Gemini en SecOps de Google

Para obtener más información sobre Gemini, los modelos grandes de lenguaje y la IA responsable, consulta Gemini para código. También puedes consultar la documentación de Gemini y las notas de la versión.

• Disponibilidad: Gemini en Google SecOps está disponible a nivel mundial. Los datos de Gemini se procesan en las siguientes regiones: us-central1, asia-southeast1 y europe-west1. Las solicitudes de los clientes se enrutan a la región más cercana para su procesamiento.

• Precios: Para obtener información sobre los precios, consulta los pricing de las operaciones de seguridad de Google.

• Seguridad de Gemini: Para obtener información sobre las funciones de seguridad de Gemini en Google Cloud, consulta Seguridad con IA generativa.

• Administración de datos: Para obtener información sobre las prácticas de administración de datos de Gemini, consulta Cómo Gemini para Google Cloud usa tus datos.

• Certificaciones: Para obtener más información sobre las certificaciones de Gemini, consulta Certificaciones de Gemini.

• Plataforma de SecLM: Gemini para SecOps de Google usa un rango de modelos grandes de lenguaje a través de la plataforma SecLM, incluido el modelo especializado Sec-PaLM. Sec-PaLM se entrena con datos que incluyen blogs de seguridad, informes de inteligencia de amenazas, reglas de detección YARA y YARA-L, guías SOAR, secuencias de comandos de software malicioso, información sobre vulnerabilidades, documentación de productos y muchos otros conjuntos de datos especializados. Para obtener más información, consulta Seguridad con IA generativa

En las siguientes secciones, se proporciona documentación para las funciones de Google SecOps con la tecnología de Gemini:

• Usa Gemini para investigar problemas de seguridad

• Cómo generar búsquedas de UDM

• Cómo generar una regla YARA-L con Gemini

• Asistencia con información sobre amenazas y preguntas de seguridad

• Usa el widget de investigación de IA

• Crea guías con Gemini

Usa Gemini para investigar problemas de seguridad

Gemini ofrece asistencia en la investigación, a la que se puede acceder desde cualquier parte de Google SecOps. Gemini puede ayudarte con las investigaciones proporcionando asistencia para lo siguiente:

• Búsqueda: Gemini puede ayudarte a compilar, editar y ejecutar búsquedas orientadas a eventos relevantes mediante instrucciones de lenguaje natural. Gemini también puede ayudarte a iterar en una búsqueda, ajustar el alcance, expandir el intervalo de tiempo y agregar filtros. Puedes completar todas estas tareas con instrucciones de lenguaje natural ingresadas en el panel de Gemini.
• Resúmenes de búsquedas: Gemini puede resumir automáticamente los resultados de la búsqueda después de cada búsqueda y acción de filtro posterior. En el panel de Gemini, se resumen los resultados de la búsqueda en un formato conciso y comprensible. Gemini también puede responder preguntas contextuales de seguimiento sobre los resúmenes que proporciona.
• Generación de reglas: Gemini puede crear reglas YARA-L nuevas a partir de las búsquedas de UDM que genera.
• Preguntas de seguridad y análisis de inteligencia de amenazas: Gemini puede responder preguntas generales sobre el dominio de la seguridad. Además, Gemini puede responder preguntas específicas sobre inteligencia de amenazas y proporcionar resúmenes sobre los perpetradores, los IOC y otros temas de inteligencia sobre amenazas.
• Solución de incidentes: Según la información del evento que se muestra, Gemini puede sugerir que se sigan los pasos. También pueden aparecer sugerencias después de filtrar los resultados de la búsqueda. Por ejemplo, Gemini puede sugerir que revises una alerta o regla relevante, o que apliques un filtro para un host o usuario específico.

Generar búsquedas de UDM

Puedes usar Gemini para generar consultas de búsqueda de UDM desde el panel de Gemini o cuando usas la búsqueda de UDM.

Si deseas obtener mejores resultados, Google recomienda usar el panel de Gemini para generar consultas de búsqueda.

• Genera una búsqueda de UDM en el panel de Gemini

• Cómo generar una búsqueda de UDM en la búsqueda de UDM

Cómo generar una búsqueda de UDM con el panel de Gemini

1. Accede a Google SecOps y haz clic en el logotipo de Gemini para abrir el panel de Gemini.

2. Ingresa una instrucción de lenguaje natural y presiona Intro. La instrucción de lenguaje natural debe estar en inglés.

   

   Figura 1: Abrir el panel de Gemini y, luego, ingresar el mensaje

3. Revisa la búsqueda de UDM generada. Si la búsqueda generada cumple con tus requisitos, haz clic en Ejecutar búsqueda.

4. Gemini produce un resumen de los resultados y las acciones sugeridas.

5. Ingresa preguntas de seguimiento de lenguaje natural sobre los resultados de la búsqueda proporcionados por Gemini para continuar con tu investigación.

