Gemini dans Google SecOps

Pour en savoir plus sur Gemini, les grands modèles de langage et l'IA responsable, consultez la page Gemini pour le code. Vous pouvez également consulter la documentation Gemini et les notes de version.

  • Disponibilité: Gemini dans Google SecOps est disponible dans le monde entier. Les données Gemini sont traitées dans les régions suivantes: us-central1, asia-southeast1 et europe-west1. Les requêtes des clients sont acheminées vers la région la plus proche pour traitement.

  • Tarifs: pour en savoir plus sur la tarification, consultez les pricing des opérations de sécurité Google.

  • Sécurité de Gemini: pour en savoir plus sur les fonctionnalités de sécurité de Gemini dans Google Cloud, consultez Sécurité avec l'IA générative.

  • Gouvernance des données: pour en savoir plus sur les pratiques de gouvernance des données Gemini, consultez Comment Gemini pour Google Cloud utilise vos données.

  • Certifications: pour en savoir plus sur les certifications Gemini, consultez Certifications pour Gemini.

  • Plate-forme SecLM: Gemini pour Google SecOps utilise une gamme de grands modèles de langage via la plate-forme SecLM, y compris le modèle Sec-PaLM spécialisé. Sec-PaLM est entraîné sur des données telles que les blogs de sécurité, les rapports de Threat Intelligence, les règles de détection YARA et YARA-L, les playbooks SOAR, les scripts de logiciels malveillants, les informations sur les failles, la documentation produit et de nombreux autres ensembles de données spécialisés. Pour en savoir plus, consultez la page Sécurité avec l'IA générative.

Les sections suivantes fournissent de la documentation sur les fonctionnalités SecOps de Google fournies par Gemini:

Examiner les problèmes de sécurité avec Gemini

Gemini fournit une assistance à l'investigation accessible depuis n'importe quelle partie du service SecOps de Google. Gemini peut vous aider dans vos investigations en vous fournissant les solutions suivantes:

  • Recherche: Gemini peut vous aider à créer, modifier et exécuter des recherches ciblant des événements pertinents à l'aide d'invites en langage naturel. Gemini peut également vous aider à itérer une recherche, à ajuster la portée, à étendre la période et à ajouter des filtres. Vous pouvez effectuer toutes ces tâches à l'aide d'invites en langage naturel saisies dans le volet Gemini.
  • Résumés de recherche: Gemini peut résumer automatiquement les résultats de recherche après chaque recherche et toute action de filtrage ultérieure. Le volet "Gemini" résume les résultats de votre recherche dans un format concis et compréhensible. Gemini peut également répondre aux questions de suivi contextuelles concernant les résumés qu'il fournit.
  • Génération de règles: Gemini peut créer des règles YARA-L à partir des requêtes de recherche UDM qu'il génère.
  • Questions de sécurité et analyse des renseignements sur les menaces: Gemini peut répondre à des questions générales sur le domaine de sécurité. De plus, Gemini peut répondre à des questions spécifiques sur les menaces et fournir des résumés sur les acteurs cyber, leurs IOC et d’autres sujets liés à la Threat Intelligence.
  • Correction des incidents: en fonction des informations d'événement renvoyées, Genemini peut vous suggérer la procédure à suivre. Des suggestions peuvent également apparaître après le filtrage des résultats de recherche. Par exemple, Gemini peut suggérer d'examiner une alerte ou une règle pertinente, ou de filtrer un hôte ou un utilisateur spécifique.

Vous pouvez utiliser Gemini pour générer des requêtes de recherche UDM à partir du volet Gemini ou lorsque vous utilisez la recherche UDM.

