Gemini in Security Operations

Weitere Informationen zu Gemini, Large Language Models und Responsible AI finden Sie unter Gemini für Code. Weitere Informationen finden Sie in der Gemini-Dokumentation und in den Versionshinweisen.

• Verfügbarkeit: Gemini in Security Operations ist global für Kunden verfügbar, die keine Complianceanforderungen haben.

• Preise: Weitere Informationen zu Preisen finden Sie in der pricing zu Chronicle Security Operations.

• Gemini-Sicherheit: Weitere Informationen zu Gemini-Sicherheitsfeatures in Google Cloud finden Sie unter Sicherheit mit generativer KI.

• Data Governance: Weitere Informationen zu Data Governance-Praktiken von Gemini finden Sie unter So verwendet Gemini for Google Cloud Ihre Daten.

• Zertifizierungen: Weitere Informationen zu Gemini-Zertifizierungen finden Sie unter Zertifizierungen für Gemini.

• Sec-PaLM Large Language Model: Gemini for Security Operations verwendet Sec-PaLM. Sec-PaLM wird mit Daten wie Sicherheitsblogs, Threat-Intelligence-Berichten, YARA- und YARA-L-Erkennungsregeln, SOAR-Playbooks, Malware-Skripts, Informationen zu Schwachstellen, Produktdokumentationen und vielen anderen spezialisierten Datasets trainiert. Weitere Informationen finden Sie unter Sicherheit mit generativer KI.

Die folgenden Abschnitte enthalten die Dokumentation für die von Gemini bereitgestellten Chronicle Security Operations-Features:

• UDM-Suchanfragen in natürlicher Sprache generieren

• Regeln in natürlicher Sprache generieren

• Widget „KI-Prüfung“ verwenden

UDM-Suchanfragen in natürlicher Sprache generieren

Sie können eine einfache Suche in natürlicher Sprache zu Ihren Daten eingeben und Chronicle kann diese Anweisung in eine UDM-Suchabfrage übersetzen, die Sie für UDM-Ereignisse ausführen können.

Führen Sie die folgenden Schritte aus, um eine UDM-Suchabfrage mithilfe einer Suche in natürlicher Sprache zu erstellen:

1. Melden Sie sich in Chronicle an.
2. Rufen Sie die UDM-Suche auf.

3. Geben Sie eine Suchanweisung in die Abfrageleiste in natürlicher Sprache ein und klicken Sie auf Abfrage generieren.

   Die Suchanfrage muss auf Englisch gestellt werden.

   Im Folgenden finden Sie einige Beispiele für Anweisungen, die eine nützliche UM-Suche generieren könnten:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Wenn die Suchanweisung einen zeitbasierten Begriff enthält, wird die Zeitauswahl automatisch entsprechend angepasst. Dies würde zum Beispiel für die folgenden Suchanfragen gelten:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Wenn die Suchanweisung nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
„Es konnte keine gültige Abfrage generiert werden. Versuchen Sie es mit einer anderen Methode.“

4. Überprüfen Sie die generierte UDM-Suchabfrage.

5. Optional: Passen Sie den Suchzeitraum an.

6. Klicken Sie auf Suchen.

7. Sehen Sie in den Suchergebnissen nach, ob das Ereignis vorhanden ist. Verwenden Sie bei Bedarf Suchfilter, um die Liste der Ergebnisse einzugrenzen.

8. Über die Feedbacksymbole für Generierte Abfrage können Sie Feedback zur Abfrage geben. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

   • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Daumen-nach-oben-Symbol.
   • Wenn die Abfrage nicht die erwarteten Ergebnisse liefert, klicken Sie auf das Daumen-nach-unten-Symbol.
   • Optional: Geben Sie zusätzliche Details in das Feld Feedback ein.
   • So reichen Sie eine überarbeitete UDM-Suchanfrage ein, die zur Verbesserung der Ergebnisse beiträgt:
   • Bearbeiten Sie die generierte UDM-Suchabfrage.
   • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht neu geschrieben haben, werden Sie aufgefordert, die Abfrage zu bearbeiten.
   • Klicken Sie auf Senden. Die überarbeitete UDM-Suchabfrage wird von sensiblen Daten bereinigt und zur Verbesserung der Ergebnisse verwendet.

