Gemini dans Google SecOps

Pour en savoir plus sur Gemini, les grands modèles de langage et l'IA responsable, consultez Gemini pour Code. Vous pouvez également consulter la documentation Gemini et les notes de version.

• Disponibilité: Gemini dans Google SecOps est disponible dans le monde entier. Les données Gemini sont traitées dans les régions suivantes: us-central1, asia-southeast1 et europe-west1. Les requêtes des clients sont acheminées vers la région la plus proche pour être traitées.

• Tarifs: pour en savoir plus sur la tarification, consultez les pricing de Google Security Operations.

• Sécurité Gemini: pour en savoir plus sur les fonctionnalités de sécurité de Gemini dans Google Cloud, consultez Sécurité avec l'IA générative.

• Gouvernance des données: pour en savoir plus sur les pratiques de gouvernance des données de Gemini, consultez Comment Gemini pour Google Cloud utilise vos données

• Certifications: pour en savoir plus sur les certifications Gemini, consultez Certifications pour Gemini.

• Plate-forme SecLM: Gemini pour Google SecOps utilise une gamme de grands modèles de langage via la plate-forme SecLM, y compris le modèle Sec-PaLM spécialisé. Sec-PaLM est entraîné sur les données, y compris les blogs de sécurité, les rapports d'information sur les menaces, les règles de détection YARA et YARA-L, les playbooks SOAR, les scripts de logiciels malveillants, les informations sur les failles, la documentation produit et de nombreux autres ensembles de données spécialisés. Pour en savoir plus, consultez Sécurité avec l'IA générative.

Les sections suivantes fournissent la documentation sur les fonctionnalités Google SecOps fournies par Gemini:

• Utiliser Gemini pour examiner les problèmes de sécurité

• Générer des requêtes de recherche UDM

• Générer une règle YARA-L à l'aide de Gemini

• Assistance pour les questions de sécurité et de renseignements sur les menaces

• Utiliser le widget d'investigation par IA

• Créer des playbooks avec Gemini

Utiliser Gemini pour examiner les problèmes de sécurité

Gemini offre une assistance pour les investigations, accessible depuis n'importe quelle partie de Google SecOps. Gemini peut vous aider dans vos recherches en prenant en charge les éléments suivants:

• Recherche: Gemini peut vous aider à créer, modifier et effectuer des recherches ciblant des événements pertinents à l'aide de requêtes en langage naturel. Gemini peut également vous aider à itérer sur une recherche, à ajuster la portée, à étendre la période et à ajouter des filtres. Vous pouvez effectuer toutes ces tâches à l'aide des requêtes en langage naturel saisies dans le volet Gemini.
• Résumés de recherche: Gemini peut résumer automatiquement les résultats de recherche après chaque recherche et chaque action de filtre ultérieure. Le volet Gemini résume les résultats de votre recherche dans un format concis et compréhensible. Gemini peut aussi répondre à des questions contextuelles sur les résumés qu'il fournit.
• Génération de règles: Gemini peut créer des règles YARA-L à partir des requêtes de recherche UDM qu'il génère.
• Questions sur la sécurité et analyse du renseignement sur les menaces: Gemini peut répondre aux questions générales liées à la sécurité. De plus, Gemini peut répondre à des questions spécifiques sur le renseignement sur les menaces et fournir des résumés sur les acteurs malveillants, les IOC et d'autres sujets liés à ce sujet.
• Correction des incidents: en fonction des informations sur l'événement renvoyées, Gemini peut vous suggérer de suivre la procédure. Des suggestions peuvent également apparaître après le filtrage des résultats de recherche. Par exemple, Gemini peut suggérer d'examiner une alerte, une règle ou un filtrage pertinents pour un hôte ou un utilisateur spécifique.

Générer des requêtes de recherche UDM

Vous pouvez utiliser Gemini pour générer des requêtes de recherche UDM à partir du volet Gemini ou lorsque vous utilisez la recherche UDM.

