Gemini in Google SecOps

Per maggiori informazioni su Gemini, i modelli linguistici di grandi dimensioni (LLM) e sull'AI, consulta Gemini per Codice . Puoi anche consultare la documentazione di Gemini e note di rilascio.

  • Disponibilità: Gemini in Google SecOps è disponibili a livello globale. I dati di Gemini vengono elaborati regioni: us-central1, asia-southeast1 e europe-west1. Cliente vengono instradate alla regione più vicina per l'elaborazione.

  • Prezzi: per informazioni sui prezzi, vedi Google Security Operations prezzi

  • Sicurezza di Gemini: per informazioni sulla sicurezza di Gemini in Google Cloud, consulta Sicurezza con l'IA generativa

  • Governance dei dati: per informazioni sulla governance dei dati di Gemini consulta In che modo Gemini per Google Cloud utilizza i tuoi dati

  • Certificazioni: per informazioni sulle certificazioni Gemini, consulta Certificazioni per Gemini

  • Piattaforma SecLM: Gemini per Google SecOps utilizza una una gamma di modelli linguistici di grandi dimensioni (LLM) attraverso la piattaforma SecLM, tra cui un modello Sec-PaLM specializzato. Sec-PaLM è addestrato sui dati, inclusa la sicurezza blog, report di intelligence sulle minacce, regole di rilevamento YARA e YARA-L, SOAR playbook, script malware, informazioni sulle vulnerabilità, prodotto documentazione e molti altri set di dati specializzati. Per ulteriori informazioni, vedi Sicurezza con l'IA generativa

Le sezioni seguenti forniscono la documentazione Funzionalità di Google SecOps basate su Gemini:

Usa Gemini per esaminare i problemi di sicurezza

Gemini fornisce assistenza per le indagini, a cui è possibile accedere in qualsiasi parte di Google SecOps. Gemini può aiutarti con le tue indagini fornendo assistenza per:

  • Ricerca: Gemini può aiutarti a creare, modificare ed eseguire ricerche mirati a eventi pertinenti utilizzando prompt in linguaggio naturale. Gemini può anche aiutarti a ripetere una ricerca, modificarne l'ambito espandi l'intervallo di tempo e aggiungi filtri. Puoi completare tutte queste attività utilizzando prompt in linguaggio naturale inseriti nel riquadro Gemini.
  • Riepiloghi delle ricerche: Gemini può riassumere automaticamente la ricerca risultati dopo ogni ricerca e successiva azione di filtro. La Il riquadro Gemini riassume i risultati della tua ricerca in modo conciso e comprensibile. Gemini può anche rispondere a domande contestuali domande sui riepiloghi che fornisce.
  • Generazione delle regole: Gemini può creare nuove regole YARA-L dal Query di ricerca UDM che genera.
  • Domande di sicurezza e analisi dell'intelligence sulle minacce: Gemini può rispondere a domande generali sul dominio della sicurezza. Inoltre, Gemini può rispondere a domande specifiche sulla threat intelligence e fornire riepiloghi su aggressori, IOC e altri argomenti di intelligence sulle minacce.
  • Soluzione degli incidenti: in base alle informazioni sugli eventi restituite, Gemini può suggerire di seguire i passi. Potrebbero essere visualizzati anche suggerimenti dopo aver filtrato i risultati di ricerca. Ad esempio, Gemini potrebbe suggerire esaminare un avviso o una regola pertinente oppure un filtro per un host o un utente specifico.

Puoi utilizzare Gemini per generare query di ricerca UDM dal Gemini o quando utilizzi la ricerca UDM.

Per risultati migliori, Google consiglia di utilizzare il riquadro Gemini per generare query di ricerca.

Generare una query di ricerca UDM utilizzando il riquadro Gemini

  1. Accedi a Google SecOps e apri il riquadro di Gemini facendo clic sul logo di Gemini.

  2. Inserisci un prompt in linguaggio naturale e premi Invio. La natura del prompt deve essere in inglese.

    Apri il riquadro Gemini e inserisci richiesta

    Figura 1: apri il riquadro Gemini e inserisci il prompt

  3. Esamina la query di ricerca UDM generata. Se la query di ricerca generata soddisfa in base ai requisiti, fai clic su Esegui ricerca.

