Gemini en Google SecOps

Para obtener más información sobre Gemini, los modelos de lenguaje extensos IA, consulta Gemini para Código de Google Cloud. También puedes consultar la documentación de Gemini y notas de la versión.

• Disponibilidad: Gemini en Google SecOps es disponibles en todo el mundo. Los datos de Gemini se procesan en lo siguiente regiones: us-central1, asia-southeast1 y europe-west1. Cliente se enrutan a la región más cercana para su procesamiento.

• Precios: Para obtener información sobre los precios, consulta Google Security Operations. precios

• Seguridad de Gemini: Obtén información sobre la seguridad de Gemini funciones de Google Cloud, consulta Seguridad con IA generativa

• Administración de datos: Aquí encontrarás información sobre la administración de datos de Gemini. consulta Cómo Gemini para Google Cloud usa tus datos

• Certificaciones: Para obtener información sobre las certificaciones de Gemini, consulta Certificaciones para Gemini

• Plataforma de SecLM: Gemini para Google SecOps usa un varios modelos de lenguaje extensos a través de la plataforma SecLM, incluida la modelo Sec-PaLM especializado. Sec-PaLM se entrena con datos que incluyen la seguridad informes de inteligencia contra amenazas, reglas de detección YARA y YARA-L, SOAR guías, secuencias de comandos de software malicioso, información sobre vulnerabilidades, documentación y muchos otros conjuntos de datos especializados. Para obtener más información, consulta Seguridad con IA generativa

En las siguientes secciones, se proporciona documentación para el Funciones de Google SecOps con la tecnología de Gemini:

• Usa Gemini para investigar problemas de seguridad

• Genera búsquedas de UDM

• Genera una regla de YARA-L con Gemini

• Asistencia con la inteligencia contra amenazas y preguntas de seguridad

• Usar el resumen de Gemini

• Crear guías con Gemini

Usa Gemini para investigar problemas de seguridad

Gemini brinda asistencia en la investigación, a la que se puede acceder desde ninguna parte de Google SecOps. Gemini puede ayudarte con lo siguiente: investigaciones, brindando asistencia para lo siguiente:

• Búsqueda: Gemini puede ayudarte a crear, editar y ejecutar búsquedas. orientadas a eventos relevantes con instrucciones en lenguaje natural. Gemini también puede ayudarte a iterar en una búsqueda, ajustar el alcance expandir el intervalo de tiempo y agregar filtros. Puedes completar todas estas tareas usando instrucciones de lenguaje natural ingresadas en el panel de Gemini.
• Resúmenes de búsquedas: Gemini puede resumir la búsqueda automáticamente. resultados después de cada búsqueda y acción de filtro posterior. El El panel de Gemini resume los resultados de tu búsqueda de forma muy comprensible. Gemini también puede responder preguntas de seguimiento contextual. sobre los resúmenes que proporciona.
• Generación de reglas: Gemini puede crear nuevas reglas YARA-L a partir del Las búsquedas de UDM que genera
• Preguntas de seguridad y análisis de inteligencia contra amenazas: Gemini responder preguntas generales sobre el dominio de seguridad. Además, Gemini puede responder preguntas específicas de inteligencia sobre amenazas y proporcionar resúmenes sobre agentes de amenazas, IOC y otros temas de inteligencia contra amenazas.
• Corrección de incidentes: Según la información del evento que se muestra, Gemini puede sugerirte que sigas pasos. También pueden aparecer sugerencias después de filtrar los resultados de la búsqueda. Por ejemplo, Gemini podría sugerir revisar una alerta o regla relevante, o filtrar por un host o usuario específico.

Generar búsquedas de UDM

Puedes usar Gemini para generar búsquedas de UDM desde el Panel de Gemini o cuando se usa la búsqueda de UDM.

Para obtener mejores resultados, Google recomienda usar el panel de Gemini para generar en las búsquedas.

