Google SecOps의 Gemini
Gemini, 대규모 언어 모델, 책임감 있는 AI에 대한 자세한 내용은 코드용 Gemini를 참조하세요. Gemini 문서와 출시 노트도 참조하세요.
가용성: Google SecOps의 Gemini는 전 세계에서 사용할 수 있습니다. Gemini 데이터는
us-central1
,asia-southeast1
,europe-west1
리전에서 처리됩니다. 고객 요청은 처리를 위해 가장 가까운 리전으로 라우팅됩니다.가격 책정: 가격 책정에 대한 자세한 내용은 Google Security Operations pricing을 참조하세요.
Gemini 보안: Google Cloud의 Gemini 보안 기능에 대한 자세한 내용은 생성형 AI를 사용한 보안을 참조하세요
데이터 거버넌스: Gemini 데이터 거버넌스 관행에 대한 자세한 내용은 Google Cloud용 Gemini에서 데이터를 사용하는 방법을 참조하세요.
인증: Gemini 인증에 대한 자세한 내용은 Gemini 인증을 참조하세요.
SecLM 플랫폼: Google SecOps용 Gemini는 Sec-PaLM 모델을 포함하여 SecLM 플랫폼을 기반으로 하여 다양한 대규모 언어 모델을 사용합니다. Sec-PaLM은 보안 블로그, 위협 인텔리전스 보고서, YARA 및 YARA-L 감지 규칙, SOAR 플레이북, 멀웨어 스크립트, 취약점 정보, 제품 문서, 기타 여러 특수 데이터 세트를 포함한 데이터로 학습됩니다. 자세한 내용은 생성형 AI를 사용한 보안을 참조하세요.
다음 섹션에서는 Gemini에서 제공하는 Google SecOps 기능에 대한 문서를 제공합니다.
Gemini를 사용하여 보안 문제 조사
Gemini는 Google SecOps의 모든 부분에서 액세스할 수 있는 조사 지원을 제공합니다. Gemini는 다음 지원을 제공하여 조사를 지원할 수 있습니다.
- 검색: Gemini는 자연어 프롬프트를 사용하여 관련 이벤트를 타겟팅하는 검색을 빌드, 수정, 실행하는 데 도움이 됩니다. 또한 Gemini는 검색을 반복하고 범위를 조정하고 기간을 확장하며 필터를 추가하는 데 도움이 됩니다. Gemini 창에 입력된 자연어 프롬프트를 사용하여 이러한 모든 태스크를 완료할 수 있습니다.
- 검색 요약: Gemini는 모든 검색과 후속 필터 작업 후 검색 결과를 자동으로 요약할 수 있습니다. 검색 결과는 Gemini 창에 간결하고 이해하기 쉬운 형식으로 요약됩니다. 또한 Gemini는 제공하는 요약에 대한 상황별 후속 질문에 답할 수 있습니다.
- 규칙 생성: Gemini는 생성되는 UDM 검색어에서 새로운 YARA-L 규칙을 만들 수 있습니다.
- 보안 질문 및 위협 인텔리전스 분석: Gemini는 일반적인 보안 도메인 질문에 답할 수 있습니다. 또한 Gemini는 특정 위협 인텔리전스 질문에 답하고 위협 행위자, IOC, 기타 위협 인텔리전스 주제에 대한 요약을 제공할 수 있습니다.
- 이슈 해결: Gemini는 반환된 이벤트 정보를 기반으로 후속 단계를 제안할 수 있습니다. 검색 결과를 필터링하면 제안이 나타날 수도 있습니다. 예를 들어 Gemini는 관련 알림이나 규칙 검토 또는 특정 호스트나 사용자에 대한 필터링을 제안할 수 있습니다.
UDM 검색어 생성
Gemini를 사용하여 Gemini 창에서 또는 UDM 검색을 사용할 때 UDM 검색어를 생성할 수 있습니다.