  4. Gemini produce un riepilogo dei risultati insieme alle azioni suggerite.

  5. Inserisci domande aggiuntive in linguaggio naturale sui risultati di ricerca forniti da Gemini per continuare la tua indagine.

Esempi di prompt di ricerca e domande aggiuntive
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Genera una query di ricerca UDM utilizzando il linguaggio naturale

Utilizzando la funzionalità di ricerca di Google SecOps, puoi inserire una una query linguistica sui tuoi dati e Gemini può tradurla Query di ricerca UDM che puoi eseguire in base agli eventi UDM.

Per risultati migliori, Google consiglia di utilizzare il riquadro Gemini generare query di ricerca.

Per utilizzare una ricerca in linguaggio naturale per creare una query di ricerca UDM, completa la seguenti passaggi:

  1. Accedi a Google SecOps.
  2. Vai a Ricerca.

  3. Inserisci un'istruzione di ricerca nella barra delle query in linguaggio naturale e fai clic su Genera query. Per la ricerca devi utilizzare l'inglese.

    Inserisci una ricerca in linguaggio naturale e fai clic su Genera Termine di ricerca

    Figura 2: inserisci una ricerca in linguaggio naturale e fai clic su Genera query

    Di seguito sono riportati alcuni esempi di affermazioni che potrebbero generare un'utile Ricerca UDM:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se l'istruzione di ricerca include un termine temporale, il selettore dell'ora viene vengono adattati automaticamente per farli corrispondere. Ad esempio, questo vale per le seguenti ricerche:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se l'istruzione di ricerca non può essere interpretata, vedrai quanto segue. message:
    "Spiacenti, non è stata generata alcuna query valida. Prova a chiedere a in modo diverso".

  4. Esamina la query di ricerca UDM generata.

  5. (Facoltativo) Modifica l'intervallo di tempo della ricerca.

  6. Fai clic su Esegui ricerca.

  7. Esamina i risultati della ricerca per determinare se l'evento è presente. Se necessario, utilizzare i filtri di ricerca per restringere l'elenco dei risultati.

  8. Fornire feedback sulla query utilizzando il feedback Query generata . Seleziona una delle seguenti opzioni:

    • Se la query restituisce i risultati previsti, fai clic sull'icona Mi piace.
    • Se la query non restituisce i risultati previsti, fai clic sull'icona Non mi piace .
    • (Facoltativo) Includi ulteriori dettagli nel campo Feedback.
    • Per inviare una query di ricerca UDM aggiornata che aiuti a migliorare i risultati:
    • Modifica la query di ricerca UDM generata.
    • Fai clic su Invia. Se non hai riscritto la query, inserisci il testo nella finestra di dialogo ti chiede di modificare la query.
    • Fai clic su Invia. La query di ricerca UDM aggiornata verrà bonificata di dati sensibili e vengono utilizzati per migliorare i risultati.

Genera una regola YARA-L utilizzando Gemini

  1. Utilizza un prompt in linguaggio naturale per generare una regola (ad esempio, create a rule to detect logins from bruce-monroe). Premi Invio. Gemini genera una regola per rilevare il comportamento che hai cercato nel riquadro Gemini.

  2. Fai clic su Apri nell'editor delle regole per visualizzare e modificare la nuova regola nella sezione Regole. Editor. Con questa funzionalità puoi creare solo regole per eventi singoli.

    Ad esempio, utilizzando il prompt della regola precedente, Gemini genera regola seguente:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Per attivare la regola, fai clic su Salva nuova regola. La regola viene visualizzata nell'elenco. di regole a sinistra. Tieni il puntatore sopra la regola, fai clic sull'icona del menu e attiva/disattiva l'opzione Regola pubblicata a destra (verde). Per ulteriori informazioni informazioni, consulta Gestire le regole utilizzando le regole Editor.

