Gemini nelle operazioni di sicurezza

Per scoprire di più su Gemini, modelli linguistici di grandi dimensioni (LLM) e AI responsabile, consulta Gemini per il codice. Puoi anche consultare la documentazione di Gemini e le note di rilascio.

• Disponibilità: Gemini in Security Operations è disponibile a livello globale per i clienti che non hanno requisiti di conformità.

• Prezzi: per ulteriori informazioni sui prezzi, consulta i pricing di Chronicle Security Operations.

• Sicurezza di Gemini: per ulteriori informazioni sulle funzionalità di sicurezza di Gemini in Google Cloud, consulta Sicurezza con l'IA generativa.

• Governance dei dati: per ulteriori informazioni sulle pratiche di governance dei dati di Gemini, consulta In che modo Gemini per Google Cloud utilizza i tuoi dati.

• Certificazioni: per ulteriori informazioni sulle certificazioni Gemini, consulta la pagina relativa alle certificazioni per Gemini.

• Modello linguistico di grandi dimensioni Sec-PaLM: Gemini for Security Operations utilizza Sec-PaLM. Sec-PaLM è addestrato su dati tra cui blog sulla sicurezza, report sull'intelligence sulle minacce, regole di rilevamento YARA e YARA-L, playbook SOAR, script di malware, informazioni sulle vulnerabilità, documentazione dei prodotti e molti altri set di dati specializzati. Per maggiori informazioni, consulta Sicurezza con l'IA generativa.

Le seguenti sezioni forniscono la documentazione per le funzionalità di Chronicle Security Operations basate su Gemini:

• Utilizzare il linguaggio naturale per generare query di ricerca UDM

• Utilizzare il linguaggio naturale per generare regole

• Utilizzare il widget Indagine sull'IA

Utilizza il linguaggio naturale per generare query di ricerca UDM

Puoi inserire una semplice ricerca in linguaggio naturale dei tuoi dati e Chronicle può tradurre questa istruzione in una query di ricerca UDM che puoi eseguire su eventi UDM.

Per utilizzare una ricerca in linguaggio naturale per creare una query di ricerca UDM, procedi nel seguente modo:

1. Accedi a Chronicle.
2. Vai alla Ricerca UDM.

3. Inserisci un'istruzione di ricerca nella barra delle query in linguaggio naturale e fai clic su Genera query.

   Devi utilizzare l'inglese per la ricerca.

   Di seguito sono riportati alcuni esempi di istruzioni che potrebbero generare una ricerca UDM utile:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Se l'istruzione di ricerca include un termine basato sul tempo, il selettore dell'ora viene regolato automaticamente di conseguenza. Ad esempio, questo vale per le seguenti ricerche:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Se l'istruzione di ricerca non può essere interpretata, verrà visualizzato il seguente messaggio:
"Siamo spiacenti, non è stata generata alcuna query valida. Prova a chiederlo in un altro modo".

4. Esamina la query di ricerca UDM generata.

5. (Facoltativo) Modifica l'intervallo di tempo della ricerca.

6. Fai clic su Cerca.

7. Esamina i risultati di ricerca per determinare se l'evento è presente. Se necessario, utilizza i filtri di ricerca per restringere l'elenco dei risultati.

8. Fornisci un feedback sulla query utilizzando le icone di feedback Query generata. Seleziona una delle seguenti opzioni:

   • Se la query restituisce i risultati previsti, fai clic sull'icona Mi piace.
   • Se la query non restituisce i risultati previsti, fai clic sull'icona Non mi piace.
   • (Facoltativo) Includi dettagli aggiuntivi nel campo Feedback.
   • Per inviare una query di ricerca UDM aggiornata che contribuisca a migliorare i risultati:
   • Modifica la query di ricerca UDM generata.
   • Fai clic su Invia. Se non hai riscritto la query, il testo nella finestra di dialogo ti chiede di modificarla.
   • Fai clic su Invia. La query di ricerca UDM rivista verrà sottoposta a sanitizzazione dei dati sensibili e utilizzata per migliorare i risultati.