Pour obtenir de meilleurs résultats, Google vous recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

Générer une requête de recherche UDM à l'aide du volet Gemini

  1. Connectez-vous à Google SecOps et ouvrez le volet Gemini en cliquant sur le logo Gemini.

  2. Saisissez une invite en langage naturel, puis appuyez sur Entrée. La requête en langage naturel doit être en anglais.

    Ouvrez le volet Gemini et saisissez une invite

    Figure 1: Ouvrir le volet Gemini et saisir une invite

  3. Examinez la requête de recherche UDM générée. Si la requête de recherche générée répond à vos besoins, cliquez sur Exécuter la recherche.

  4. Gemini génère un résumé des résultats et suggère des actions.

  5. Saisissez des questions complémentaires en langage naturel concernant les résultats de recherche fournis par Gemini pour poursuivre votre investigation.

Exemples de requêtes de recherche et de questions complémentaires
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Générer une requête de recherche UDM en langage naturel

À l'aide de la fonctionnalité de recherche SecOps de Google, vous pouvez saisir une requête en langage naturel sur vos données. Gemini peut la traduire en une requête de recherche UDM que vous pouvez exécuter sur des événements UDM.

Pour obtenir de meilleurs résultats, Google vous recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

Pour créer une requête de recherche UDM à l'aide d'une recherche en langage naturel, procédez comme suit:

  1. Connectez-vous à Google SecOps.
  2. Accédez à Rechercher.

  3. Saisissez une instruction de recherche dans la barre de requête Natural Language, puis cliquez sur Generate Query (Générer une requête). Vous devez utiliser l'anglais pour la recherche.

    Saisissez une recherche en langage naturel, puis cliquez sur "Générer une requête".

    Figure 2: Saisissez une recherche en langage naturel, puis cliquez sur "Générer une requête"

    Voici quelques exemples d'instructions pouvant générer une recherche UDM utile:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Si l'instruction de recherche inclut un terme temporel, le sélecteur de l'heure est automatiquement ajusté en conséquence. Par exemple, cette règle s'applique aux recherches suivantes:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche:
    "Désolé, aucune requête valide n'a pu être générée. Essayez de poser une autre question. »

  4. Examinez la requête de recherche UDM générée.

  5. (Facultatif) Ajustez la période de recherche.

  6. Cliquez sur Lancer la recherche.

  7. Examinez les résultats de recherche pour déterminer si l'événement est présent. Si nécessaire, utilisez des filtres de recherche pour affiner la liste des résultats.

  8. Envoyez des commentaires sur la requête à l'aide des icônes de commentaire Requête générée. Sélectionnez l'une des options suivantes :

    • Si la requête renvoie les résultats attendus, cliquez sur l’icône « Pouce en haut ».
    • Si la requête ne renvoie pas les résultats attendus, cliquez sur l'icône "Je n'aime pas".
    • (Facultatif) Ajoutez des informations supplémentaires dans le champ Commentaires.
    • Pour envoyer une requête de recherche UDM modifiée afin d'améliorer les résultats:
    • Modifiez la requête de recherche UDM générée.
    • Cliquez sur Envoyer. Si vous n'avez pas réécrit la requête, le texte de la boîte de dialogue vous invite à la modifier.
    • Cliquez sur Envoyer. La nouvelle requête de recherche UDM sera éliminée de toutes les données sensibles et utilisée pour améliorer les résultats.

Générer une règle YARA-L à l'aide de Gemini

  1. Utilisez une invite en langage naturel pour générer une règle (par exemple, create a rule to detect logins from bruce-monroe). Appuyez sur Entrée. Gemini génère une règle pour détecter le comportement que vous avez recherché dans le volet Gemini.

  2. Cliquez sur Ouvrir dans l'éditeur de règles pour afficher et modifier la nouvelle règle dans l'éditeur de règles. Cette fonctionnalité vous permet uniquement de créer des règles pour un seul événement.

    Par exemple, à l'aide de l'invite de règle précédente, Gemini génère la règle suivante:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Pour activer la règle, cliquez sur Enregistrer une nouvelle règle. La règle apparaît dans la liste des règles sur la gauche. Maintenez le pointeur sur la règle, cliquez sur l'icône de menu et activez l'option Live Rule (Règle active) vers la droite (verte). Pour en savoir plus, consultez Gérer les règles à l'aide de l'Éditeur de règles.