Pour de meilleurs résultats, Google vous recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

• Générer une requête de recherche UDM dans le volet Gemini

• Générer une requête de recherche UDM dans la recherche UDM

Générer une requête de recherche UDM à l'aide du volet Gemini

1. Connectez-vous à Google SecOps et ouvrez le volet Gemini en cliquant sur le logo Gemini.

2. Saisissez une requête en langage naturel, puis appuyez sur Entrée. La requête en langage naturel doit être en anglais.

   

   Figure 1: Ouvrir le volet Gemini et saisir une requête

3. Examinez la requête de recherche UDM générée. Si la requête de recherche générée répond à vos critères, cliquez sur Exécuter la recherche.

4. Gemini génère un résumé des résultats ainsi que des suggestions d'actions.

5. Saisissez des questions de suivi en langage naturel sur les résultats de recherche fournis par Gemini pour poursuivre votre enquête.

Exemples de requêtes de recherche et de questions complémentaires

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Générer une requête de recherche UDM à l'aide du langage naturel

À l'aide de la fonctionnalité de recherche Google SecOps, vous pouvez saisir une requête en langage naturel sur vos données, et Gemini peut la traduire en une requête de recherche UDM que vous pouvez exécuter pour les événements UDM.

Pour de meilleurs résultats, Google vous recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

Pour créer une requête de recherche UDM à l'aide d'une recherche en langage naturel, procédez comme suit:

1. Connectez-vous à Google SecOps.
2. Accédez à Rechercher.

3. Saisissez une instruction de recherche dans la barre de requête en langage naturel, puis cliquez sur Générer une requête. Vous devez utiliser l'anglais pour la recherche.

   

   Figure 2: Saisir une recherche en langage naturel, puis cliquer sur "Générer une requête"

   Voici quelques exemples d'instructions qui peuvent générer une recherche UMD utile:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si l'instruction de recherche inclut un terme temporel, le sélecteur de temps est automatiquement ajusté en conséquence. Par exemple, cela s'appliquerait aux recherches suivantes:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche:
"Désolé, aucune requête valide n'a pu être générée. Essayez de poser une autre manière. »

4. Examinez la requête de recherche UDM générée.

5. (Facultatif) Ajustez la période de recherche.

6. Cliquez sur Exécuter la recherche.

7. Examinez les résultats de recherche pour déterminer si l'événement est présent. Si nécessaire, utilisez des filtres de recherche pour affiner la liste des résultats.

8. Envoyez des commentaires sur la requête à l'aide des icônes de commentaires Generated Query. Sélectionnez l'une des options suivantes :

   • Si la requête renvoie les résultats attendus, cliquez sur l'icône J'aime.
   • Si la requête ne renvoie pas les résultats attendus, cliquez sur l'icône Je n'aime pas.
   • (Facultatif) Ajoutez des informations supplémentaires dans le champ Commentaires.
   • Pour envoyer une requête de recherche UDM modifiée qui permet d'améliorer les résultats:
   • Modifiez la requête de recherche UDM générée.
   • Cliquez sur Envoyer. Si vous n'avez pas réécrit la requête, le texte de la boîte de dialogue vous invite à la modifier.
   • Cliquez sur Envoyer. La nouvelle requête de recherche UDM sera éliminée des données sensibles et permettra d'améliorer les résultats.

Générer une règle YARA-L à l'aide de Gemini

1. Utilisez une requête en langage naturel pour générer une règle (par exemple, create a rule to detect logins from bruce-monroe). Appuyez sur Entrée. Gemini génère une règle pour détecter le comportement que vous avez recherché dans le volet Gemini.

2. Cliquez sur Ouvrir dans l'éditeur de règles pour afficher et modifier la nouvelle règle dans l'éditeur de règles. Cette fonctionnalité vous permet uniquement de créer des règles pour un seul événement.

   Par exemple, à l'aide de l'invite de règle précédente, Gemini génère la règle suivante:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Pour activer la règle, cliquez sur Enregistrer une nouvelle règle. La règle apparaît dans la liste à gauche. Maintenez le pointeur sur la règle, cliquez sur l'icône de menu et faites basculer l'option Règle en direct vers la droite (verte). Pour en savoir plus, consultez Gérer les règles à l'aide de l'éditeur de règles.

