Gemini dalam Operasi Keamanan

Untuk mengetahui informasi selengkapnya tentang Gemini, model bahasa besar, dan responsible AI, lihat Gemini untuk Kode. Anda juga dapat melihat dokumentasi Gemini dan catatan rilis.

• Ketersediaan—Gemini di Security Operations tersedia secara global untuk pelanggan yang tidak memiliki persyaratan kepatuhan.

• Harga—Untuk mengetahui informasi selengkapnya tentang harga, lihat pricing Chronicle Security Operations

• Keamanan Gemini—Untuk mengetahui informasi selengkapnya tentang fitur keamanan Gemini di Google Cloud, lihat Keamanan dengan AI generatif

• Tata kelola data—Untuk mengetahui informasi selengkapnya tentang praktik tata kelola data Gemini, lihat Cara Gemini untuk Google Cloud menggunakan data Anda

• Sertifikasi—Untuk informasi lebih lanjut tentang sertifikasi Gemini, lihat Sertifikasi untuk Gemini

• Model bahasa besar Sec-PaLM—Gemini untuk Operasi Keamanan menggunakan Sec-PaLM. Sec-PaLM dilatih menggunakan data yang mencakup blog keamanan, laporan kecerdasan ancaman, aturan deteksi YARA dan YARA-L, playbook SOAR, skrip malware, informasi kerentanan, dokumentasi produk, dan banyak set data khusus lainnya. Untuk mengetahui informasi selengkapnya, lihat Keamanan dengan AI generatif

Bagian berikut menyediakan dokumentasi untuk fitur Chronicle Security Operations yang didukung oleh Gemini:

• Menggunakan Gemini untuk menyelidiki masalah keamanan

• Menggunakan natural language untuk menghasilkan kueri penelusuran UDM

• Menggunakan natural language untuk membuat aturan

• Gunakan widget Investigasi AI

Gunakan Gemini untuk menyelidiki masalah keamanan

Gemini memberikan bantuan investigasi yang dapat diakses dari bagian mana pun dari Chronicle. Gemini dapat membantu penyelidikan Anda dengan memberikan dukungan untuk hal berikut:

• Penelusuran: Gemini dapat membantu Anda membuat, mengedit, dan menjalankan penelusuran yang ditargetkan untuk acara yang relevan menggunakan natural language prompt. Gemini juga dapat membantu Anda melakukan iterasi penelusuran, menyesuaikan cakupan, memperluas rentang waktu, dan menambahkan filter. Anda dapat menyelesaikan semua tugas ini menggunakan perintah natural language yang dimasukkan ke panel Gemini.
• Ringkasan penelusuran: Gemini dapat otomatis meringkas hasil penelusuran setelah setiap penelusuran dan tindakan filter berikutnya. Panel Gemini merangkum hasil penelusuran Anda dalam format yang ringkas dan dapat dipahami. Gemini juga dapat menjawab pertanyaan tindak lanjut kontekstual tentang ringkasan yang diberikannya.
• Pembuatan aturan: Gemini dapat membuat aturan YARA-L baru dari kueri penelusuran UDM yang dihasilkannya.
• Pertanyaan keamanan dan analisis kecerdasan ancaman: Gemini dapat menjawab pertanyaan umum terkait domain keamanan. Selain itu, Gemini dapat menjawab pertanyaan terkait kecerdasan ancaman tertentu dan memberikan ringkasan tentang pelaku ancaman, IOC, dan topik kecerdasan ancaman lainnya.
• Perbaikan insiden: Berdasarkan informasi peristiwa yang ditampilkan, Gemini dapat menyarankan langkah-langkah yang dapat diikuti. Saran mungkin juga muncul setelah memfilter hasil penelusuran. Misalnya, Gemini mungkin menyarankan untuk meninjau notifikasi atau aturan atau pemfilteran yang relevan untuk host atau pengguna tertentu.

Membuat kueri penelusuran UDM menggunakan panel Gemini

1. Buka UI Chronicle dan buka panel Gemini.
2. Masukkan perintah natural language, lalu tekan Enter. Prompt natural language harus dalam bahasa Inggris.
3. Tinjau kueri penelusuran UDM yang dibuat. Jika kueri penelusuran yang dibuat memenuhi persyaratan Anda, klik Jalankan penelusuran.
4. Gemini memberikan ringkasan hasil beserta tindakan yang disarankan.
5. Masukkan pertanyaan lanjutan bahasa natural tentang hasil penelusuran yang disediakan oleh Gemini untuk melanjutkan penyelidikan Anda.