Envoyer des commentaires sur la règle générée

Vous pouvez fournir des commentaires sur la règle générée. Ces commentaires permettent d'améliorer la précision de la fonctionnalité de génération des règles.

  • Si la syntaxe de la règle a été générée comme prévu, cliquez sur l'icône "J'aime".
  • Si la syntaxe de la règle ne correspond pas à vos attentes, cliquez sur l'icône "Pouce vers le bas". Cochez l'option qui indique le mieux le problème que vous avez rencontré avec la syntaxe de la règle générée. (Facultatif) Ajoutez des détails supplémentaires dans le champ Décrivez vos commentaires. Cliquez sur Envoyer des commentaires.

Assistance pour la CTI et les questions de sécurité

Gemini peut répondre aux questions liées à la Threat Intelligence sur des sujets tels que les cybercriminels, leurs associations et leurs modèles de comportement, y compris des questions sur les TTP MITRE.

Saisissez vos questions dans le volet Gemini.

  1. Saisissez une question Threat Intelligence. Par exemple : What is UNC3782?

  2. Examinez les résultats.

  3. Approfondissez l'analyse en demandant à Gemini de créer des requêtes permettant de rechercher des IOC spécifiques référencés dans les rapports Threat Intelligence. Les informations de Threat Intelligence dépendent des droits d'accès disponibles sur votre licence Google SecOps.

Exemple: Questions sur la Threat Intelligence et la sécurité

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini et MITRE

MITRE ATT&CK® Matrix est une base de connaissances qui recense les modes opératoires des cyberattaques réelles. La matrice MITRE permet de comprendre comment votre organisation peut être ciblée et fournit une syntaxe standardisée pour discuter des attaques.

Vous pouvez poser des questions à Gemini sur les tactiques, techniques et procédures (TTP) MITRE et recevoir des réponses contextuelles pertinentes, y compris les informations MITRE suivantes:

  • Stratégie
  • Technique
  • Sous-technique
  • Suggestions de détection
  • Procédures
  • Mesures d'atténuation

Gemini renvoie un lien vers les détections sélectionnées par Google SecOps pour chaque TTP. Vous pouvez également poser des questions complémentaires à Genemini afin d'obtenir des informations supplémentaires sur le mode d'exécution d'application MITRE et son impact sur votre entreprise.

Supprimer une session de chat

Vous pouvez supprimer votre session de chat ou toutes les sessions de chat. Gemini conserve tous les historiques des conversations des utilisateurs de manière privée et respecte les pratiques d'IA responsable de Google Cloud. L'historique des utilisateurs n'est jamais utilisé pour entraîner des modèles.

  1. Dans le volet Gemini, sélectionnez Supprimer le chat dans le menu en haut à droite.
  2. Cliquez sur Supprimer le chat en bas à droite pour supprimer la session de chat en cours.
  3. (Facultatif) Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat, puis cliquez sur Supprimer tous les chats.

Fournir des commentaires

Vous pouvez envoyer des commentaires aux réponses générées par l'aide à l'investigation de l'IA Gemini. Vos commentaires aident Google à améliorer la fonctionnalité et la sortie générée par Gemini.

  1. Dans le volet Gemini, sélectionnez l'icône J'aime ou Je n'aime pas.
  2. (Facultatif) Si vous sélectionnez "Je n'aime pas", vous pouvez ajouter des commentaires supplémentaires expliquant pourquoi vous avez choisi cette note.
  3. Cliquez sur Envoyer des commentaires.

Widget d'investigation IA

Le widget d'investigation par IA examine le cas dans son ensemble (alertes, événements et entités) et fournit un résumé généré par IA du niveau d'attention que la demande peut nécessiter. Le widget résume également les données d'alerte pour une meilleure compréhension de la menace et fournit des recommandations sur les mesures à prendre pour une remédiation efficace.