• Genera una búsqueda de UDM en el panel de Gemini

• Cómo generar una búsqueda de UDM en UDM Search

Genera una búsqueda de UDM con el panel de Gemini

1. Accede a Google SecOps y abre el panel de Gemini de la siguiente forma: haciendo clic en el logotipo de Gemini.

2. Ingresa una instrucción en lenguaje natural y presiona Intro. Lo natural la instrucción de idioma debe estar en inglés.

   

   Figura 1: Abre el panel de Gemini y, luego, ingresa una instrucción

3. Revisa la búsqueda de UDM generada. Si la búsqueda generada cumple según tus requisitos, haz clic en Ejecutar búsqueda.

4. Gemini genera un resumen de los resultados junto con las acciones sugeridas.

5. Ingresa preguntas de seguimiento en lenguaje natural sobre los resultados de la búsqueda proporcionados de Gemini para continuar con la investigación.

Ejemplos de indicaciones de búsqueda y preguntas adicionales

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Generar una búsqueda de UDM con lenguaje natural

Con la función de búsqueda de Google SecOps, puedes ingresar un de idioma sobre tus datos y Gemini puede traducirlo Consulta de búsqueda de UDM que puedes ejecutar en relación con los eventos de UDM.

Para obtener mejores resultados, Google recomienda usar el panel de Gemini para generar búsquedas

Para usar una búsqueda en lenguaje natural con el objetivo de crear una búsqueda de UDM, completa los los siguientes pasos:

1. Accede a Google SecOps.
2. Navega a Buscar.

3. Ingresa una declaración de búsqueda en la barra de consultas en lenguaje natural y haz clic en Genera una consulta. Debes usar inglés para la búsqueda.

   

   Figura 2: Ingresa una búsqueda de lenguaje natural y haz clic en Generar consulta

   Estos son algunos ejemplos de declaraciones que podrían generar una Búsqueda de UDM:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si la instrucción de búsqueda incluye un término basado en el tiempo, se puede usar se ajustan automáticamente para que coincidan. Por ejemplo, esto se aplicaría al las siguientes búsquedas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si la instrucción de búsqueda no se puede interpretar, verás lo siguiente: mensaje:
"No se pudo generar una consulta válida. Intenta pedirme un de una manera diferente".

4. Revisa la búsqueda de UDM generada.

5. (Opcional) Ajusta el intervalo de tiempo de búsqueda.

6. Haz clic en Ejecutar búsqueda.

7. Revisa los resultados de la búsqueda para determinar si el evento está presente. Si es necesario, usar los filtros de búsqueda para reducir la lista de resultados.

8. Proporciona comentarios sobre la consulta con los comentarios de la Consulta generada. íconos. Selecciona una de las siguientes opciones:

   • Si la consulta devuelve los resultados esperados, haz clic en el ícono de Me gusta.
   • Si la consulta no devuelve los resultados esperados, haz clic en el pulgar hacia abajo. ícono.
   • Incluye detalles adicionales en el campo Comentarios (opcional).
   • Para enviar una búsqueda de UDM revisada que ayude a mejorar los resultados, sigue estos pasos:
   • Edita la búsqueda de UDM que se generó.
   • Haz clic en Enviar. Si no volviste a escribir la consulta, el texto del diálogo y te pide que edites la consulta.
   • Haz clic en Enviar. La búsqueda revisada de UDM se limpiará datos sensibles y se usan para mejorar los resultados.

Genera una regla de YARA-L con Gemini

1. Usa una instrucción de lenguaje natural para generar una regla (por ejemplo, create a rule to detect logins from bruce-monroe). Presiona Intro. Gemini genera una regla para detectar el comportamiento que buscaste en el panel de Gemini.

2. Haz clic en Abrir en el editor de reglas para ver y modificar la nueva regla en la pestaña Reglas. Editor Con esta función, solo puedes crear reglas de evento único.