Regeln in natürlicher Sprache generieren

Nachdem Sie eine UDM-Suchabfrage über die Suche in natürlicher Sprache generiert haben, können Sie dann eine Chronicle-Regel mit den entsprechenden Sicherheits- und Regelinformationen generieren. Führen Sie dazu die folgenden Schritte aus:

1. Verwenden Sie natürliche Sprache zum Generieren einer UDM-Suche.

   Beispielsweise wird die Anweisung Find all logins from bruce-monroe in natürlicher Sprache in die UDM-Suche metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe" konvertiert.

2. Klicken Sie auf Regel generieren.

   Chronicle generiert beispielsweise mithilfe der zuvor generierten UDM-Suche die folgende Regel:

   rule logins_from_bruce_monroe {
     meta:
       author = "Chronicle Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Prüfen Sie die generierte YARA-L-Regel, den Regelnamen und die zusätzlichen Metadaten, die in der Regel enthalten sind. Klicken Sie dazu auf Im Editor öffnen. Mit dieser Funktion können Sie nur Einzelereignisregeln erstellen.

4. Klicken Sie im Regeleditor auf Neue Regel speichern, um die Regel zu aktivieren. Die Regel wird in der Liste der Regeln auf der linken Seite angezeigt. Halten Sie den Mauszeiger über die Regel, klicken Sie auf das Menüsymbol und bewegen Sie die Option Live-Regel nach rechts (grün). Weitere Informationen finden Sie unter Regeln mit dem Regeleditor verwalten.

Feedback zur generierten Regel geben

Sie können Feedback zur generierten Regel geben. Dieses Feedback wird verwendet, um die Genauigkeit der Funktion zur Regelgenerierung zu verbessern.

So geben Sie Feedback zur Regel:

1. Klicken Sie auf Feedback zur Regel.
   • Wenn die Regelsyntax wie erwartet generiert wurde, klicken Sie auf das „Mag ich“-Symbol.
   • Wenn die Regelsyntax nicht Ihren Erwartungen entspricht, klicken Sie auf das Daumen-nach-unten-Symbol.
   • Optional: Machen Sie im Feld Weitere Informationen zusätzliche Angaben.
2. Klicken Sie auf Feedback geben.

Widget für KI-Prüfungen

Das KI-Untersuchungs-Widget betrachtet den gesamten Fall (Benachrichtigungen, Ereignisse und Entitäten) und bietet eine KI-generierte Fallzusammenfassung darüber, wie viel Aufmerksamkeit der Fall erfordern könnte. Außerdem fasst das Widget die Benachrichtigungsdaten zusammen, um die Bedrohung besser zu verstehen, und bietet Empfehlungen für die nächsten Schritte für eine effektive Abhilfe.

Die Klassifizierung, Zusammenfassung und Empfehlungen beinhalten eine Option, um Feedback zur Genauigkeit und Nützlichkeit der KI zu geben. Das Feedback hilft uns, die Genauigkeit zu verbessern.

Das Widget „AI Investigation“ wird auf der Seite Fälle auf dem Tab Fallübersicht angezeigt. Wenn der Fall nur eine Benachrichtigung enthält, müssen Sie auf den Tab Fallübersicht klicken, um dieses Widget zu sehen.

Das Widget für die KI-Prüfung wird nicht für Fälle angezeigt, die manuell erstellt oder über Your Workdesk initiiert werden.

Feedback zum Widget für die KI-Prüfung geben

1. Wenn die Ergebnisse akzeptabel sind, klicke auf das Daumen-hoch-Symbol. Im Feld Zusätzliches Feedback können Sie weitere Angaben machen.

2. Wenn die Ergebnisse nicht deinen Erwartungen entsprechen, klicke auf das „Mag ich nicht“-Symbol. Wählen Sie eine der verfügbaren Optionen aus und fügen Sie zusätzliches Feedback hinzu, das Sie für relevant halten.

3. Klicken Sie auf Feedback geben.

Widget für KI-Prüfung entfernen

Das Widget „KI-Prüfung“ ist in der Standardansicht enthalten.

So entfernen Sie das Widget „KI-Prüfung“ aus der Standardansicht:

1. Rufen Sie SOAR-Einstellungen > Falldaten > Datenansichten auf.

2. Wählen Sie in der linken Seitenleiste Standardmäßige Fallansicht aus.

3. Klicken Sie im Widget „KI-Prüfung“ auf das Symbol Löschen.