此页面由 Cloud Translation API 翻译。

Google SecOps 中的 Gemini

如需详细了解 Gemini、大语言模型和 Responsible AI，请参阅适用于代码 .你还可以参阅 Gemini 文档版本说明。

适用范围：Google SecOps 中的 Gemini 。Gemini 数据的处理方式如下区域：us-central1、asia-southeast1 和 europe-west1。客户请求会被路由到最近的区域进行处理。
价格：如需了解价格，请参阅 Google Security Operations 价格
Gemini 安全性：有关 Gemini 安全性的信息功能，请参阅利用生成式 AI 确保安全
数据治理：了解 Gemini 数据治理请参阅Google Cloud 专用 Gemini 如何使用您的数据
认证：如需了解 Gemini 认证，请参阅 Gemini 认证
SecLM 平台：Google SecOps 专用 Gemini 使用各种大型语言模型，包括专用 Sec-PaLM 模型。Sec-PaLM 基于数据（包括安全数据）进行训练，博客、威胁情报报告、YARA 和 YARA-L 检测规则、SOAR 策略方案、恶意软件脚本、漏洞信息、产品文档以及许多其他专用数据集。如需更多信息请参阅利用生成式 AI 确保安全

以下部分提供了有关由 Gemini 提供支持的 Google SecOps 功能：

使用 Gemini 调查安全问题
生成 UDM 搜索查询
使用 Gemini 生成 YARA-L 规则
协助解决威胁情报和安全问题
使用 AI 调查微件
使用 Gemini 创建策略方案

使用 Gemini 调查安全问题

Gemini 提供调查协助，可通过以下链接访问： Google SecOps 的任何部分。Gemini 可以协助您通过为以下方面提供支持来协助我们开展调查：

搜索：Gemini 可帮助您构建、修改和执行搜索使用自然语言提示来针对相关事件进行定位。 Gemini 还可以帮助您迭代搜索、调整范围、扩大时间范围并添加过滤条件。你可以完成所有这些任务使用 Gemini 窗格中输入的自然语言提示。
搜索摘要：Gemini 可以自动总结搜索内容每次执行搜索和后续过滤操作后看到的结果。通过 Gemini 窗格以简洁明了的方式总结了搜索结果易于理解的格式。Gemini 还可以回答与上下文相关的跟进问题与所提供摘要相关的问题。
规则生成：Gemini 可以根据它生成的 UDM 搜索查询。
安全问题和威胁情报分析：Gemini 可以回答常见的安全领域问题。此外，Gemini 可以回答特定的威胁情报问题并提供总结威胁行为者、IOC 和其他威胁情报主题。
突发事件补救：根据返回的事件信息， Gemini 可以提供后续操作建议。系统可能还会显示建议在过滤搜索结果之后获得访问权限。例如，Gemini 可能会向您建议查看针对特定主机或用户的相关提醒/规则或过滤条件。

生成 UDM 搜索查询

您可以使用 Gemini 根据 Gemini 窗格或 UDM 搜索时。

为获得最佳效果，Google 建议您使用 Gemini 窗格来生成搜索查询。

在 Gemini 窗格中生成 UDM 搜索查询
在 UDM 搜索中生成 UDM 搜索查询

使用 Gemini 窗格生成 UDM 搜索查询

登录 Google SecOps，并通过以下方式打开 Gemini 窗格：点击 Gemini 徽标
输入自然语言提示，然后按 Enter。自然语言提示必须使用英语。

图 1：打开 Gemini 窗格并输入提示
查看生成的 UDM 搜索查询。如果生成的搜索查询符合根据您的要求，点击运行搜索。
Gemini 会生成结果摘要以及建议的操作。
输入有关所提供的搜索结果的自然语言后续问题以继续调查。

搜索提示和后续问题示例

Show me all failed logins for the last 3 days
- Generate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.n
- Who is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
- List all of the domains in the results set
- What types of events were returned?
Show me events from my firewall in the last 24 hours
- What were the 16 unique hostnames in the results set?
- What were the 9 unique IPs associated with the results set?

使用自然语言生成 UDM 搜索查询

借助 Google SecOps 搜索功能，您可以输入自然密码， Gemini 可以将您的数据翻译成可针对 UDM 事件运行的 UDM 搜索查询。

为了获得更好的结果，Google 建议您使用 Gemini 窗格生成搜索查询。

若要使用自然语言搜索来创建 UDM 搜索查询，请先完成操作步骤：

登录 Google SecOps。
前往搜索。
在自然语言查询栏中输入搜索语句，然后点击 生成查询。您必须用英语进行搜索。

图 2：输入自然语言搜索条件，然后点击 Generate Query

下面列举了一些示例来说明可能会生成有用的 UDM 搜索：
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"

如果搜索语句包含基于时间的字词，则时间选择器为自动调整以匹配度。例如，这适用于以下搜索：

yesterday
within the last 5 days
on Jan 1, 2023

如果无法解读搜索语句，您会看到以下内容消息：
“抱歉，无法生成有效查询。试着问。”