최상의 결과를 얻으려면 Gemini 창을 사용하여 검색어를 생성하는 것이 좋습니다.
Gemini 창을 사용하여 UDM 검색어 생성
- Google SecOps에 로그인하고 Gemini 로고를 클릭하여 Gemini 창을 엽니다.
자연어 프롬프트를 입력하고 Enter 키를 누릅니다. 자연어 프롬프트는 영어여야 합니다.
그림 1: Gemini 창 열기 및 프롬프트 입력
생성된 UDM 검색어를 검토합니다. 생성된 검색어가 요구사항을 충족하면 검색 실행을 클릭합니다.
Gemini에서 추천 작업과 함께 결과 요약을 생성합니다.
Gemini에서 제공하는 검색 결과에 대한 자연어 후속 질문을 입력하여 조사를 계속합니다.
검색 프롬프트 및 후속 질문 예시
Show me all failed logins for the last 3 days
Generate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.n
Who is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
List all of the domains in the results set
What types of events were returned?
Show me events from my firewall in the last 24 hours
What were the 16 unique hostnames in the results set?
What were the 9 unique IPs associated with the results set?
자연어를 사용하여 UDM 검색어 생성
Google SecOps 검색 기능을 사용하면 데이터에 대한 자연어 쿼리를 입력할 수 있으며 Gemini는 이를 UDM 이벤트에 대해 실행할 수 있는 UDM 검색어로 변환할 수 있습니다.
더 나은 결과를 얻으려면 Gemini 창을 사용하여 검색어를 생성하는 것이 좋습니다.
자연어 검색을 사용하여 UDM 검색어를 만들려면 다음 단계를 완료합니다.
- Google SecOps에 로그인합니다.
- 검색으로 이동합니다.
자연어 쿼리 표시줄에 검색 문을 입력하고 쿼리 생성을 클릭합니다. 검색 시 영어를 사용해야 합니다.
그림 2: 자연어 검색을 입력하고 쿼리 생성 클릭
다음은 유용한 UDM 검색을 생성할 수 있는 문의 예시입니다.
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"
- yesterday
- within the last 5 days
- on Jan 1, 2023
생성된 UDM 검색어를 검토합니다.
(선택사항) 검색 시간 범위를 조정합니다.
검색 실행을 클릭합니다.
검색 결과를 검토하여 이벤트가 있는지 확인합니다. 필요한 경우 검색 필터를 사용하여 결과 목록 범위를 좁힙니다.
생성된 쿼리 의견 아이콘을 사용하여 쿼리에 대한 의견을 제공합니다. 다음 중 하나를 선택합니다.
- 쿼리에서 예상된 결과를 반환하면 좋아요 아이콘을 클릭합니다.
- 쿼리에서 예상된 결과를 반환하지 않으면 '싫어요' 아이콘을 클릭합니다.
- (선택사항) 의견 필드에 추가 세부정보를 포함합니다.
- 결과를 개선하는 데 도움이 되는 수정된 UDM 검색어를 제출하려면 다음 안내를 따르세요.
- 생성된 UDM 검색어를 수정합니다.
- 제출을 클릭합니다. 쿼리를 다시 작성하지 않았으면 대화상자의 텍스트에 쿼리로 수정하라는 메시지가 표시됩니다.
- 제출을 클릭합니다. 수정된 UDM 검색어는 민감한 정보를 정리하고 결과를 개선하는 데 사용됩니다.
검색 문법에 시간 기반 검색어가 포함된 경우 시간 선택도구가 자동으로 일치하도록 조정됩니다. 예를 들어 다음 검색에 적용됩니다.
검색 문을 해석할 수 없는 경우에는 다음 메시지가 표시됩니다.
'유효한 쿼리를 생성할 수 없습니다. 다른 방식으로 질문해 보세요.'
