Gemini em operações de segurança

Para mais informações sobre o Gemini, os modelos de linguagem grande e a IA responsável, consulte Gemini para código. Consulte também a documentação do Genmini e as notas da versão.

Disponibilidade: o Gemini em operações de segurança está disponível globalmente para clientes que não têm requisitos de compliance.
Preços: para mais informações sobre preços, consulte pricing do Chronicle Security Operations.
Segurança do Gemini: para mais informações sobre os recursos de segurança do Gemini no Google Cloud, consulte Segurança com IA generativa.
Governança de dados: para mais informações sobre as práticas de governança de dados do Gemini, consulte Como o Gemini para o Google Cloud usa seus dados.
Certificações: para mais informações sobre as certificações do Gemini, consulte Certificações para o Gemini.
Modelo de linguagem grande da Sec-PaLM: o Gemini para operações de segurança usa o Sec-PaLM. O Sec-PaLM é treinado em dados, incluindo blogs de segurança, relatórios de inteligência sobre ameaças, regras de detecção YARA e YARA-L, manuais SOAR, scripts de malware, informações sobre vulnerabilidades, documentação de produtos e muitos outros conjuntos de dados especializados. Para mais informações, consulte Segurança com IA generativa.

As seções a seguir apresentam a documentação dos recursos do Chronicle Security Operations com a tecnologia do Gemini:

Usar a linguagem natural para gerar consultas de pesquisa de UDM
Usar linguagem natural para gerar regras
Usar o widget de investigação de IA

Usar linguagem natural para gerar consultas de pesquisa de UDM

Insira uma pesquisa simples em linguagem natural sobre seus dados e o Chronicle poderá traduzir essa instrução em uma consulta de pesquisa de UDM que pode ser executada em eventos de UDM.

Para usar uma pesquisa em linguagem natural e criar uma consulta de pesquisa de UDM, siga estas etapas:

Faça login no Chronicle.
Acesse a Pesquisa.
Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta.

Você deve usar o inglês para a pesquisa.

Veja a seguir alguns exemplos de instruções que podem gerar uma pesquisa de UDM útil:
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"

Se a instrução de pesquisa incluir um termo com base em um período, o seletor será ajustado automaticamente para corresponder. Por exemplo, isso se aplica às seguintes pesquisas:

yesterday
within the last 5 days
on Jan 1, 2023

Se não for possível interpretar a instrução de pesquisa, você verá a seguinte mensagem:
"Não foi possível gerar uma consulta válida. Tente perguntar de um jeito diferente."

Revise a consulta de pesquisa de UDM gerada.
(Opcional) Ajuste o período da pesquisa.
Clique em Executar pesquisa.
Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.
Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:
- Se a consulta retornar os resultados esperados, clique no ícone "Gostei".
- Se a consulta não retornar os resultados esperados, clique no ícone "Não gostei".
- (Opcional) Inclua mais detalhes no campo Feedback.
- Para enviar uma consulta de pesquisa revisada no UDM que ajude a melhorar os resultados, siga estas etapas:
- Edite a consulta de pesquisa de UDM gerada.
- Clique em Enviar. Se você não reescreveu a consulta, o texto na caixa de diálogo solicitará que você a edite.
- Clique em Enviar. A consulta de pesquisa revisada do UDM será removida dos dados confidenciais e usada para melhorar os resultados.

Usar linguagem natural para gerar regras

Depois de gerar uma consulta de pesquisa no UDM usando a pesquisa em linguagem natural, é possível gerar uma regra do Chronicle com as informações de segurança e as informações de regra correspondentes incluídas seguindo estas etapas:

Use a linguagem natural para gerar uma pesquisa de UDM.

Por exemplo, a instrução de linguagem natural Find all logins from bruce-monroe é convertida no metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe" da pesquisa de UDM.

Clique em Gerar regra.

Por exemplo, usando a pesquisa de UDM gerada anteriormente, o Chronicle gera a seguinte regra:

rule logins_from_bruce_monroe {
  meta:
    author = "Chronicle Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

Revise a regra YARA-L gerada, o nome da regra e os outros metadados incluídos nela clicando em Abrir no editor. Esse recurso só pode ser usado para criar regras de evento único.
Para ativar a regra, clique em Salvar nova regra no editor de regras. A regra aparece na lista de regras à esquerda. Mantenha o ponteiro do mouse sobre a regra, clique no ícone de menu e alterne a opção Live Rule para a direita (verde). Para mais informações, consulte Gerenciar regras usando o Editor de regras.

Enviar feedback sobre a regra gerada

É possível enviar feedback sobre a regra gerada. Esse feedback é usado para melhorar a precisão do recurso de geração de regras.

Para enviar feedback sobre a regra, siga estas etapas:

Clique em Feedback sobre a regra.
- Se a sintaxe da regra tiver sido gerada conforme esperado, clique no ícone "Gostei".
- Se a sintaxe da regra não for a esperada, clique no ícone "Não gostei".
- (Opcional) Inclua mais detalhes no campo Conte-nos mais.
Clique em Enviar feedback.

O widget de investigação de IA analisa todo o caso (alertas, eventos e entidades) e fornece um resumo de caso gerado por IA de quanta atenção o caso pode exigir. O widget também resume os dados dos alertas para entender melhor a ameaça e fornece recomendações de próximas etapas a serem seguidas para uma remediação eficaz.

A classificação, o resumo e as recomendações incluem a opção de deixar feedback sobre o nível de precisão e utilidade da IA. O feedback é usado para nos ajudar a melhorar a precisão.

O widget de investigação de IA é exibido na guia Visão geral do caso na página Casos. Se houver apenas um alerta no caso, você precisará clicar na guia Visão geral do caso para ver esse widget.

O widget de investigação de IA não é exibido para casos criados manualmente ou que solicitam casos iniciados no Seu Workdesk.

Envie feedback sobre o widget de investigação de IA

Se os resultados forem aceitáveis, clique no ícone "Gostei". Você pode adicionar mais informações no campo Feedback adicional.
Se os resultados não forem os esperados, clique no ícone "Não gostei". Selecione uma das opções fornecidas e adicione qualquer outro feedback que você considere relevante.
Clique em Enviar feedback.

Remover o widget de investigação de IA

O widget de investigação de IA está incluído na visualização padrão.

Para remover o widget de investigação de IA da visualização padrão, faça o seguinte:

Acesse Configurações de SOAR > Dados de caso > Visualizações.
Selecione Visualização de caso padrão no painel lateral esquerdo.
Clique no ícone Excluir no widget de investigação de IA.