查看生成的 UDM 搜索查询。
（可选）调整搜索时间范围。
点击运行搜索。
查看搜索结果，确定相应事件是否存在。如有需要请使用搜索过滤条件来缩小结果列表范围。
使用 Generated Query 反馈提供有关该查询的反馈图标。从下列选项中选择一项：
- 如果查询返回预期结果，请点击拇指朝上图标。
- 如果查询没有返回预期结果，请点击“不喜欢” 图标。
- （可选）在 Feedback（反馈）字段中添加其他详细信息。
- 如需提交经过修改的 UDM 搜索查询，以帮助改进结果，请执行以下操作：
- 修改生成的 UDM 搜索查询。
- 点击提交。如果您没有重新编写查询，则对话框中的文本提示您修改查询
- 点击提交。系统会对修订后的 UDM 搜索查询进行净化敏感数据，并用于改进结果。

使用 Gemini 生成 YARA-L 规则

使用自然语言提示生成规则（例如 create a rule to detect logins from bruce-monroe）。按 Enter 键。 Gemini 会生成规则，用于检测你搜索过的行为。

点击在规则编辑器中打开，在“规则”中查看和修改新规则编辑器。使用此功能时，您只能创建单一事件规则。

例如，使用前面的规则提示，Gemini 以下规则：

rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

如需启用该规则，请点击保存新规则。规则会显示在列表中左侧显示一组规则将指针悬停在规则上，点击菜单图标，并将 Live Rule 选项切换为右侧（绿色）。有关信息，请参阅使用规则管理规则编辑器。

针对生成的规则提供反馈

您可以针对生成的规则提供反馈。此反馈会用于改进服务规则生成功能的准确性

如果规则语法按预期生成，请点击拇指朝上图标。
如果规则语法不符合预期，请点击“不喜欢”图标。选择最能说明您在生成的规则语法。（可选）在描述反馈字段。点击提交反馈。

协助解决威胁情报和安全问题

Gemini 可以回答与威胁情报相关的问题，威胁行为者及其关联及其行为模式等主题，包括有关 MITRE TTP 的问题。

威胁情报问题仅限于您的可用信息 Google SecOps 产品版本。回答问题可能因产品版本而异。具体来说，威胁除企业 Plus 版外，其他产品版本中的智能数据限制更大因为他们不具备对 Mandiant 和 VirusTotal 的完整访问权限。

在 Gemini 窗格中输入你的问题。

请输入威胁情报问题。例如：What is UNC3782?
查看结果。
让 Gemini 创建要查找的查询，以便进行进一步调查威胁情报报告中提及的特定 IOC。威胁情报信息受制于 Google SecOps 许可。

示例：威胁情报和安全问题

Help me hunt for APT 44
Are there any known attacker tools that use RDP to brute force logins?
Is 103.224.80.44 suspicious?
What types of attacks may be associated with CVE-2020-14145?
Can you provide details around buffer overflow and how it can affect the target machine?

Gemini 和 MITRE

MITRE ATT&CK® 矩阵是一个知识库，记录了现实世界网络对手使用的 TTP。MITRE 矩阵有助于了解您的组织可能会如何作为攻击目标提供了用于讨论攻击的标准化语法。

你可以向 Gemini 询问有关 MITRE 策略、技术和程序 (TTP) 并接收与上下文相关的回答，包括以下 MITRE 详细信息：

战术
分析法
子分析法
检测建议
过程
缓解措施

Gemini 会返回精选检测的链接 Google SecOps 允许每个 TTP 使用网络。您也可以问 Gemini 的跟进问题，有助于对 MITRE TTP 进行更深入的分析以及这对您的企业可能有何影响。

删除聊天会话

您可以删除聊天会话，也可以删除所有聊天会话。 Gemini 以私密方式保留所有用户对话记录，并遵循 Google Cloud 的Responsible AI 做法 .用户历史记录绝不会用于训练模型。

在 Gemini 窗格中，从右上角。
点击右下角的删除聊天对话即可删除当前对话会话。
（可选）如要删除所有聊天会话，请选择删除所有聊天会话 然后点击删除所有聊天。

提供反馈

你可以针对 Gemini AI 生成的回答提供反馈调查协助。您的反馈有助于 Google 改进此功能和 Gemini 生成的输出内容。

在 Gemini 窗格中，选择“我喜欢”或“不喜欢”图标。
（可选）如果您选择“不喜欢”，可以添加其他反馈选择这个评分的原因
点击发送反馈。

AI 调查 widget 会监控整个支持请求（提醒、事件和实体），并提供 AI 生成的案例摘要，说明可能需要几个步骤该微件还会汇总提醒数据，并针对威胁的后续措施提供建议，以进行有效修复。

分类、摘要和建议都包含一个有关 AI 准确性和实用性水平的反馈。根据反馈帮助我们提高准确性。

AI 调查微件显示在支持请求概览标签页的 支持请求页面。如果案例中只有一个提醒，您需要点击 Case Overview（案例概览）标签页，查看此 widget。

对于手动创建的支持请求，系统不会显示 AI 调查微件或请求由 Your Workdesk 发起的支持请求。

针对 AI 调查 widget 提供反馈

如果结果可以接受，请点击拇指朝上图标。您可以添加更多信息。
如果结果与预期不符，请点击“不喜欢”图标。请选择一项提供的选项，并添加您认为的任何其他反馈相关性。
点击发送反馈。