Envoyer des commentaires sur la règle générée

Vous pouvez envoyer des commentaires sur la règle générée. Ces commentaires permettent d'améliorer la précision de la fonctionnalité de génération de règles.

• Si la syntaxe de la règle a été générée comme prévu, cliquez sur l'icône J'aime.
• Si la syntaxe de la règle ne correspond pas à vos attentes, cliquez sur l'icône représentant un pouce vers le bas. Cochez l'option qui décrit le mieux le problème que vous avez rencontré avec la syntaxe de la règle générée. (Facultatif) Ajoutez des informations supplémentaires dans le champ Décrivez vos commentaires. Cliquez sur Envoyer des commentaires.

Assistance pour les renseignements sur les menaces et les questions de sécurité

Gemini peut répondre à des questions liées à la Threat Intelligence sur des sujets tels que les acteurs malveillants, leurs associations et leurs modèles de comportement, y compris sur les FTP MITRE.

Les questions sur les renseignements sur les menaces sont limitées aux informations disponibles dans votre édition du produit Google SecOps. Les réponses aux questions peuvent varier en fonction de l'édition du produit. Plus précisément, les données de renseignement sur les menaces sont plus limitées dans les éditions de produits autres qu'Enterprise Plus, car elles n'incluent pas l'accès complet à Mandiant et VirusTotal.

Saisissez vos questions dans le volet Gemini.

1. Saisissez une question sur les renseignements sur les menaces. Par exemple : What is UNC3782?

2. Examinez les résultats.

3. Étudiez plus en détail en demandant à Gemini de créer des requêtes pour rechercher les IOC spécifiques référencés dans les rapports de Threat Intelligence. Les informations sur les renseignements sur les menaces sont soumises aux droits d'accès disponibles avec votre licence Google SecOps.

Exemple: Renseignements sur les menaces et questions de sécurité

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini et MITRE

La MITRE ATT&CK® Matrix est une base de connaissances qui recense les modes opératoires utilisés par les cyberattaquants. MITRE Matrix permet de comprendre comment votre organisation pourrait être ciblée et fournit une syntaxe standardisée pour parler des attaques.

Vous pouvez poser des questions à Gemini sur les tactiques, techniques et procédures MITRE et recevoir des réponses pertinentes en contexte qui incluent les informations suivantes sur MITRE:

• Stratégie
• Technique
• Sous-technique
• Suggestions de détection
• Procédures
• Mesures d'atténuation

Gemini renvoie un lien vers les détections sélectionnées que Google SecOps met à disposition pour chaque TTP. Vous pouvez également poser des questions de suivi à Gemini pour obtenir des informations supplémentaires sur un mode d'emploi MITRE et son impact potentiel sur votre entreprise.

Supprimer une session de chat

Vous pouvez supprimer votre session de chat ou toutes les sessions de chat. Gemini gère tous les historiques de conversation des utilisateurs de manière privée et respecte les pratiques d'IA responsable de Google Cloud. L'historique de l'utilisateur n'est jamais utilisé pour entraîner des modèles.

1. Dans le volet Gemini, sélectionnez Supprimer la discussion dans le menu en haut à droite.
2. Cliquez sur Supprimer le chat en bas à droite pour supprimer la session de chat actuelle.
3. (Facultatif) Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat, puis cliquez sur Supprimer tous les chats.

Fournir des commentaires

Vous pouvez envoyer des commentaires aux réponses générées par l'assistance à l'investigation de Gemini AI. Vos commentaires aident Google à améliorer la fonctionnalité et le résultat généré par Gemini.

1. Dans le volet Gemini, sélectionnez l'icône J'aime ou Je n'aime pas.
2. (Facultatif) Si vous sélectionnez "Je n'aime pas", vous pouvez ajouter des commentaires expliquant pourquoi vous avez choisi cette note.
3. Cliquez sur Envoyer des commentaires.