Contoh dialog penelusuran dan pertanyaan lanjutan

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Membuat aturan YARA-L menggunakan Gemini

Gemini dapat membuat aturan YARA-L dari kueri penelusuran yang dibuatnya.

1. Gunakan perintah natural language untuk membuat aturan (misalnya, write a rule to look for failed login events). Tekan Enter. Gemini menghasilkan aturan untuk mendeteksi perilaku yang telah Anda telusuri di panel Gemini.
2. Klik Open in rule editor untuk melihat dan mengubah aturan baru di Rules Editor.
3. Untuk menyimpan dan menggunakan aturan di Chronicle, klik Simpan aturan baru.

Bantuan terkait kecerdasan ancaman dan pertanyaan keamanan

Gemini dapat menjawab pertanyaan terkait kecerdasan ancaman tentang topik seperti pelaku ancaman, keterkaitannya, dan pola perilakunya. Anda dapat memasukkan pertanyaan ke panel Gemini.

1. Masukkan pertanyaan kecerdasan ancaman. Contoh: What is UNC3782?
2. Tinjau hasilnya.
3. Investigasi lebih lanjut dengan meminta Gemini membuat kueri untuk mencari IOC tertentu yang dirujuk dalam laporan kecerdasan ancaman. Informasi kecerdasan ancaman tunduk pada hak yang tersedia dari lisensi Chronicle.

Contoh: Informasi mengenai ancaman dan pertanyaan keamanan

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Menghapus sesi chat

Anda dapat menghapus sesi percakapan chat Anda atau menghapus semua sesi chat. Gemini mengelola semua histori percakapan pengguna secara pribadi dan mematuhi praktik responsible AI Google Cloud. Histori pengguna tidak pernah digunakan untuk melatih model.

1. Di panel Gemini, pilih Delete chat dari menu di kanan atas.
2. Klik Hapus chat di kanan bawah untuk menghapus sesi chat saat ini.
3. (Opsional) Untuk menghapus semua sesi chat, pilih Delete all chat session, lalu klik Delete all chat.

Memberikan masukan

Anda dapat memberikan masukan pada respons yang diberikan oleh bantuan investigasi AI Gemini. Masukan Anda membantu Google meningkatkan fitur dan output yang dihasilkan oleh Gemini.

1. Di panel Gemini, pilih ikon suka atau tidak suka.
2. (Opsional) Jika memilih tidak suka, Anda dapat menambahkan masukan lain tentang alasan Anda memilih rating tersebut.
3. Klik Kirim masukan.

Menggunakan bahasa alami untuk menghasilkan kueri penelusuran UDM

Anda dapat memasukkan penelusuran natural language yang sederhana tentang data Anda dan Chronicle dapat menerjemahkan pernyataan ini menjadi kueri penelusuran UDM yang dapat Anda jalankan terhadap peristiwa UDM.

Untuk menggunakan penelusuran natural language dalam membuat kueri penelusuran UDM, selesaikan langkah-langkah berikut:

1. Login ke Chronicle.
2. Buka Penelusuran.

3. Masukkan pernyataan penelusuran di kolom kueri natural language, lalu klik Generate Query.

   Anda harus menggunakan bahasa Inggris untuk penelusuran.

   Berikut beberapa contoh pernyataan yang mungkin menghasilkan penelusuran UDM yang berguna:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Jika pernyataan penelusuran menyertakan istilah berbasis waktu, alat pilih waktu akan otomatis disesuaikan agar cocok. Misalnya, hal ini akan berlaku untuk penelusuran berikut:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Jika pernyataan penelusuran tidak dapat ditafsirkan, Anda akan melihat pesan berikut:
"Maaf, tidak ada kueri yang valid yang dapat dibuat. Coba tanyakan dengan cara lain."

4. Tinjau kueri penelusuran UDM yang dibuat.

5. (Opsional) Sesuaikan rentang waktu penelusuran.

6. Klik Jalankan Penelusuran.

7. Tinjau hasil penelusuran untuk menentukan apakah acara tersebut ada. Jika perlu, gunakan filter penelusuran untuk mempersempit daftar hasil.