移除 AI 调查微件

AI 调查 widget 包含在默认视图中。

如需从默认视图中移除 AI 调查微件，请执行以下操作：

依次转到 SOAR 设置 > 案例数据 > 视图。
从左侧面板中选择 Default Case View（默认案例视图）。
点击 AI 调查微件上的删除图标。

使用 Gemini 创建策略方案

Gemini 可帮助您简化创建策略方案的流程具体做法是将提示转变为实用的策略方案，安全问题。

使用提示创建 playbook

依次转到响应 > playbook。
选择添加添加图标并创建新的 playbook。
在新的 playbook 窗格中，选择 Create playbook using AI。
在提示窗格中，输入全面且结构合理的提示英语。如需详细了解如何编写 playbook 提示，请参阅撰写有关创建 Gemini playbook 的提示。
点击 Generate Playbook（生成 Playbook）。
此时会显示一个预览窗格，其中包含生成的 playbook。如果您想使更改，点击 <ph type="x-smartling-placeholder"></ph> 修改并优化提示。
点击创建 playbook。
如果您想在主窗格中显示 playbook 后对其进行更改，选择使用 AI 创建 playbook 并重写提示。 Gemini 将为你创建一个新的 playbook。

针对 Gemini 创建的 playbook 提供反馈

如果 playbook 结果不错，请点击拇指朝上图标。您可以在其他反馈字段中添加更多信息。
如果 playbook 结果与预期不符，请点击“不喜欢”图标。从提供的选项中选择一个，然后添加其他任何需要反馈的

编写有关创建 Gemini playbook 的提示

Gemini Playbook 功能旨在根据您提供的自然语言输入生成的图像。您需要输入 Gemini Playbook 提示框中的结构完善的提示，然后它会生成 Google SecOps 手册，其中包括触发器、操作和条件。策略方案的质量受提示的准确性影响。结构合理的提示，包含清晰易懂的提示特定细节可以生成更有效的策略方案。

使用 Gemini 创建策略方案的功能

您可以使用 Gemini Playbook 创建功能执行以下操作：

创建包含以下项的新 playbook：操作、触发器、流。
使用所有已下载的商业集成。
将具体操作和集成名称作为策略方案步骤添加到提示中。
了解用于描述未提供特定集成和名称的流程的提示。
使用 SOAR 响应功能支持的条件流。
检测此 playbook 需要哪个触发器。

您无法使用提示执行以下操作：

更新现有 playbook。
创建或使用 playbook 代码块。
使用自定义集成。
在 playbook 中使用并行操作。
使用尚未下载和安装的集成。
使用集成实例。

请注意，在提示中使用参数不一定总能生成正确的操作。

构建有效提示

每个提示都必须包含以下组成部分：

目标：要生成的内容
触发器：如何触发 playbook
playbook 操作：作用
条件：条件逻辑

使用集成名称的提示示例

以下示例展示了使用集成名称且结构合理的提示：

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

此提示包含之前定义的四个组成部分：

明确的目标：具有明确的目标，即处理恶意软件提醒。
特定触发器：启用基于特定事件。收到恶意软件警告
Playbook 操作：使用来自第三方集成 (VirusTotal) 的数据增强 Google Security Operations SOAR 实体。
条件响应：指定符合以下条件的条件根据之前的结果。例如，如果发现文件哈希值是恶意文件，应该隔离该文件

使用流（而不是集成名称）的提示示例

以下示例显示了一个结构合理的提示，但对流程进行了说明而无需提及具体的集成名称。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini playbook 创建功能能够操作描述（丰富文件哈希值），并浏览已安装的找到最适合此操作的集成。

Gemini playbook 创建功能只能从集成中进行选择已安装的应用。

自定义触发器

除了使用标准触发器之外，您还可以在 playbook 中自定义触发器提示。您可以为以下对象指定占位符：

提醒
事件
实体
环境
自由文本

在以下示例中，使用自由文本创建执行的触发器查看可疑电子邮件文件夹中的所有电子邮件（这些电子邮件除外）电子邮件主题行中包含字词 [TEST] 的邮件。

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

撰写提示的技巧

最佳实践是使用特定的集成名称：仅指定集成已经在您的环境中安装和配置。
利用 Gemini 专精领域认证：Gemini 手册创建功能专门用于根据提示构建策略方案与事件响应、威胁检测和自动化安全工作流保持一致。
详细说明目的、触发条件、操作和条件。
添加明确的目标：先制定明确的目标，例如管理恶意软件提醒，并指定可激活 playbook 的触发器。
添加操作条件，例如丰富数据或隔离文件进行自动化测试。这种清晰明确且具体明确，增强了本指南的效率和自动化潜力。

结构合理的提示示例

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.