Gemini를 사용하여 YARA-L 규칙 생성
자연어 프롬프트를 사용하여 규칙을 생성하고(예:
create a rule to detect logins from bruce-monroe
) Enter 키를 누릅니다. Gemini는 Gemini 창에서 검색한 동작을 감지하는 규칙을 생성합니다.규칙 편집기에서 열기를 클릭하여 규칙 편집기에서 새 규칙을 보고 수정합니다. 이 기능을 사용하여 단일 이벤트 규칙만 만들 수 있습니다.
예를 들어 Gemini는 이전 규칙 프롬프트를 사용하여 다음 규칙을 생성합니다.
rule logins_from_bruce_monroe { meta: author = "Google Gemini" description = "Detect logins from bruce-monroe" events: $e.metadata.event_type = "USER_LOGIN" $e.principal.user.userid = "bruce-monroe" outcome: $principal_ip = array($e.principal.ip) $target_ip = array($e.target.ip) $target_hostname = $e.target.hostname $action = array($e.security_result.action) condition: $e }
규칙을 활성화하려면 새 규칙 저장을 클릭합니다. 규칙이 왼쪽의 규칙 목록에 표시됩니다. 규칙 위에 마우스 포인터를 올려놓고 메뉴 아이콘을 클릭한 다음 실시간 규칙 옵션을 오른쪽(녹색)으로 전환합니다. 자세한 내용은 규칙 편집기를 사용하여 규칙 관리를 참조하세요.
생성된 규칙에 대한 의견 제공
생성된 규칙에 대한 의견을 제공할 수 있습니다. 이 피드백은 규칙 생성 기능 정확성을 향상시키는 데 사용됩니다.
- 규칙 문법이 예상대로 생성된 경우 좋아요 아이콘을 클릭합니다.
- 규칙 문법이 예상과 다르면 싫어요 아이콘을 클릭합니다. 생성된 규칙 문법에서 발견한 문제를 가장 잘 나타내는 옵션을 선택합니다. (선택사항) 의견 설명 필드에 추가 세부정보를 포함합니다. 의견 보내기를 클릭합니다.
위협 인텔리전스 및 보안 질문 지원
Gemini는 MITRE TTP에 대한 질문을 포함하여 위협 행위자, 연관 관계, 행동 패턴과 같은 주제에 대한 위협 인텔리전스와 관련된 질문에 답변할 수 있습니다.
위협 인텔리전스 관련 질문은 Google SecOps 제품 버전에서 사용할 수 있는 정보로 제한됩니다. 질문에 대한 답변은 제품 버전에 따라 다를 수 있습니다. 특히 위협 인텔리전스 데이터는 Mandiant 및 VirusTotal에 대한 전체 액세스 권한이 포함되지 않으므로 Enterprise Plus 이외의 제품 버전에서 더 제한적입니다.
Gemini 창에 질문을 입력합니다.
위협 인텔리전스 질문을 입력합니다. 예:
What is UNC3782?
결과를 검토합니다.
Gemini에 위협 인텔리전스 보고서에서 참조된 특정 IOC를 찾는 쿼리를 만들도록 요청하여 추가로 조사합니다. 위협 인텔리전스 정보는 Google SecOps 라이선스에서 사용 가능한 사용 권한에 따라 달라집니다.
예시: 위협 인텔리전스 및 보안 질문
Help me hunt for APT 44
Are there any known attacker tools that use RDP to brute force logins?
Is 103.224.80.44 suspicious?
What types of attacks may be associated with CVE-2020-14145?
Can you provide details around buffer overflow and how it can affect the target machine?
Gemini 및 MITRE
MITRE ATT&CK® Matrix는 실제 사이버 공격자가 사용하는 TTP를 문서화하는 기술 자료입니다. MITRE 매트릭스는 조직이 타겟팅되는 방식을 이해하고 공격을 논의하기 위한 표준화된 문법을 제공합니다.