   Por ejemplo, con la instrucción de la regla anterior, Gemini genera la siguiente regla:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Para activar la norma, haz clic en Guardar nueva regla. La regla aparecerá en la lista. de reglas a la izquierda. Mantén el puntero sobre la regla, haz clic en el ícono de menú y activa o desactiva la opción Live Rule a la derecha (verde). Para ver más consulta Cómo administrar reglas mediante reglas Editor

Proporciona comentarios sobre la regla generada

Puedes proporcionar comentarios sobre la regla generada. Usamos estos comentarios para mejorar la exactitud de la función de generación de reglas.

• Si la sintaxis de la regla se generó como se esperaba, haz clic en el ícono de Me gusta.
• Si la sintaxis de la regla no es la que esperabas, haz clic en el ícono de No me gusta. Marca la opción que mejor indique el problema que encontraste con el modelo la sintaxis de la regla. (Opcional) Incluye detalles adicionales en el artículo Describe tu feedback. Haz clic en Enviar comentarios.

Asistencia con la inteligencia de amenazas y las preguntas de seguridad

Gemini puede responder preguntas relacionadas con la inteligencia de amenazas sobre temas como agentes de amenazas, sus asociaciones y patrones de comportamiento, incluidas las preguntas sobre las TTP de MITRE.

Las preguntas de inteligencia sobre amenazas se limitan a la información disponible para su Edición de productos de Google SecOps. Respuestas a preguntas pueden variar según la edición del producto. Específicamente, las amenazas los datos de inteligencia son más limitados en las ediciones de productos que no sean Enterprise Plus porque no incluyen acceso completo a Mandiant y VirusTotal.

Ingresa tus preguntas en el panel de Gemini.

1. Ingresa una pregunta sobre inteligencia contra amenazas. Por ejemplo: What is UNC3782?

2. Revisa los resultados.

3. Investiga más pidiéndole a Gemini que cree consultas para buscar IOC específicos a los que se hace referencia en los informes de inteligencia contra amenazas. Amenaza la información de inteligencia está sujeta a los derechos disponibles de su Licencia de Google SecOps.

Ejemplo: Inteligencia sobre amenazas y preguntas de seguridad

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini y MITRE

La Matriz de MITRE ATT&CK® es una base de conocimiento que documenta las TTP utilizadas por los ciberadversarios del mundo real. Matriz de MITRE proporciona una comprensión de cómo su organización puede ser atacada y una proporciona una sintaxis estandarizada para analizar los ataques.

Puedes hacerle preguntas a Gemini sobre las tácticas, técnicas y (TTP) y recibir respuestas relevantes según el contexto que incluyan la los siguientes detalles de MITRE:

• Táctica
• Técnica
• Subtécnica
• Sugerencias de detección
• Procedimientos
• Mitigaciones

Gemini devuelve un vínculo a las detecciones seleccionadas Google SecOps pone a tu disposición para cada TTP. También puedes preguntar Preguntas de seguimiento de Gemini para obtener más información sobre una TTP de MITRE y cómo podría afectar a tu empresa.

Cómo borrar una sesión de chat

Puedes borrar la sesión de chat o todas las sesiones. Gemini mantiene todos los historiales de conversaciones de los usuarios de forma privada y cumple con los a los objetivos de marketing de IA responsable prácticas de Google Cloud. El historial del usuario nunca se usa para entrenar modelos.

1. En el panel de Gemini, selecciona Borrar chat en el menú de en la parte superior derecha.
2. Haz clic en Borrar chat en la esquina inferior derecha para borrar el chat actual. sesión.
3. (Opcional) Para borrar todas las sesiones de chat, selecciona Borrar todas las sesiones de chat. y, luego, haz clic en Borrar todos los chats.

Proporcionar comentarios

Puedes enviar comentarios a las respuestas generadas por la IA de Gemini asistencia en la investigación. Tus comentarios ayudan a Google a mejorar la función y la del resultado generado por Gemini.

1. En el panel de Gemini, selecciona el ícono de Me gusta o No me gusta.
2. (Opcional) Si seleccionas No me gusta, puedes agregar comentarios adicionales sobre por qué elegiste esa calificación.
3. Haz clic en Enviar comentarios.