La classification, le résumé et les recommandations incluent tous une option permettant de laisser des commentaires sur le niveau de précision et d'utilité de l'IA. Ils nous aident à améliorer leur précision.

Le widget d'investigation par IA s'affiche dans l'onglet Présentation de la demande de la page Demandes. S'il n'y a qu'une seule alerte dans la demande, vous devez cliquer sur l'onglet Case Overview (Présentation de la demande) pour afficher ce widget.

investigation ia

Le widget d'investigation d'IA ne s'affiche pas pour les demandes créées manuellement ni pour les demandes lancées depuis Your Workdesk.

Envoyer des commentaires sur le widget d'investigation de l'IA

  1. Si les résultats sont satisfaisants, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations supplémentaires dans le champ Additional Feedback (Commentaires supplémentaires).

  2. Si les résultats ne sont pas ceux attendus, cliquez sur l’icône « Pouce vers le bas ». Sélectionnez l'une des options fournies et ajoutez tout autre commentaire que vous jugez pertinent.

  3. Cliquez sur Envoyer des commentaires.

Supprimer le widget d'investigation par IA

Le widget d'investigation IA est inclus dans la vue par défaut.

Pour supprimer le widget d'investigation par IA de la vue par défaut, procédez comme suit:

  1. Accédez à Paramètres SOAR > Données de demande > Vues.

  2. Sélectionnez Default Case View (Vue par défaut de la casse) dans le panneau latéral de gauche.

  3. Cliquez sur l'icône Supprimer dans le widget d'investigation IA.

Créer des playbooks avec Gemini

Gemini peut vous aider à simplifier le processus de création de playbooks en transformant vos requêtes en playbooks fonctionnels qui vous aident à résoudre les problèmes de sécurité.

Créer un playbook à l'aide de requêtes

  1. Accédez à Response> Playbooks (Réponse > Playbooks).
  2. Sélectionnez l'icône d'ajout add et créez un playbook.
  3. Dans le volet du nouveau playbook, sélectionnez Créer des playbooks à l'aide de l'IA.
  4. Dans le volet des requêtes, saisissez une requête complète et bien structurée en anglais. Pour en savoir plus sur la rédaction d'une requête pour un playbook, consultez la section Écrire des invites pour la création de playbooks Gemini.
  5. Cliquez sur Générer un playbook.
  6. Un volet d'aperçu avec le playbook généré s'affiche. Si vous souhaitez apporter des modifications, cliquez sur edit (modifier) et affinez l'invite.
  7. Cliquez sur Create Playbook (Créer un playbook).
  8. Si vous souhaitez modifier le playbook affiché dans le volet principal, sélectionnez Créer des playbooks à l'aide de l'IA et réécrivez votre requête. Gemini créera un playbook pour vous.

Envoyer des commentaires sur les playbooks créés par Gemini

  1. Si les résultats du playbook sont bons, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations dans le champ Commentaires supplémentaires.
  2. Si les résultats du playbook ne sont pas ceux attendus, cliquez sur l'icône Je n'aime pas. Sélectionnez l'une des options proposées et ajoutez d'autres commentaires qui vous paraissent pertinents.

Rédiger des requêtes pour créer des playbooks Gemini

Gemini a été conçu pour créer des playbooks basés sur les données que vous fournissez en langage naturel. Vous devez saisir des invites claires et bien structurées dans la zone des invites du playbook Gemini, ce qui génère ensuite un playbook Google SecOps qui inclut des déclencheurs, des actions et des conditions. La qualité du playbook dépend de l'exactitude de l'invite fournie. Des requêtes bien formulées avec des détails clairs et spécifiques produisent des playbooks plus efficaces.

