Gemini in Google SecOps

Weitere Informationen zu Gemini, Large Language Models und KI, siehe Gemini für Code . Weitere Informationen finden Sie auch in der Gemini-Dokumentation und Versionshinweise.

  • Verfügbarkeit: Gemini in Google SecOps ist weltweit verfügbar. Gemini-Daten werden in folgenden Fällen verarbeitet Regionen: us-central1, asia-southeast1 und europe-west1. Kund*in -Anfragen werden zur Verarbeitung an die nächstgelegene Region weitergeleitet.

  • Preise: Preisinformationen finden Sie unter Google Security Operations. Preise

  • Gemini-Sicherheit: Informationen zur Sicherheit von Gemini Features in Google Cloud, siehe Security with Generative AI

  • Data Governance: Informationen zur Data Governance von Gemini finden Sie unter So verwendet Gemini für Google Cloud Ihre Daten

  • Zertifizierungen: Informationen zu Gemini-Zertifizierungen finden Sie unter Zertifizierungen für Gemini

  • SecLM-Plattform: Gemini für Google SecOps verwendet eine über die SecLM-Plattform, einschließlich der spezialisierten Sec-PaLM-Modells. Sec-PaLM wird mit Daten trainiert, einschließlich Sicherheit Blogs, Threat Intelligence-Berichte, Erkennungsregeln von YARA und YARA-L, SOAR Playbooks, Malware-Skripts, Informationen zu Sicherheitslücken, Produkt Dokumentation und vielen anderen spezialisierten Datasets. Weitere Informationen Siehe Security with Generative AI

In den folgenden Abschnitten finden Sie Google SecOps-Funktionen basierend auf Gemini:

Sicherheitsprobleme mit Gemini untersuchen

Gemini bietet Unterstützung bei der Prüfung, auf die Sie über von Google SecOps. Gemini kann Sie bei Ihren bei Folgendem unterstützen:

  • Google Suche: Mit Gemini können Sie Suchanfragen erstellen, bearbeiten und ausführen. mit Prompts in natürlicher Sprache auf relevante Ereignisse ausrichten. Mit Gemini können Sie Suchanfragen iterieren, den Umfang anpassen um den Zeitraum zu erweitern und Filter hinzuzufügen. Sie können alle diese Aufgaben mit Prompts in natürlicher Sprache, die in den Gemini-Bereich eingegeben wurden.
  • Zusammenfassungen der Suche: Gemini kann die Suche automatisch zusammenfassen lassen nach jeder Suche und nachfolgenden Filteraktion zu filtern. Die Der Gemini-Bereich fasst die Ergebnisse Ihrer Suche kurz und verständliche Format. Gemini kann auch kontextabhängige Nachfragen zu den Zusammenfassungen, die es bietet.
  • Regelgenerierung: Gemini kann neue YARA-L-Regeln aus dem Generierte UDM-Suchanfragen
  • Sicherheitsfragen und Threat-Intelligence-Analyse: Gemini . Darüber hinaus bietet Gemini kann spezifische Fragen zu Threat Intelligence beantworten und Zusammenfassungen über Bedrohungsakteure, IOCs und andere Threat-Intelligence-Themen.
  • Behebung von Vorfällen: Basierend auf den zurückgegebenen Ereignisinformationen Gemini kann Vorschläge zur Vorgehensweise machen. Möglicherweise werden auch Vorschläge nach dem Filtern der Suchergebnisse. Zum Beispiel schlägt Gemini möglicherweise vor, Prüfen einer relevanten Benachrichtigung oder Regel oder das Filtern nach einem bestimmten Host oder Nutzer

Sie können mit Gemini UDM-Suchanfragen aus der Gemini-Bereich oder wenn Sie die UDM-Suche verwenden.

Für optimale Ergebnisse empfiehlt Google, den Gemini-Bereich zum Generieren Suchanfragen.

UDM-Suchabfrage mit dem Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an und öffnen Sie den Gemini-Bereich, indem Sie auf das Gemini-Logo klicken.

  2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Das natürliche Sprach-Prompt muss auf Englisch sein.

    Gemini-Bereich öffnen und eingeben Aufforderung

    Abbildung 1: Gemini-Bereich öffnen und Prompt eingeben

  3. Prüfen Sie die generierte UDM-Suchabfrage. Wenn die generierte Suchanfrage die Klicken Sie auf Suche ausführen.

  4. Gemini erstellt eine Zusammenfassung der Ergebnisse mit vorgeschlagenen Aktionen.

  5. Geben Sie Folgefragen in natürlicher Sprache zu den bereitgestellten Suchergebnissen ein. von Gemini, um mit der Untersuchung fortzufahren.