Gemini에 MITRE 전략, 기법, 절차(TTP)에 대해 질문하고 다음 MITRE 세부정보가 포함된 문맥상 관련성이 높은 답변을 받을 수 있습니다.
- 전술
- 기법
- 하위 기법
- 감지 추천
- 프러시저
- 완화 조치
Gemini는 Google SecOps에서 각 TTP에 대해 사용할 수 있는 선별된 감지 항목에 대한 링크를 반환합니다. 또한 Gemini에 후속 질문을 통해 MITRE TTP에 대한 추가 정보와 기업에 미치는 영향을 파악할 수 있습니다.
채팅 세션 삭제
채팅 대화 세션을 삭제하거나 모든 채팅 세션을 삭제할 수 있습니다. Gemini는 모든 사용자 대화 기록을 비공개로 유지하고 Google Cloud의 책임감 있는 AI 관행을 준수합니다. 사용자 기록은 모델을 학습시키는 데 사용되지 않습니다.
- Gemini 창의 오른쪽 상단 메뉴에서 채팅 삭제를 선택합니다.
- 오른쪽 하단의 채팅 삭제를 클릭하여 현재 채팅 세션을 삭제합니다.
- (선택사항) 모든 채팅 세션을 삭제하려면 모든 채팅 세션 삭제를 선택한 후 모든 채팅 삭제를 클릭합니다.
의견 제공
Gemini AI 조사 지원으로 생성된 응답에 의견을 제공할 수 있습니다. 의견은 Google에서 Gemini에서 생성한 기능과 출력을 개선하는 데 도움이 됩니다.
- Gemini 창에서 좋아요 또는 싫어요 아이콘을 선택합니다.
- (선택사항) 싫어요를 선택한 경우 평점을 선택한 이유에 대한 의견을 추가할 수 있습니다.
- 의견 보내기를 클릭합니다.
AI 조사 위젯
AI 조사 위젯은 전체 케이스(알림, 이벤트, 항목)를 확인하고 케이스에 필요할 수 있는 어텐션 양에 대한 AI 생성 케이스 요약을 제공합니다. 또한 이 위젯은 위협을 더 잘 이해할 수 있도록 알림 데이터를 요약하고 효과적인 해결을 위해 수행해야 하는 다음 단계에 대한 권장사항을 제공합니다.
분류, 요약, 권장사항 모두 AI 정확성 및 유용성 수준에 대한 의견을 남기는 옵션이 포함되어 있습니다. 의견은 정확성을 향상시키는 데 사용됩니다.
케이스 페이지의 케이스 개요 탭에 AI 조사 위젯이 표시됩니다. 케이스에 알림 하나만 있는 경우 케이스 개요 탭을 클릭하여 이 위젯을 확인해야 합니다.
수동으로 생성된 케이스나 내 Workdesk에서 시작된 요청 케이스에는 AI 조사 위젯이 표시되지 않습니다.
AI 조사 위젯에 대한 의견 제공
결과가 만족스러우면 좋아요 아이콘을 클릭합니다. 추가 의견 필드에 더 많은 정보를 추가할 수 있습니다.
결과가 예상과 다르면 싫어요 아이콘을 클릭합니다. 제공된 옵션 중 하나를 선택하고 관련 있는 다른 의견을 추가합니다.
의견 보내기를 클릭합니다.
AI 조사 위젯 삭제
기본 뷰에는 AI 조사 위젯이 포함됩니다.
기본 뷰에서 AI 조사 위젯을 삭제하려면 다음을 수행합니다.
SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
왼쪽 측면 패널에서 기본 케이스 뷰를 선택합니다.
AI 조사 위젯에서 삭제 아이콘을 클릭합니다.
Gemini로 플레이북 만들기
Gemini는 프롬프트를 보안 문제 해결에 도움이 되는 기능 플레이북으로 전환하여 플레이북 생성 프로세스를 간소화하는 데 도움을 줄 수 있습니다.