Fonctionnalités de création de playbooks avec Gemini

Les fonctionnalités de création de playbooks Gemini vous permettent d'effectuer les opérations suivantes:

  • Créez des playbooks avec les éléments suivants: actions, déclencheurs et flux.
  • Utilisez toutes les intégrations commerciales téléchargées.
  • Indiquez des actions spécifiques et des noms d'intégrations dans l'invite en tant qu'étapes du playbook.
  • Comprendre les invites permettant de décrire le flux lorsque des intégrations et des noms spécifiques ne sont pas indiqués.
  • Utilisez les flux de conditions comme compatibles avec les fonctionnalités de réponse SOAR.
  • Détectez le déclencheur nécessaire pour le playbook.

Notez que l'utilisation de paramètres dans les invites n'entraîne pas toujours l'utilisation de l'action appropriée.

Créer des requêtes efficaces

Chaque invite doit inclure les composants suivants:

  • Objectif: ce que vous devez générer
  • Trigger (Déclencheur) : mode de déclenchement du playbook
  • Action du playbook: à quoi sert-elle ?
  • Condition: logique conditionnelle

Exemple de requête utilisant le nom d'intégration

L'exemple suivant montre une requête bien structurée utilisant un nom d'intégration:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Cette invite contient les quatre composants définis précédemment:

  • Objectif clair: a un objectif défini et permet de gérer les alertes liées à des logiciels malveillants.
  • Déclencheur spécifique: l'activation est basée sur un événement spécifique qui reçoit une alerte en cas de logiciel malveillant.
  • Actions du playbook: améliore une entité SOAR Opérations de sécurité Google avec des données provenant d'une intégration tierce (VirusTotal).
  • Réponse conditionnelle: spécifie une condition basée sur les résultats précédents. Par exemple, si le hachage du fichier est malveillant, le fichier doit être mis en quarantaine.

Exemple de requête utilisant un flux au lieu d'un nom d'intégration

L'exemple suivant montre une requête bien structurée, mais décrit le flux sans mentionner le nom de l'intégration spécifique.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La fonctionnalité de création de playbooks Gemini est capable d'effectuer cette description d'une action (enrichir un hachage de fichier) et d'examiner les intégrations installées pour trouver celle qui correspond le mieux à cette action.

La fonctionnalité de création de playbooks Gemini ne peut choisir que des intégrations déjà installées dans votre environnement.

Déclencheurs personnalisés

En plus d'utiliser des déclencheurs standards, vous pouvez personnaliser un déclencheur dans l'invite du playbook. Vous pouvez spécifier des espaces réservés pour les objets suivants:

  • Alerte
  • Événement
  • Entité
  • Environnement
  • Texte libre

Dans l'exemple suivant, le texte libre permet de créer un déclencheur qui s'exécute pour tous les e-mails du dossier e-mail suspect, à l'exception de ceux dont la ligne d'objet contient le mot [TEST].

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Conseils pour rédiger des requêtes

  • Il est recommandé d'utiliser des noms d'intégration spécifiques : spécifiez les intégrations uniquement si elles sont déjà installées et configurées dans votre environnement.
  • Profitez de la spécialisation Gemini: la fonctionnalité de création de playbooks Gemini est spécifiquement conçue pour créer des playbooks basés sur des requêtes qui correspondent aux workflows de réponse aux incidents, de détection des menaces et de sécurité automatisés.
  • Détaillez l'objectif, le déclencheur, l'action et la condition.
  • Incluez des objectifs clairs: commencez par un objectif clair, comme gérer les alertes de logiciels malveillants, et spécifiez les déclencheurs qui activent le guide.
  • Incluez des conditions pour les actions, comme l'enrichissement des données ou la mise en quarantaine de fichiers, en fonction de l'analyse des menaces. Cette clarté et cette spécificité améliorent l'efficacité et le potentiel d'automatisation de ce guide.

Exemples de requêtes bien structurées

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Exemples de requêtes mal structurées

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

Cette invite ne permet pas de créer un playbook fonctionnel, car elle se concentre sur l'analyse et la stratégie marketing, ce qui n'entre pas dans le cadre de la création de Playbook pour Google SecOps.