Fornisci un feedback sulla regola generata

Puoi fornire un feedback sulla regola generata. Questo feedback viene utilizzato per migliorare l'accuratezza della funzionalità di generazione delle regole.

  • Se la sintassi della regola è stata generata come previsto, fai clic sull'icona Mi piace.
  • Se la sintassi della regola non è quella prevista, fai clic sull'icona Non mi piace. Seleziona l'opzione che indica meglio il problema che hai riscontrato con la la sintassi delle regole. (Facoltativo) Includi ulteriori dettagli nella sezione Descrizione feedback. Fai clic su Invia feedback.

Assistenza in merito a informazioni sulle minacce e domande di sicurezza

Gemini può rispondere a domande relative alla threat intelligence ad esempio i soggetti malintenzionati, le loro associazioni e i loro modelli di comportamento, incluse domande sulle TTP MITRE.

Le domande relative all’intelligence sulle minacce sono limitate alle informazioni disponibili per il tuo Versione del prodotto Google SecOps. Risposte a possono variare a seconda della versione del prodotto. Nello specifico, la minaccia i dati di intelligence sono più limitati nelle edizioni dei prodotti diverse da Enterprise Plus perché non includono l'accesso completo a Mandiant e VirusTotal.

Inserisci le tue domande nel riquadro Gemini.

  1. Inserisci una domanda sulla threat intelligence. Ad esempio: What is UNC3782?

  2. Esamina i risultati.

  3. Indaga ulteriormente chiedendo a Gemini di creare query da cercare a specifici IOC a cui si fa riferimento nei rapporti di intelligence sulle minacce. Minaccia di intelligence sono soggette ai diritti disponibili dal tuo Licenza Google SecOps.

Esempio: informazioni sulle minacce e domande sulla sicurezza

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini e MITRE

MITRE ATT&CK® Matrix è una knowledge base che documenta le TTP utilizzate dagli avversari informatici del mondo reale. Matrice MITRE fornisce un'idea di come la tua organizzazione potrebbe essere scelta come target e una fornisce una sintassi standardizzata per discutere degli attacchi.

Puoi fare domande a Gemini sulle tattiche, le tecniche e delle procedure (TTP) e ricevere risposte contestualmente pertinenti che includono seguenti dettagli MITRE:

  • Tattica
  • Tecnica
  • Sottotecnica
  • Suggerimenti per il rilevamento
  • Procedure
  • Mitigazioni

Gemini restituisce un link ai rilevamenti selezionati Google SecOps mette a disposizione per ogni TTP. Puoi anche chiedere Domande di follow-up di Gemini per ottenere ulteriori insight su un TTP MITRE e quale impatto potrebbe avere sulla tua azienda.

Eliminare una sessione di chat

Puoi eliminare la sessione di conversazione in chat o eliminare tutte le sessioni di chat. Gemini conserva privatamente tutte le cronologie delle conversazioni degli utenti e aderisce all'IA responsabile di Google Cloud pratiche . La cronologia utente non viene mai utilizzata per addestrare modelli.

  1. Nel riquadro Gemini, seleziona Elimina chat dal menu in alto a destra.
  2. Fai clic su Elimina chat in basso a destra per eliminare la chat in corso durante la sessione.
  3. (Facoltativo) Per eliminare tutte le sessioni di chat, seleziona Elimina tutte le sessioni di chat. quindi fai clic su Elimina tutte le chat.

Invia il tuo feedback

Puoi fornire feedback alle risposte generate dall'AI di Gemini assistenza nelle indagini. Il tuo feedback aiuta Google a migliorare la funzionalità e generato da Gemini.

  1. Nel riquadro Gemini, seleziona l'icona Mi piace o Non mi piace.
  2. (Facoltativo) Se selezioni Non mi piace, puoi aggiungere un feedback aggiuntivo su perché hai scelto la valutazione.
  3. Fai clic su Invia feedback.