Beispiele für Suchaufforderungen und Nachfragen
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

UDM-Suchabfrage in natürlicher Sprache generieren

Mit der Google SecOps Search-Funktion können Sie eine natürliche Sprachabfrage zu Ihren Daten an und Gemini kann dies in eine UDM-Suchabfrage, die für UDM-Ereignisse ausgeführt werden kann.

Für bessere Ergebnisse empfiehlt Google, den Gemini-Bereich zu verwenden, Suchanfragen generieren

Um eine UDM-Suchanfrage mithilfe einer Suche in natürlicher Sprache zu erstellen, geben Sie folgenden Schritten:

  1. Melden Sie sich in Google SecOps an.
  2. Gehen Sie zu Suchen.

  3. Geben Sie eine Suchanweisung in die Abfrageleiste in natürlicher Sprache ein und klicken Sie auf Abfrage generieren: Sie müssen Englisch für die Suche verwenden.

    Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf Generieren Abfrage

    Abbildung 2: Eine Suche in natürlicher Sprache eingeben und auf „Abfrage generieren“ klicken

    Im Folgenden finden Sie einige Beispiele für Anweisungen, die eine nützliche UDM-Suche:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanweisung einen zeitbasierten Begriff enthält, ist die Zeitauswahl automatisch angepasst werden. Dies gilt beispielsweise für die folgenden Suchanfragen:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanweisung nicht interpretiert werden kann, wird Folgendes angezeigt: message:
    "Es konnte keine gültige Abfrage generiert werden. Fragen Sie einen anders aus.“

  4. Prüfen Sie die generierte UDM-Suchabfrage.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Sehen Sie in den Suchergebnissen nach, ob das Ereignis vorhanden ist. Bei Bedarf die Liste der Ergebnisse mithilfe von Suchfiltern eingrenzen.

  8. Geben Sie mithilfe des Feedbacks Generierte Abfrage Feedback zu einer Abfrage. Symbole. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Daumen-nach-oben-Symbol.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse liefert, klicken Sie auf die Schaltfläche mit dem Daumen nach unten. .
    • Optional: Geben Sie im Feld Feedback zusätzliche Details ein.
    • So senden Sie eine überarbeitete UDM-Suchanfrage, die zur Verbesserung der Ergebnisse beiträgt:
    • Bearbeiten Sie die generierte UDM-Suchabfrage.
    • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht neu geschrieben haben, Text im Dialogfeld werden Sie aufgefordert, die Abfrage zu bearbeiten.
    • Klicken Sie auf Senden. Die überarbeitete UDM-Suchanfrage wird von sensible Daten und werden zur Verbesserung der Ergebnisse verwendet.

YARA-L-Regel mit Gemini generieren

  1. Verwenden Sie einen Prompt in natürlicher Sprache, um eine Regel zu generieren (z. B. create a rule to detect logins from bruce-monroe). Drücken Sie die Eingabetaste. Gemini generiert eine Regel, um das Verhalten zu erkennen, nach dem du gesucht hast im Bereich „Gemini“.

  2. Klicken Sie auf Im Regeleditor öffnen, um die neue Regel unter „Regeln“ anzusehen und zu ändern. Editor. Mit dieser Funktion lassen sich nur Regeln für einzelne Ereignisse erstellen.

    Beispielsweise generiert Gemini mithilfe der vorherigen Regel-Prompts folgende Regel:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Klicken Sie auf Neue Regel speichern, um die Regel zu aktivieren. Die Regel wird in der Liste angezeigt. auf der linken Seite. Halten Sie den Mauszeiger über die Regel, klicken Sie auf das Menüsymbol und aktiviere die Option Live-Regel rechts (grün). Weitere Informationen Weitere Informationen zum Verwalten von Regeln mithilfe von Regeln Editor:

Feedback zur generierten Regel geben

Sie können Feedback zur generierten Regel geben. Dieses Feedback dient der Verbesserung die Genauigkeit der Funktion zur Regelerstellung.

  • Wenn die Regelsyntax wie erwartet generiert wurde, klicken Sie auf das Daumen-nach-oben-Symbol.
  • Wenn die Regelsyntax nicht Ihren Erwartungen entspricht, klicken Sie auf das Symbol „Mag ich nicht“. Wählen Sie die Option aus, die das Problem am besten beschreibt, das Sie mit dem generierten Syntax der Regel. (Optional) Fügen Sie zusätzliche Details in das Feld Beschreiben Sie Ihre Feedback. Klicken Sie auf Feedback geben.