8. Berikan masukan tentang kueri menggunakan ikon masukan Hasil Kueri. Pilih salah satu opsi berikut:

   • Jika kueri memberikan hasil yang diharapkan, klik ikon jempol ke atas.
   • Jika kueri tidak menampilkan hasil yang diharapkan, klik ikon tidak suka.
   • (Opsional) Sertakan detail tambahan di kolom Masukan.
   • Untuk mengirimkan kueri penelusuran UDM yang telah direvisi yang membantu meningkatkan hasil:
   • Edit kueri penelusuran UDM yang telah dibuat.
   • Klik Submit. Jika Anda tidak menulis ulang kueri, teks dalam dialog akan meminta Anda mengedit kueri.
   • Klik Submit. Kueri penelusuran UDM yang direvisi akan dibersihkan dari data sensitif dan digunakan untuk meningkatkan hasil.

Menggunakan bahasa alami untuk membuat aturan

Setelah membuat kueri penelusuran UDM menggunakan penelusuran natural language, Anda kemudian dapat membuat aturan Chronicle dengan menyertakan informasi keamanan dan informasi aturan terkait dengan menyelesaikan langkah-langkah berikut:

1. Gunakan natural language untuk menghasilkan penelusuran UDM.

   Misalnya, pernyataan natural language Find all logins from bruce-monroe dikonversi menjadi metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe" penelusuran UDM.

2. Klik Buat Aturan.

   Misalnya, menggunakan penelusuran UDM yang dihasilkan sebelumnya, Chronicle akan membuat aturan berikut:

   rule logins_from_bruce_monroe {
     meta:
       author = "Chronicle Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Tinjau aturan YARA-L, nama aturan, dan metadata tambahan yang dihasilkan yang disertakan dengan aturan dengan mengklik Open in editor. Anda hanya dapat membuat aturan peristiwa tunggal menggunakan fitur ini.

4. Untuk mengaktifkan aturan, klik Simpan Aturan Baru di Editor Aturan. Aturan akan muncul dalam daftar aturan di sebelah kiri. Tahan kursor ke aturan, klik ikon menu, lalu alihkan opsi Aturan Live ke kanan (hijau). Untuk mengetahui informasi selengkapnya, lihat Mengelola aturan menggunakan Editor Aturan.

Berikan masukan terkait aturan yang dibuat

Anda dapat memberikan masukan tentang aturan yang dibuat. Masukan ini digunakan untuk meningkatkan akurasi fitur pembuatan aturan.

Untuk memberikan masukan tentang aturan tersebut, selesaikan langkah-langkah berikut:

1. Klik Feedback on Rule.
   • Jika sintaksis aturan dibuat seperti yang diharapkan, klik ikon suka.
   • Jika sintaksis aturan tidak seperti yang Anda harapkan, klik ikon tidak suka.
   • (Opsional) Sertakan detail tambahan di kolom Beri tahu kami selengkapnya.
2. Klik Kirim Masukan.

Widget Investigasi AI

Widget Investigasi AI melihat seluruh kasus (pemberitahuan, peristiwa, dan entity) dan memberikan ringkasan kasus yang dihasilkan AI tentang seberapa banyak perhatian yang mungkin diperlukan kasus tersebut. Widget ini juga merangkum data pemberitahuan agar dapat lebih memahami ancaman, dan memberikan rekomendasi langkah selanjutnya yang dapat diambil untuk melakukan perbaikan yang efektif.

Klasifikasi, ringkasan, dan rekomendasi, semuanya menyertakan opsi untuk memberikan masukan terkait tingkat akurasi dan kegunaan AI. Masukan digunakan untuk membantu kita meningkatkan akurasi.

Widget Investigasi AI ditampilkan di bagian tab Case Overview di halaman Cases. Jika hanya ada satu pemberitahuan dalam kasus tersebut, Anda perlu mengklik tab Case Overview untuk melihat widget ini.

Widget Investigasi AI tidak ditampilkan untuk kasus yang dibuat secara manual atau meminta kasus yang dimulai dari Workdesk Anda.

Memberikan masukan untuk widget Investigasi AI

1. Jika hasilnya dapat diterima, klik ikon jempol ke atas. Anda dapat menambahkan informasi lainnya di kolom Masukan Tambahan.

2. Jika hasilnya tidak sesuai harapan, klik ikon tidak suka. Pilih salah satu opsi yang disediakan dan tambahkan masukan tambahan lain yang menurut Anda relevan.

3. Klik Kirim Masukan.

Menghapus widget Investigasi AI

Widget Investigasi AI disertakan dalam tampilan default.

Untuk menghapus widget Investigasi AI dari tampilan default, lakukan langkah berikut:

1. Buka Setelan SOAR > Data Kasus > Tampilan.

2. Pilih Tampilan Kasus Default dari panel samping kiri.

3. Klik ikon Hapus di widget Investigasi AI.