Utilizzare il linguaggio naturale per generare regole

Dopo aver generato una query di ricerca UDM utilizzando la ricerca in linguaggio naturale, puoi generare una regola Chronicle con le informazioni di sicurezza e le informazioni sulle regole corrispondenti incluse completando i seguenti passaggi:

1. Utilizza il linguaggio naturale per generare una ricerca UDM.

   Ad esempio, l'istruzione in linguaggio naturale Find all logins from bruce-monroe viene convertita nella ricerca UDM metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe".

2. Fai clic su Genera regola.

   Ad esempio, utilizzando la ricerca UDM generata in precedenza, Chronicle genera la seguente regola:

   rule logins_from_bruce_monroe {
     meta:
       author = "Chronicle Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Esamina la regola YARA-L generata, il nome della regola e i metadati aggiuntivi inclusi nella regola facendo clic su Apri nell'editor. Questa funzionalità ti consente di creare solo regole per eventi singoli.

4. Per attivare la regola, fai clic su Salva nuova regola nell'Editor regole. La regola viene visualizzata nell'elenco delle regole a sinistra. Tieni premuto il puntatore sulla regola, fai clic sull'icona del menu e attiva/disattiva l'opzione Regola attiva verso destra (verde). Per ulteriori informazioni, consulta Gestire le regole utilizzando l'Editor regole.

Fornisci un feedback sulla regola generata

Puoi fornire un feedback sulla regola generata. Il feedback viene utilizzato per migliorare la precisione della funzionalità di generazione delle regole.

Per fornire un feedback sulla regola, segui questi passaggi:

1. Fai clic su Feedback sulla regola.
   • Se la sintassi della regola è stata generata come previsto, fai clic sull'icona Mi piace.
   • Se la sintassi della regola non è quella prevista, fai clic sull'icona Non mi piace.
   • (Facoltativo) Includi ulteriori dettagli nel campo Fornisci più dettagli.
2. Fai clic su Invia feedback.

Widget Indagine IA

Il widget Indagine sull'IA esamina l'intero caso (avvisi, eventi ed entità) e fornisce un riepilogo del caso creato con l'IA relativo alla quantità di attenzione che il caso potrebbe richiedere. Il widget riassume inoltre i dati degli avvisi per una migliore comprensione della minaccia e fornisce suggerimenti per i passaggi successivi da intraprendere per un rimedio efficace.

La classificazione, il riepilogo e i consigli includono un'opzione per lasciare feedback sul livello di accuratezza e utilità delAIA. Il feedback ci aiuta a migliorare l'accuratezza.

Il widget Indagine IA viene visualizzato nella scheda Panoramica delle richieste nella pagina Casi. Se nella richiesta è presente un solo avviso, devi fare clic sulla scheda Panoramica della richiesta per visualizzare il widget.

Il widget di indagine sull'IA non viene visualizzato per i casi creati manualmente o per i casi avviati da Il tuo Workdesk.

Fornisci feedback per il widget Indagine sull'IA

1. Se i risultati sono accettabili, fai clic sull'icona Mi piace. Puoi aggiungere ulteriori informazioni nel campo Ulteriori feedback.

2. Se i risultati non sono quelli previsti, fai clic sull'icona Non mi piace. Seleziona una delle opzioni fornite e aggiungi eventuali altri feedback che ritieni pertinenti.

3. Fai clic su Invia feedback.

Rimuovere il widget Indagine sull'IA

Il widget Indagine AI è incluso nella visualizzazione predefinita.

Per rimuovere il widget Indagine IA dalla visualizzazione predefinita:

1. Vai a Impostazioni SOAR > Dati della richiesta > Visualizzazioni.

2. Seleziona Visualizzazione predefinita delle richieste dal riquadro laterale a sinistra.

3. Fai clic sull'icona Elimina nel widget di indagine AI.