Unterstützung bei Bedrohungsdaten und Sicherheitsfragen

Gemini kann Fragen zu Threat Intelligence zu wie Bedrohungsakteure, ihre Assoziationen und ihre Verhaltensmuster. einschließlich Fragen zu MITRE-TTPs.

Fragen zu Threat Intelligence sind auf Informationen beschränkt, die Ihrem Google SecOps-Produktversion. Antworten auf Fragen können je nach Produktversion variieren. Insbesondere die Bedrohung Intelligenzdaten sind in anderen Produktversionen als Enterprise Plus stärker eingeschränkt da sie keinen vollständigen Zugriff auf Mandiant und VirusTotal enthalten.

Geben Sie Ihre Fragen in den Gemini-Bereich ein.

  1. Geben Sie eine Frage zu Threat Intelligence ein. Beispiel: What is UNC3782?

  2. Überprüfen Sie die Ergebnisse.

  3. Sie können Gemini bitten, Abfragen zu erstellen, nach denen gesucht werden soll. spezifische IOCs, auf die in den Berichten zu Threat Intelligence verwiesen wird. Bedrohung Daten von Bedrohungsdaten unterliegen den verfügbaren Berechtigungen Ihrer Google SecOps-Lizenz.

Beispiel: Fragen zu Threat Intelligence und Sicherheit

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini und MITRE

Die MITRE ATT&CK®-Matrix ist eine Wissensdatenbank, die die TTPs realer Cyberkriminelle dokumentiert. Die MITRE-Matrix vermittelt ein Verständnis davon, wie Ihre Organisation angegriffen werden könnte, bietet eine standardisierte Syntax zur Besprechung von Angriffen.

Sie können Gemini Fragen zu MITRE-Taktiken, ‐Techniken und kontextrelevante Antworten erhalten, die die folgende MITRE-Details:

  • Taktik
  • Verfahren
  • Untertechnik
  • Vorschläge zur Erkennung
  • Prozeduren
  • Abwehrmaßnahmen

Gemini gibt einen Link zu den ausgewählten Erkennungsmechanismen zurück Google SecOps stellt für jedes TTP bereit. Du kannst auch fragen Folgefragen von Gemini, um zusätzliche Informationen zu einem MITRE-TTP zu erhalten und wie sich das auf Ihr Unternehmen auswirken könnte.

Chatsitzung löschen

Sie können Ihre Chatunterhaltung oder alle Chatsitzungen löschen. Gemini verwaltet den gesamten Unterhaltungsverlauf der Nutzer und hält in die Responsible AI von Google Cloud Best Practices . Der Nutzerverlauf wird nie zum Trainieren von Modellen verwendet.

  1. Wähle im Gemini-Bereich Chat löschen aus dem Menü oben rechts.
  2. Klicken Sie rechts unten auf Chat löschen, um den aktuellen Chat zu löschen. Sitzung.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen aus. und dann auf Alle Chats löschen.

Feedback geben

Sie können Feedback zu Antworten geben, die von der Gemini-KI generiert wurden Prüfungshilfe. Ihr Feedback hilft Google, die Funktion und der von Gemini generierten Ausgabe.

  1. Wählen Sie im Gemini-Bereich das Symbol für „Mag ich“ oder „Mag ich nicht“ aus.
  2. Optional: Wenn Sie die Option „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben. warum Sie sich für die Bewertung entschieden haben.
  3. Klicken Sie auf Feedback senden.

KI-Untersuchungs-Widget

Das Widget „AI Investigation“ betrachtet den gesamten Fall (Benachrichtigungen, Ereignisse und Entitäten) und liefert eine KI-generierte Fallzusammenfassung, aus der hervorgeht, wie viel Aufmerksamkeit die für den Fall erforderlich sind. Außerdem fasst das Widget die Daten der Benachrichtigungen zusammen, die Bedrohung verstehen und Empfehlungen für die nächsten Schritte geben, für eine effektive Schadensbehebung.

Die Klassifizierung, Zusammenfassung und Empfehlungen umfassen alle eine Option, Feedback zur Genauigkeit und Nützlichkeit der KI erhalten. Das Feedback wird verwendet, damit wir die Genauigkeit verbessern können.

Das AI Investigation-Widget wird auf dem Tab Case Overview (Fallübersicht) in der Seite Fälle. Wenn es nur eine Benachrichtigung für den Fall gibt, müssen Sie auf die Fallübersicht, um dieses Widget zu sehen.

