  • Klare Ziele setzen: Beginnen Sie mit einem klaren Ziel, z. B. der Verwaltung von Malware-Warnungen, und geben Sie Auslöser an, die das Playbook aktivieren.
  • Geben Sie Bedingungen für Aktionen wie das Anreichern von Daten oder das Quarantänen von Dateien auf der Grundlage von Bedrohungsanalysen an. Diese Klarheit und Spezifität verbessern die Effektivität und Automatisierungspotenzial des Playbooks.

Beispiele für gut strukturierte Prompts

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.