Ejemplos de indicaciones de búsqueda y preguntas de seguimiento

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Genera una búsqueda de UDM con lenguaje natural

Con la función de búsqueda de SecOps de Google, puedes ingresar una consulta en lenguaje natural sobre tus datos, y Gemini puede traducirla en una búsqueda de UDM que puedes ejecutar con los eventos de UDM.

Si deseas obtener mejores resultados, Google recomienda usar el panel de Gemini para generar consultas de búsqueda.

Si deseas usar una búsqueda de lenguaje natural para crear una consulta de búsqueda de UDM, completa los siguientes pasos:

1. Accede a Google SecOps.
2. Ve a Búsqueda.

3. Ingresa una instrucción de búsqueda en la barra de consulta en lenguaje natural y haz clic en Generar consulta. Debes usar inglés para realizar la búsqueda.

   

   Figura 2: Ingresa una búsqueda en lenguaje natural y haz clic en Generar consulta

   Los siguientes son algunos ejemplos de declaraciones que pueden generar una búsqueda de UM útil:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si la instrucción de búsqueda incluye un término basado en el tiempo, el selector de hora se ajusta automáticamente para que coincida. Por ejemplo, esto se aplicaría a las siguientes búsquedas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si no se puede interpretar la búsqueda, verás el siguiente mensaje:
"Lo sentimos, no se pudo generar ninguna consulta válida. Intenta preguntar de una manera diferente".

4. Revisa la búsqueda de UDM generada.

5. Ajusta el intervalo de tiempo de búsqueda (opcional).

6. Haz clic en Ejecutar búsqueda.

7. Revisa los resultados de la búsqueda para determinar si el evento está presente. Si es necesario, usa filtros de búsqueda para reducir la lista de resultados.

8. Proporciona comentarios sobre la consulta con los íconos de comentarios de la consulta generada. Seleccione una de las siguientes opciones:

   • Si la consulta devuelve los resultados esperados, haz clic en el ícono Me gusta.
   • Si la consulta no muestra los resultados esperados, haz clic en el ícono No me gusta.
   • (Opcional) Incluye detalles adicionales en el campo Comentarios.
   • Para enviar una consulta de búsqueda de UDM revisada que ayuda a mejorar los resultados, haz lo siguiente:
   • Edita la búsqueda de UDM que se generó.
   • Haz clic en Enviar. Si no volviste a escribir la consulta, el texto del diálogo te solicitará que la edites.
   • Haz clic en Enviar. Se limpiará los datos sensibles de la búsqueda revisada de UDM y se usará para mejorar los resultados.

Cómo generar una regla YARA-L con Gemini

1. Usa una instrucción de lenguaje natural para generar una regla (por ejemplo, create a rule to detect logins from bruce-monroe). Presiona Intro. Gemini genera una regla para detectar el comportamiento que buscaste en el panel de Gemini.

2. Haz clic en Abrir en el editor de reglas para ver y modificar la regla nueva en el editor de reglas. Solo puedes crear reglas de un solo evento con esta función.

   Por ejemplo, con el mensaje de la regla anterior, Gemini genera la siguiente regla:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Para activar la regla, haz clic en Guardar regla nueva. La regla aparece en la lista de reglas a la izquierda. Mantén el puntero sobre la regla, haz clic en el ícono de menú y cambia la opción Live Rule hacia la derecha (verde). Para obtener más información, consulta Cómo administrar reglas con el editor de reglas.

Cómo enviar comentarios sobre la regla generada

Puedes proporcionar comentarios sobre la regla generada. Estos comentarios se usan para mejorar la exactitud de la función de generación de reglas.

• Si la sintaxis de la regla se generó como esperabas, haz clic en el ícono Me gusta.
• Si la sintaxis de la regla no es la que esperabas, haz clic en el ícono No me gusta. Marca la opción que mejor indique el problema que encontraste con la sintaxis de la regla generada. Incluye detalles adicionales en el campo Describe tus comentarios (opcional). Haz clic en Enviar comentarios.

Asistencia con la información sobre amenazas y preguntas de seguridad

Gemini puede responder preguntas relacionadas con la inteligencia de amenazas sobre temas como los actores, sus asociaciones y sus patrones de comportamiento, incluidas las preguntas sobre las TTP de MITRE.

Escribe tus preguntas en el panel de Gemini.

1. Ingrese una pregunta de inteligencia sobre amenazas. Por ejemplo: What is UNC3782?.

2. Revisa los resultados.

3. Investiga más pidiéndole a Gemini que cree consultas para buscar los IOC específicos a los que se hace referencia en los informes de inteligencia sobre amenazas. La información de inteligencia de amenazas está sujeta a los derechos disponibles de tu licencia de SecOps de Google.