KI-Prüfung

Das Widget „AI Investigation“ wird nicht für Fälle angezeigt, die manuell erstellt werden oder Anfragen anfordern, die über Ihr Arbeitsplatz initiiert wurden.

Feedback für das KI-Prüfungs-Widget geben

  1. Wenn die Ergebnisse akzeptabel sind, klicke auf das Daumen-nach-oben-Symbol. Sie können weitere hinzufügen im Feld Zusätzliches Feedback.

  2. Wenn die Ergebnisse nicht Ihren Erwartungen entsprechen, klicken Sie auf das Symbol „Mag ich nicht“. Bitte auswählen Optionen und zusätzliches Feedback, das Ihrer Meinung nach relevant sind.

  3. Klicken Sie auf Feedback geben.

Widget „AI Investigation“ entfernen

Das Widget „AI Investigation“ ist in der Standardansicht enthalten.

So entfernen Sie das Widget „AI Investigation“ aus der Standardansicht:

  1. Gehen Sie zu SOAR-Einstellungen > Falldaten > Ansichten.

  2. Wählen Sie in der linken Seitenleiste Default Case View (Standardansicht der Supportanfragen) aus.

  3. Klicken Sie im AI Investigation-Widget auf das Symbol Löschen.

Playbooks mit Gemini erstellen

Mit Gemini lässt sich die Erstellung von Playbooks optimieren indem Sie Ihre Prompts in ein funktionierendes Playbook umwandeln, Sicherheitsprobleme.

Playbook mit Prompts erstellen

  1. Gehen Sie zu Antworten > Playbooks.
  2. Wählen Sie Hinzufügen „Symbol hinzufügen“ und erstellen Sie ein neues Playbook.
  3. Wählen Sie im neuen Playbook-Bereich die Option Playbooks mit KI erstellen aus.
  4. Geben Sie im Eingabeaufforderungsfenster einen umfassenden und gut strukturierten Prompt in Englisch. Weitere Informationen zum Schreiben einer Playbook-Prompts finden Sie unter Prompts zum Erstellen eines Gemini-Playbooks schreiben.
  5. Klicken Sie auf Playbook erstellen.
  6. Ein Vorschaubereich mit dem generierten Playbook wird angezeigt. Wenn Sie klicken Sie auf <ph type="x-smartling-placeholder"></ph> Bearbeiten und verfeinern Sie den Prompt.
  7. Klicken Sie auf Playbook erstellen.
  8. Wenn Sie Änderungen am Playbook vornehmen möchten, nachdem es im Hauptbereich angezeigt wird, wählen Sie Playbooks mit KI erstellen aus und schreiben Sie Ihren Prompt um. Gemini erstellt ein neues Playbook für dich.

Feedback zu Playbooks geben, die von Gemini erstellt wurden

  1. Wenn die Playbook-Ergebnisse gut sind, klicken Sie auf das Daumen-nach-oben-Symbol. Im Feld Zusätzliches Feedback kannst du weitere Angaben machen.
  2. Wenn die Playbook-Ergebnisse nicht wie erwartet waren, klicken Sie auf das Daumen-nach-unten-Symbol. Wählen Sie eine der Optionen aus und fügen Sie zusätzliches Feedback hinzu, die Sie für relevant halten.

Prompts zum Erstellen eines Gemini-Playbooks schreiben

Die Playbook-Funktion von Gemini wurde entwickelt, um Playbooks der Eingabe in natürlicher Sprache, die Sie bereitstellen. Sie müssen klare und gut strukturierte Prompts in das Feld mit den Prompts für das Gemini-Playbook ein, das dann ein Google SecOps-Playbook mit Triggern, Aktionen und Bedingungen Die Qualität des Playbooks wird von der Genauigkeit des Prompts beeinflusst bereitgestellt. Gut formulierte Prompts mit klaren und spezifische Details zu effektiveren Playbooks führen.

Möglichkeiten der Playbook-Erstellung mit Gemini

Mit den Funktionen zum Erstellen von Gemini-Playbooks können Sie Folgendes tun:

  • Erstellen Sie neue Playbooks mit den folgenden Elementen: Aktionen, Trigger, Abläufe.
  • Verwende alle heruntergeladenen kommerziellen Integrationen.
  • Geben Sie bestimmte Aktionen und Integrationsnamen in der Aufforderung als Playbook-Schritte an.
  • Prompts verstehen, um den Ablauf zu beschreiben, bei dem keine spezifischen Integrationen und Namen angegeben werden.
  • Verwenden Sie Bedingungsabläufe, die in den SOAR-Antwortfunktionen unterstützt werden.
  • Ermitteln Sie, welcher Trigger für das Playbook erforderlich ist.