Widget di indagine IA

Il widget di indagine IA esamina l'intero caso (avvisi, eventi e entità) e fornisce un riepilogo del caso creato con AI per dimostrare quanta attenzione potrebbe richiedere. Il widget riassume inoltre i dati degli avvisi per migliorare della minaccia e offre raccomandazioni sui passi successivi da intraprendere prese per un rimedio efficace.

La classificazione, il riepilogo e i consigli includono tutti un'opzione per uscire feedback sul livello di accuratezza e utilità dell'AI. Il feedback viene utilizzato per aiutarci a migliorare la precisione.

Il widget Indagine IA viene visualizzato nella scheda Panoramica della richiesta nella Richieste. Se nella richiesta è presente un solo avviso, devi fare clic sul Case Overview (Panoramica richiesta) per vedere questo widget.

indagine IA

Il widget Indagine IA non viene visualizzato per i casi creati manualmente o richiedere richieste avviate da La tua scrivania.

Fornire feedback per il widget AI Investigation

  1. Se i risultati sono accettabili, fai clic sull'icona Mi piace. Puoi aggiungerne altri nel campo Feedback aggiuntivo.

  2. Se i risultati non sono quelli previsti, fai clic sull'icona Non mi piace. Seleziona un'opzione delle opzioni fornite e aggiungi eventuali altri feedback che ritieni pertinenti.

  3. Fai clic su Invia feedback.

Rimuovi il widget di indagine IA

Il widget di indagine IA è incluso nella vista predefinita.

Per rimuovere il widget di indagine IA dalla vista predefinita, segui questi passaggi:

  1. Vai a Impostazioni SOAR > Dati della richiesta > Visualizzazioni.

  2. Seleziona Visualizzazione richieste predefinita nel riquadro laterale a sinistra.

  3. Fai clic sull'icona Delete (Elimina) nel widget dell'indagine IA.

Crea playbook con Gemini

Gemini può aiutarti a semplificare il processo di creazione dei playbook trasformando i tuoi prompt in un playbook funzionale che aiuta a risolvere problemi di sicurezza.

Crea un playbook utilizzando i prompt

  1. Vai a Risposta > Playbook.
  2. Seleziona aggiungi aggiungi un'icona e crea un nuovo playbook.
  3. Nel nuovo riquadro dei playbook, seleziona Crea playbook con l'IA.
  4. Nel riquadro dei prompt, inserisci un prompt completo e ben strutturato Inglese. Per ulteriori informazioni su come scrivere un prompt di playbook, consulta Scrivere prompt per la creazione del playbook Gemini.
  5. Fai clic su Genera playbook.
  6. Viene visualizzato un riquadro di anteprima con il playbook generato. Se vuoi rendere modifiche, fai clic su modifica e perfezionare il prompt.
  7. Fai clic su Crea playbook.
  8. Se vuoi apportare modifiche al playbook dopo averlo visualizzato nel riquadro principale, seleziona Crea playbook con l'IA e riscrivi il prompt. Gemini creerà un nuovo playbook per te.

Fornisci feedback per i playbook creati da Gemini

  1. Se i risultati del playbook sono positivi, fai clic sull'icona Mi piace. Puoi aggiungere ulteriori informazioni nel campo Feedback aggiuntivo.
  2. Se i risultati del playbook non sono quelli previsti, fai clic sull'icona Non mi piace. Seleziona una delle opzioni fornite e aggiungi altro feedback aggiuntivo che che ritieni pertinente.

Scrivere prompt per la creazione del playbook Gemini

La funzionalità dei playbook di Gemini è stata progettata per creare playbook in base all'input in linguaggio naturale che fornisci. Devi inserire valori chiari e dei prompt ben strutturati nella casella dei prompt del playbook di Gemini, che genera quindi Guida pratica di Google SecOps, che include attivatori, azioni e condizioni. La qualità del playbook è influenzata dall'accuratezza del prompt fornito. Prompt ben formulati, che contengono dettagli specifici producono playbook più efficaci.