Widget d'investigation IA

Le widget d'investigation par IA examine l'ensemble du cas (alertes, événements et entités) et fournit un résumé généré par IA indiquant le degré d'attention qu'elle peut nécessiter. Le widget récapitule également les données d'alerte pour une meilleure compréhension de la menace et fournit des recommandations sur les prochaines étapes à suivre pour une remédiation efficace.

La classification, le résumé et les recommandations permettent tous de laisser des commentaires sur le niveau de précision et d'utilité de l'IA. Vos commentaires nous aident à améliorer la précision.

Le widget d'investigation par IA s'affiche dans l'onglet Case Overview (Présentation de la demande) de la page Cases (Demandes). S'il n'y a qu'une seule alerte dans la demande, vous devez cliquer sur l'onglet Case Overview (Présentation de la demande) pour voir ce widget.

Le widget d'investigation de l'IA ne s'affiche pas pour les demandes créées manuellement ou lancées depuis votre bureau.

Envoyer des commentaires sur le widget d'investigation d'IA

1. Si les résultats sont acceptables, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations dans le champ Commentaires supplémentaires.

2. Si les résultats ne correspondent pas à ceux attendus, cliquez sur l'icône Je n'aime pas. Sélectionnez l'une des options proposées et ajoutez tout autre commentaire que vous jugez pertinent.

3. Cliquez sur Envoyer des commentaires.

Supprimer le widget d'investigation IA

Le widget d'investigation par IA est inclus dans la vue par défaut.

Pour supprimer le widget d'investigation IA de la vue par défaut, procédez comme suit:

1. Accédez à Paramètres SOAR > Données de cas > Vues.

2. Sélectionnez Vue par défaut de la demande dans le panneau latéral de gauche.

3. Cliquez sur l'icône Supprimer dans le widget d'investigation IA.

Créer des playbooks avec Gemini

Gemini peut vous aider à simplifier le processus de création des playbooks en transformant vos requêtes en playbooks fonctionnels qui aident à résoudre les problèmes de sécurité.

Créer un playbook à l'aide de requêtes

1. Accédez à Réponse > Playbooks.
2. Sélectionnez l'icône d'ajout ajouter et créez un playbook.
3. Dans le volet "Nouveau playbook", sélectionnez Créer des playbooks à l'aide de l'IA.
4. Dans le volet de requête, saisissez une requête complète et bien structurée en anglais. Pour savoir comment rédiger une requête de playbook, consultez Rédiger des requêtes pour créer un playbook Gemini.
5. Cliquez sur Générer le playbook.
6. Un volet d'aperçu avec le playbook généré s'affiche. Pour apporter des modifications, cliquez sur Modifier et affinez la requête.
7. Cliquez sur Créer un playbook.
8. Si vous souhaitez modifier le playbook une fois qu'il est affiché dans le volet principal, sélectionnez Créer des playbooks à l'aide de l'IA et réécrivez votre requête. Gemini va créer un playbook pour vous.

Envoyer des commentaires sur les playbooks créés par Gemini

1. Si les résultats du playbook sont satisfaisants, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations dans le champ Commentaires supplémentaires.
2. Si les résultats du playbook n'ont pas été conformes à vos attentes, cliquez sur l'icône Je n'aime pas. Sélectionnez l'une des options proposées et ajoutez tout autre commentaire qui vous semble pertinent.

Rédiger des requêtes pour créer des playbooks Gemini

La fonctionnalité de playbook Gemini a été conçue pour créer des playbooks basés sur les données saisies en langage naturel. Vous devez saisir des requêtes claires et bien structurées dans la zone des invites du playbook Gemini, qui génère ensuite un playbook Google SecOps qui inclut les déclencheurs, les actions et les conditions. La qualité du playbook dépend de la précision de la requête fournie. Des requêtes bien formulées avec des détails clairs et spécifiques produisent des playbooks plus efficaces.