Folgendes ist mit Aufforderungen nicht möglich:

  • Vorhandene Playbooks aktualisieren.
  • Erstellen oder verwenden Sie Playbook-Blöcke.
  • Benutzerdefinierte Integrationen verwenden.
  • Nutzen Sie parallele Aktionen in Playbooks.
  • Verwende Integrationen, die noch nicht heruntergeladen und installiert wurden.
  • Integrationsinstanzen verwenden.

Beachten Sie, dass die Verwendung von Parametern in Prompts nicht immer zum korrekten Ergebnis führt. Aktion verwendet wird.

Effektive Prompts erstellen

Jeder Prompt muss die folgenden Komponenten enthalten:

  • Ziel: was generiert werden soll
  • Trigger: wie das Playbook ausgelöst wird
  • Playbook-Aktion: Aktion
  • Bedingung: Bedingte Logik

Beispiel für einen Prompt mit dem Integrationsnamen

Das folgende Beispiel zeigt einen gut strukturierten Prompt mit einem Integrationsnamen:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Dieser Prompt enthält die vier zuvor definierten Komponenten:

  • Klares Ziel: Hat ein definiertes Ziel und behandelt Malware-Warnungen.
  • Spezifischer Trigger: Die Aktivierung basiert auf einem bestimmten Ereignis, eine Malware-Warnung erhalten.
  • Playbook-Aktionen: Erweitert eine Google Security Operations SOAR-Entität mit Daten aus einer Drittanbieterintegration (VirusTotal).
  • Bedingte Antwort: Gibt eine Bedingung an, die basierend auf früheren Ergebnissen. Wenn sich beispielsweise der Datei-Hash als schädlich erweist, sollte die Datei unter Quarantäne gestellt werden.

Beispiel für einen Prompt mit einem Ablauf anstelle eines Integrationsnamens

Das folgende Beispiel zeigt einen gut strukturierten Prompt, beschreibt jedoch den Ablauf. ohne den Namen der jeweiligen Integration zu nennen.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Die Funktion zum Erstellen von Gemini-Playbooks unterstützt diese Aufgabe Beschreibung einer Aktion – Anreicherung eines Datei-Hashs – und einen Blick auf die installierten Verknüpfungen, um diejenige zu finden, die am besten zu dieser Aktion passt.

Die Funktion zum Erstellen von Gemini-Playbooks kann nur aus Integrationen auswählen die bereits in Ihrer Umgebung installiert sind.

Benutzerdefinierte Trigger

Neben der Verwendung von Standardtriggern kann ein Trigger im Playbook angepasst werden . Sie können Platzhalter für die folgenden Objekte angeben:

  • Benachrichtigung
  • Ereignis
  • Entität
  • Umgebung
  • Freier Text

Im folgenden Beispiel wird Freitext verwendet, um einen Trigger zu erstellen, der ausgeführt wird für alle E-Mails aus dem Ordner verdächtige E-Mails mit Ausnahme der E-Mails die das Wort [TEST] in der Betreffzeile enthalten.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Tipps zum Schreiben von Prompts

  • Es empfiehlt sich, bestimmte Integrationsnamen zu verwenden: Geben Sie Integrationen nur an, wenn sie Folgendes sind: sind bereits in Ihrer Umgebung installiert und konfiguriert.
  • Von der Gemini-Spezialisierung profitieren: Das Gemini-Playbook Die Funktion zum Erstellen von Playbooks wurde speziell entwickelt, um Playbooks basierend auf Prompts zu erstellen. die auf Vorfallreaktion, Bedrohungserkennung und automatisierte Sicherheitsworkflows abgestimmt sind.
  • Geben Sie Zweck, Trigger, Aktion und Bedingung an.
  • Klare Ziele einbeziehen: Beginnen Sie mit einem klaren Ziel, z. B. Verwalten von Malwarewarnungen und geben Sie Trigger an, die das Playbook aktivieren.
  • Geben Sie Bedingungen für Aktionen an, z. B. das Anreichern von Daten oder das Quarantänen von Dateien. basierend auf der Bedrohungsanalyse. Diese Klarheit und Spezifität verbessern die und Automatisierungspotenzial.

Beispiele für gut strukturierte Prompts

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.