Funzionalità di creazione di playbook con Gemini

Puoi fare quanto segue con le funzionalità di creazione del playbook Gemini:

  • Crea nuovi playbook con i seguenti elementi: azioni, attivatori, flussi.
  • Utilizza tutte le integrazioni commerciali scaricate.
  • Inserire azioni e nomi di integrazioni specifici nel prompt come passaggi del playbook.
  • Comprendi i prompt per descrivere il flusso in cui non vengono assegnate integrazioni e nomi specifici.
  • Utilizza i flussi di condizioni come supportato dalle funzionalità di risposta SOAR.
  • Rileva l'attivatore necessario per il playbook.

Non puoi effettuare le seguenti operazioni utilizzando i prompt:

  • Aggiorna i playbook esistenti.
  • Creare o utilizzare blocchi di playbook.
  • Utilizzare integrazioni personalizzate.
  • Utilizzare azioni parallele nei playbook.
  • Utilizza integrazioni che non sono state scaricate e installate.
  • Utilizza istanze di integrazione.

Tieni presente che l'utilizzo di parametri nei prompt potrebbe non comportare sempre dell'azione.

Costruire prompt efficaci

Ogni prompt deve includere i seguenti componenti:

  • Obiettivo: cosa generare
  • Trigger: come verrà attivato il playbook
  • Azione del playbook: che cosa fa
  • Condizione: logica condizionale

Esempio di prompt che utilizza il nome dell'integrazione

L'esempio seguente mostra un prompt ben strutturato utilizzando un nome di integrazione:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Questo prompt contiene i quattro componenti definiti in precedenza:

  • Obiettivo chiaro: ha un obiettivo definito, la gestione degli avvisi di malware.
  • Trigger specifico: l'attivazione è basata su un evento specifico. ricezione di un avviso di malware.
  • Azioni del Playbook: migliora un'entità SOAR di Google Security Operations con dati provenienti da un'integrazione di terze parti (VirusTotal).
  • Risposta condizionale: specifica una condizione che in base ai risultati precedenti. Ad esempio, se l'hash del file è dannoso, il file deve essere messo in quarantena.

Esempio di prompt che utilizza un flusso anziché il nome di un'integrazione

L'esempio seguente mostra un prompt ben strutturato, ma descrive il flusso senza menzionare il nome specifico dell'integrazione.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La funzionalità di creazione del playbook Gemini è in grado di la descrizione di un'azione (arricchimento dell'hash del file) e l'analisi integrazioni per trovare quella più adatta a questa azione.

La funzionalità di creazione del playbook Gemini può scegliere solo tra le integrazioni già installati nel tuo ambiente.

Trigger personalizzati

Oltre a utilizzare gli attivatori standard, un trigger può essere personalizzato nel playbook . Puoi specificare dei segnaposto per i seguenti oggetti:

  • Avviso
  • Evento
  • Entità
  • Ambiente
  • Testo libero

Nell'esempio seguente, il testo libero viene utilizzato per creare un trigger che viene eseguito per tutte le email dalla cartella email sospetta, ad eccezione delle email che contengono la parola [TEST] nella riga dell'oggetto dell'email.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Suggerimenti per scrivere i prompt

  • La best practice è utilizzare nomi di integrazione specifici: Specifica le integrazioni solo se sono sono già installati e configurati nel tuo ambiente.
  • Approfitta della specializzazione Gemini: la guida pratica di Gemini di creazione è progettata appositamente per creare playbook basati su prompt che si allineano con la risposta agli incidenti, il rilevamento delle minacce e i flussi di lavoro di sicurezza automatizzati.
  • Descrivi in dettaglio lo scopo, l'attivatore, l'azione e la condizione.
  • Includi obiettivi chiari: inizia con un obiettivo chiaro, ad esempio gestire gli avvisi di malware e specificare i trigger che attivano il playbook.
  • Includi le condizioni per le azioni, come l'arricchimento dei dati o la messa in quarantena dei file, sulla base dell'analisi delle minacce. La chiarezza e la specificità del playbook l'efficacia e il potenziale di automazione.

Esempi di prompt ben strutturati

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.