Capacités de création de playbooks avec Gemini

Les fonctionnalités de création de playbooks Gemini vous permettent d'effectuer les opérations suivantes:

• Créez des playbooks avec les éléments suivants: actions, déclencheurs et flux.
• Utilisez toutes les intégrations commerciales téléchargées.
• Indiquez des actions spécifiques et des noms d'intégrations dans la requête en tant qu'étapes du playbook.
• Comprendre les invites permettant de décrire le flux lorsque des intégrations et des noms spécifiques ne sont pas fournis
• Utilisez les flux de conditions compatibles avec les capacités de réponse SOAR.
• Détecter le déclencheur nécessaire pour le playbook.

Vous ne pouvez pas effectuer les opérations suivantes à l'aide d'invites:

• Mettre à jour les playbooks existants
• Créez ou utilisez des blocs de playbook.
• Utilisez des intégrations personnalisées.
• Utilisez des actions parallèles dans les playbooks.
• Utilisez des intégrations qui n'ont pas été téléchargées ni installées.
• Utilisez des instances d'intégration.

Notez que l'utilisation de paramètres dans les invites n'entraîne pas toujours l'utilisation de la bonne action.

Créer des requêtes efficaces

Chaque requête doit inclure les composants suivants:

• Objectif: Éléments à générer
• Déclencheur: mode de déclenchement du playbook
• Action du playbook: action effectuée
• Condition: logique conditionnelle

Exemple de requête utilisant un nom d'intégration

L'exemple suivant présente une requête bien structurée utilisant un nom d'intégration:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Cette requête contient les quatre composants définis précédemment:

• Objectif clair: gérer les alertes en cas de détection de logiciels malveillants avec un objectif défini.
• Déclencheur spécifique: l'activation est basée sur un événement spécifique, ce qui entraîne la réception d'une alerte liée à un logiciel malveillant.
• Actions du playbook: améliore une entité SOAR Google Security Operations avec des données provenant d'une intégration tierce (VirusTotal).
• Réponse conditionnelle: spécifie une condition basée sur les résultats précédents. Par exemple, si le hachage du fichier s'avère malveillant, il doit être mis en quarantaine.

Exemple de requête utilisant un flux au lieu d'un nom d'intégration

L'exemple suivant montre une requête bien structurée, mais décrit le flux sans mentionner le nom de l'intégration spécifique.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La fonctionnalité de création de playbooks Gemini est capable d'exploiter cette description d'une action (enrichir un hachage de fichier) et d'examiner les intégrations installées pour trouver celle qui correspond le mieux à cette action.

La fonctionnalité de création de playbooks Gemini ne peut choisir que des intégrations déjà installées dans votre environnement.

Déclencheurs personnalisés

En plus d'utiliser des déclencheurs standards, vous pouvez personnaliser un déclencheur dans l'invite du playbook. Vous pouvez spécifier des espaces réservés pour les objets suivants:

• Alerte
• Événement
• Entité
• Environnement
• Texte libre

Dans l'exemple suivant, du texte libre permet de créer un déclencheur qui s'exécute pour tous les e-mails du dossier e-mail suspect, à l'exception de ceux dont l'objet contient le mot [TEST].

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Conseils pour rédiger des requêtes

• Il est recommandé d'utiliser des noms d'intégration spécifiques : ne spécifiez les intégrations que si elles sont déjà installées et configurées dans votre environnement.
• Profitez de la spécialisation Gemini: la fonctionnalité de création de playbooks Gemini est spécifiquement conçue pour créer des playbooks basés sur des requêtes qui s'alignent sur la gestion des incidents, la détection des menaces et les workflows de sécurité automatisés.
• Détaillez l'objectif, le déclencheur, l'action et la condition.
• Définissez des objectifs clairs: commencez par un objectif clair, comme gérer les alertes de logiciels malveillants, et spécifiez les déclencheurs qui activent le guide.
• Incluez des conditions pour les actions, telles que l'enrichissement de données ou la mise en quarantaine de fichiers, en fonction de l'analyse des menaces. Cette clarté et cette spécificité améliorent l'efficacité et le potentiel d'automatisation du playbook.

Exemples de requêtes bien structurées

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.