프롬프트를 사용하여 플레이북 만들기
- 응답 > 플레이북으로 이동합니다.
- add 추가 아이콘을 선택하고 새 플레이북을 만듭니다.
- 새 플레이북 창에서 AI를 사용하여 플레이북 만들기를 선택합니다.
- 프롬프트 창에서 포괄적이고 잘 구조화된 프롬프트를 영어로 입력합니다. 플레이북 프롬프트를 작성하는 방법에 대한 자세한 내용은 Gemini 플레이북 만들기 프롬프트 작성을 참조하세요.
- 플레이북 생성을 클릭합니다.
- 생성된 플레이북이 포함된 미리보기 창이 표시됩니다. 변경하려면 수정을 클릭하고 프롬프트를 상세검색합니다.
- 플레이북 만들기를 클릭합니다.
- 기본 창에 표시된 플레이북을 변경하려면 AI를 사용하여 플레이북 만들기를 선택하고 프롬프트를 다시 작성합니다. Gemini에서 새로운 플레이북을 만듭니다.
Gemini에서 만든 플레이북에 대한 의견 제공
- 플레이북 결과가 양호하면 좋아요 아이콘을 클릭합니다. 추가 의견 필드에 더 많은 정보를 추가할 수 있습니다.
- 플레이북 결과가 예상과 다르면 싫어요 아이콘을 클릭합니다. 제공된 옵션 중 하나를 선택하고 관련 있는 다른 의견을 추가합니다.
Gemini 플레이북 생성을 위한 프롬프트 작성
Gemini 플레이북 기능은 사용자가 제공한 자연어 입력을 기반으로 플레이북을 만들도록 설계되었습니다. Gemini 플레이북 프롬프트 상자에 명확하고 잘 구조화된 프롬프트를 입력하면 트리거, 작업, 조건이 포함된 Google SecOps 플레이북이 생성됩니다. 플레이북 품질은 제공된 프롬프트의 정확성에 영향을 받습니다. 명확하고 구체적인 세부정보가 포함된 잘 구성된 프롬프트가 더 효과적인 플레이북을 생성합니다.
Gemini를 사용한 플레이북 생성 기능
Gemini 플레이북 만들기 기능을 사용하여 다음을 수행할 수 있습니다.
- 작업, 트리거, 흐름 항목으로 새 플레이북을 만듭니다.
- 다운로드한 상용 통합을 모두 사용합니다.
- 프롬프트에 특정 작업 및 통합 이름을 플레이북 단계로 입력합니다.
- 특정 통합과 이름이 지정되지 않은 흐름을 설명하는 프롬프트를 이해합니다.
- SOAR 응답 기능에서 지원되는 대로 조건 흐름을 사용합니다.
- 플레이북에 필요한 트리거를 감지합니다.
프롬프트를 사용하여 다음을 수행할 수 없습니다.
- 기존 플레이북을 업데이트합니다.
- 플레이북 블록을 만들거나 사용합니다.
- 커스텀 통합을 사용합니다.
- 플레이북에서 동시 작업을 사용합니다.
- 다운로드 및 설치되지 않은 통합을 사용합니다.
- 통합 인스턴스를 사용합니다.
프롬프트에서 매개변수를 사용한다고 해서 항상 올바른 작업이 사용되는 것은 아닙니다.
효과적인 프롬프트 작성
각 프롬프트에는 다음 구성요소가 포함되어야 합니다.
- 목표: 생성할 항목
- 트리거: 플레이북이 트리거되는 방법
- 플레이북 작업: 수행할 작업
- 조건: 조건부 로직
통합 이름을 사용하는 프롬프트의 예시
다음 예시는 통합 이름을 사용하는 잘 구성된 프롬프트를 보여줍니다.
Write a playbook for malware alerts. The playbook should take the file hash
from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine
the file.
이 프롬프트에는 앞에서 정의한 4가지 구성요소가 포함됩니다.