Ejemplo: Información sobre amenazas y preguntas de seguridad

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini y MITRE

La matriz de MITRE ATT&CK® es una base de conocimiento que documenta las TTP utilizadas por los adversarios cibernéticos del mundo real. La matriz de MITRE proporciona una comprensión de cómo podría ser el blanco de tu organización y proporciona una sintaxis estandarizada para analizar los ataques.

Puedes hacerle preguntas a Gemini sobre tácticas, técnicas y procedimientos (TTP) de MITRE y recibir respuestas relevantes para el contexto que incluyen los siguientes detalles de MITRE:

• Táctica
• Técnica
• Subtécnica
• Sugerencias de detección
• Procedimientos
• Mitigaciones

Gemini muestra un vínculo a las detecciones seleccionadas que Google SecOps pone a disposición para cada TTP. También puedes hacer preguntas de seguimiento a Gemini para obtener estadísticas adicionales sobre una TTP de MITRE y cómo podría afectar a tu empresa.

Cómo borrar una sesión de chat

Puedes borrar la sesión de conversación de chat o todas las sesiones. Gemini mantiene todos los historiales de conversaciones de los usuarios de forma privada y cumple con las prácticas de IA responsable de Google Cloud. El historial del usuario nunca se usa para entrenar modelos.

1. En el panel de Gemini, selecciona Borrar chat en el menú de la parte superior derecha.
2. Haz clic en Borrar chat en la esquina inferior derecha para borrar la sesión de chat actual.
3. Opcional: Para borrar todas las sesiones de chat, selecciona Borrar todas las sesiones de chat y, luego, haz clic en Borrar todos los chats.

Proporcionar comentarios

Puedes proporcionar comentarios sobre las respuestas generadas por el equipo de asistencia de investigación de Gemini AI. Tus comentarios ayudan a Google a mejorar la función y el resultado que genera Gemini.

1. En el panel de Gemini, selecciona los íconos Me gusta o No me gusta.
2. (Opcional) Si seleccionas No me gusta, puedes agregar comentarios adicionales sobre por qué elegiste la calificación.
3. Haz clic en Enviar comentarios.

Widget de investigación de IA

El widget de investigación de IA analiza todo el caso (alertas, eventos y entidades) y proporciona un resumen generado por IA sobre la atención que podría requerir. El widget también resume los datos de las alertas para comprender mejor la amenaza y proporciona recomendaciones sobre los próximos pasos que se deben seguir a fin de lograr una solución eficaz.

La clasificación, el resumen y las recomendaciones incluyen una opción para dejar comentarios sobre el nivel de precisión y utilidad de la IA. Usamos los comentarios para ayudarnos a mejorar la precisión.

El widget de investigación de IA se muestra en la pestaña Descripción general del caso en la página Casos. Si solo hay una alerta en el caso, debes hacer clic en la pestaña Case Overview para ver este widget.

El widget de investigación de IA no se muestra en los casos que se crean de forma manual o los casos de solicitud que se inician desde Your Workdesk.

Proporciona comentarios sobre el widget AI Investigation

1. Si los resultados son aceptables, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Comentarios adicionales.

2. Si los resultados no fueron los esperados, haz clic en el ícono No me gusta. Selecciona una de las opciones proporcionadas y agrega cualquier otro comentario adicional que consideres relevante.

3. Haz clic en Enviar comentarios.

Quita el widget de AI Investigation

El widget de investigación de IA se incluye en la vista predeterminada.

Para quitar el widget de investigación de IA de la vista predeterminada, haz lo siguiente:

1. Navega a Configuración de SOAR > Case Data > Views.

2. Selecciona Default Case View en el panel lateral izquierdo.

3. Haz clic en el ícono Borrar en el widget de AI Investigation.

Crea guías con Gemini

Gemini puede ayudarte a optimizar el proceso de creación de guías, ya que convierte tus instrucciones en una guía funcional que ayuda a resolver problemas de seguridad.

Crea una guía con instrucciones

1. Navega a Respuesta > Guías.
2. Selecciona el ícono para agregar y crea una guía nueva.
3. En el panel de la nueva guía, selecciona Create Playbooks using AI.
4. En el panel de instrucciones, ingresa una instrucción completa y bien estructurada en inglés. Si deseas obtener más información para escribir una instrucción de la guía, consulta Escribe instrucciones para la creación de la guía de Gemini.
5. Haz clic en Generate Playbook.
6. Se mostrará un panel de vista previa con la guía generada. Si deseas realizar cambios, haz clic en editar y define mejor la instrucción.
7. Haz clic en Crear guía.
8. Si quieres realizar cambios en la guía una vez que se muestre en el panel principal, selecciona Create Playbooks using AI y vuelve a escribir tu instrucción. Gemini creará una nueva guía para ti.