- 명확한 목표: 멀웨어 알림을 처리하는 정의된 목표가 있습니다.
- 특정 트리거: 활성화는 멀웨어 알림을 수신하는 특정 이벤트를 기반으로 합니다.
- 플레이북 작업: 서드 파티 통합(VirusTotal)의 데이터로 Google Security Operations SOAR 항목을 개선합니다.
- 조건부 응답: 이전 결과를 기반으로 하는 조건을 지정합니다. 예를 들어 파일 해시가 악성인 것으로 확인되면 파일을 격리해야 합니다.
통합 이름 대신 흐름을 사용하는 프롬프트의 예시
다음 예시는 잘 구성된 프롬프트를 보여주지만 특정 통합 이름을 언급하지 않고 흐름을 설명합니다.
Write a playbook for malware alerts. The playbook should take the file hash
from the alert and enrich it. If the file hash is malicious, quarantine the file.
Gemini 플레이북 만들기 기능은 이러한 작업에 대한 설명을 수행하여 파일 해시를 보강하고 설치된 통합을 살펴보고 이 작업에 가장 적합한 통합을 찾을 수 있습니다.
Gemini 플레이북 만들기 기능은 환경에 이미 설치된 통합에서만 선택할 수 있습니다.
맞춤설정된 트리거
표준 트리거를 사용하는 것 외에도 플레이북 프롬프트에서 트리거를 맞춤설정할 수 있습니다. 다음 객체의 자리표시자를 지정할 수 있습니다.
- 알림
- 이벤트
- 항목
- 환경
- 자유 텍스트
다음 예에서는 이메일 제목에 [TEST]라는 단어가 포함된 이메일을 제외한 의심스러운 이메일 폴더의 모든 이메일에 대해 실행되는 트리거를 만들기 위해 자유 텍스트를 사용합니다.
Write a phishing playbook that will be executed for all emails from the
'suspicious email' folder ([Event.email_folder]) that the subject
does not contain '[TEST]' ([Event.subject]). The playbook should take the
file hash and URL from the alert and enrich it with VirusTotal. If the file hash
is malicious, quarantine the file. if the URL is malicious, block it in the firewall.
프롬프트 작성 도움말
- 특정 통합 이름을 사용하는 것이 좋습니다. 환경 내에 이미 설치 및 구성된 경우에만 통합을 지정하세요.
- Gemini 전문 분야 활용: Gemini 플레이북 생성 기능은 특히 이슈 대응, 위협 감지, 자동화된 보안 워크플로에 맞는 프롬프트를 기반으로 플레이북을 빌드하도록 설계되었습니다.
- 목적, 트리거, 작업, 조건을 자세히 설명하세요.
- 명확한 목표 포함: 멀웨어 알림 관리와 같은 명확한 목표부터 시작하고 플레이북을 활성화하는 트리거를 지정합니다.
- 위협 분석을 기반으로 데이터 보강 또는 파일 격리와 같은 작업 조건을 포함하세요. 이러한 명확성과 구체성은 플레이북의 효과와 자동화 잠재력을 향상시킵니다.
잘 구성된 프롬프트의 예시
Write a playbook for phishing alerts. The playbook enriches usernames,
URLs and file hashes from the email and enriches them in available sources.
If one of the findings is malicious, block the finding, remove the email
from all the users' mailboxes and assign the case to Tier 2.
Create a playbook for my Google Cloud Anomalous Access alert. The playbook should
enrich user account information with Google Cloud IAM, and then
enrich the IP information with VirusTotal.
If the user is an admin and the IP is malicious, the user account should be
disabled in IAM.
Write a playbook for suspicious login alerts. The playbook should enrich
the IP address with VirusTotal and get GeoIP information. If VirusTotal reported
more than 5 malicious engines and the IP address is from Iran or China,
block the IP address in Checkpoint Firewall and send an email notification to
zak@example.com.