Envía comentarios sobre las guías creadas por Gemini

1. Si los resultados de la guía son buenos, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Comentarios adicionales.
2. Si los resultados de la guía no fueron los esperados, haz clic en el ícono de No me gusta. Selecciona una de las opciones proporcionadas y agrega cualquier otro comentario que consideres relevante.

Escribe instrucciones para la creación de la guía de Gemini

La función de las guías de Gemini se diseñó para crearlas en función de la entrada de lenguaje natural que proporciones. Debes ingresar instrucciones claras y bien estructuradas en el cuadro de instrucciones de la guía de Gemini, que luego genera una guía de SecOps de Google con activadores, acciones y condiciones. La calidad de la guía depende de la exactitud de la instrucción proporcionada. Las instrucciones bien formuladas con detalles claros y específicos ofrecen guías más eficaces.

Funciones para crear guías con Gemini

Puedes hacer lo siguiente con las funciones de creación de la guía de Gemini:

• Crea guías nuevas con los siguientes elementos: acciones, activadores y flujos.
• Usa todas las integraciones comerciales descargadas.
• Ingresa acciones y nombres de integración específicos en la instrucción como pasos de la guía.
• Comprender las instrucciones para describir el flujo en el que no se proporcionan integraciones ni nombres específicos
• Usa los flujos de condición como se admiten en las capacidades de respuesta de la SOAR.
• Detecta qué activador es necesario para la guía.

Ten en cuenta que el uso de parámetros en los mensajes no siempre puede dar como resultado que se use la acción correcta.

Crea instrucciones efectivas

Cada instrucción debe incluir los siguientes componentes:

• Objetivo: Qué generar
• Activador: Cómo se activará la guía
• Acción de la guía: Qué hará
• Condición: Lógica condicional

Ejemplo de instrucción que usa el nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada con un nombre de integración:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esta instrucción contiene los cuatro componentes definidos anteriormente:

• Objetivo claro: Tiene un objetivo definido y controla las alertas de software malicioso.
• Activador específico: La activación se basa en un evento específico y recibe una alerta de software malicioso.
• Acciones de la guía: Mejora una entidad SOAR de operaciones de seguridad de Google con datos de una integración de terceros (VirusTotal).
• Respuesta condicional: Especifica una condición basada en resultados anteriores. Por ejemplo, si se determina que el hash del archivo es malicioso, el archivo se debe poner en cuarentena.

Ejemplo de una instrucción que usa un flujo en lugar de un nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada, pero se describe el flujo sin mencionar el nombre específico de la integración.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La función de creación de guías de Gemini es capaz de realizar esta descripción de una acción (mejorar el hash de un archivo) y analizar las integraciones instaladas para encontrar la que mejor se adapte a esta acción.

La función de creación de guías de Gemini solo puede elegir entre integraciones que ya están instaladas en tu entorno.

Activadores personalizados

Además de usar activadores estándar, se puede personalizar un activador en la instrucción de la guía. Puedes especificar marcadores de posición para los siguientes objetos:

• Alerta
• Evento
• Entidad
• Entorno
• Texto libre

En el siguiente ejemplo, se usa texto libre para crear un activador que se ejecute para todos los correos electrónicos de la carpeta correo electrónico sospechoso, excepto los correos electrónicos que contienen la palabra [PRUEBA] en el asunto del correo electrónico.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Sugerencias para redactar instrucciones

• La práctica recomendada es usar nombres de integración específicos: Especifica integraciones solo si ya están instaladas y configuradas en tu entorno.
• Aprovecha la especialización de Gemini: la función de creación de guías de Gemini está diseñada específicamente para compilar guías basadas en instrucciones que se alinean con la respuesta ante incidentes, la detección de amenazas y los flujos de trabajo de seguridad automatizados.
• Detalla el propósito, el activador, la acción y la condición.
• Incluye objetivos claros: comienza con un objetivo claro, como administrar alertas de software malicioso, y especifica activadores que activen el manual.
• Incluye condiciones para acciones, como enriquecer datos o poner archivos en cuarentena, según el análisis de amenazas. Esta claridad y especificidad mejoran la eficacia y el potencial de automatización de la guía.

Ejemplos de instrucciones bien estructuradas

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Ejemplos de instrucciones mal estructuradas

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

Esta instrucción no creará una guía de trabajo porque se enfoca en el análisis y la estrategia de marketing, lo que queda fuera del alcance de la creación de la Guía para SecOps de Google.