Resumen de Gemini

El widget de Resumen de Gemini examina todo el caso (alertas, eventos y entidades) y ofrece un resumen de caso generado por IA sobre cuánta atención que su caso podría requerir. El widget también resume los datos de las alertas para una mejor comprensión de la amenaza y brinda recomendaciones sobre los próximos pasos tomadas para una corrección eficaz.

La clasificación, el resumen y las recomendaciones incluyen la opción de dejar comentarios sobre el nivel de exactitud y utilidad de la IA. Usamos el feedback para ayudarnos a mejorar la precisión.

El widget Gemini Summary se muestra en la pestaña Case Overview, en Casos. Si solo hay una alerta en el caso, tienes que hacer clic en el Case Overview para ver este widget.

El widget Resumen de Gemini no se muestra en los casos creados manualmente. o solicitar casos que se inician desde Your Workdesk.

Enviar comentarios sobre el resumen de Gemini

1. Si los resultados son aceptables, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Comentarios adicionales.

2. Si los resultados no fueron los esperados, haz clic en el ícono de No me gusta. Selecciona una opción de las opciones proporcionadas y agrega cualquier otro comentario adicional que consideres relevante.

3. Haz clic en Enviar comentarios.

Quitar el resumen de Gemini

El widget Gemini Summary (Resumen de Gemini) se incluye en la vista predeterminada.

Para quitar el widget del Resumen de Gemini de la vista predeterminada, haz lo siguiente:

1. Navega a Configuración de SOAR > Datos del caso > Vistas.

2. Selecciona Default Case View en el panel lateral izquierdo.

3. Haz clic en el ícono Borrar del widget Resumen de Gemini.

Crea guías con Gemini

Gemini puede ayudarte a optimizar el proceso de creación de guías convirtiendo tus mensajes en una guía funcional que te ayude a resolver problemas de seguridad.

Crea una guía usando instrucciones

1. Navega a Respuesta > Guías.
2. Selecciona el agregar agregar ícono y crear una guía nueva.
3. En el nuevo panel de la guía, selecciona Crear guías con Gemini.
4. En el panel de instrucciones, ingresa una instrucción completa y bien estructurada en Inglés. Para obtener más información sobre cómo escribir un prompt de la guía, consulta Escribir instrucciones para la creación de la guía de Gemini.
5. Haz clic en Generate Playbook.
6. Aparecerá un panel de vista previa con la guía generada. Si quieres hacer los cambios, haz clic editar y define mejor la instrucción.

7. Haz clic en Crear guía.

   Edita una guía con instrucciones

8. Selecciona la guía requerida y, luego, Editar guía con Gemini.

9. Agrega los cambios necesarios.

10. Un panel de vista previa con la guía editada te muestra las versiones anteriores y posteriores. Si quieres hacer haz clic en Atrás y define mejor la instrucción.

11. Cuando estés conforme con los cambios, haz clic en Edit Playbook.

Envía comentarios sobre las guías creadas por Gemini

1. Si los resultados de la guía son buenos, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Comentarios adicionales.
2. Si los resultados de la guía no fueron los esperados, haz clic en el ícono de No me gusta. Selecciona una de las opciones proporcionadas y agrega cualquier otro comentario adicional que que consideres relevante.

Escribir instrucciones para la creación de la guía de Gemini

La función de guía de Gemini se diseñó para crear guías en la entrada de lenguaje natural que proporciones. Debes ingresar datos claros y instrucciones bien estructuradas en el cuadro de instrucciones de la guía de Gemini que, luego, genera un La guía de Google SecOps, que incluye activadores, acciones y condiciones. La precisión de la instrucción influye en la calidad de la guía que se proporcionan. Instrucciones bien formuladas que contienen instrucciones claras y detalles específicos producen guías más eficaces.

Funciones de la creación de guías con Gemini

Con la función de creación de la guía de Gemini, puedes hacer lo siguiente:

• Crea guías nuevas con los siguientes elementos: acciones, activadores y flujos.
• Utilizar todas las integraciones comerciales descargadas.
• Colocar acciones y nombres de integración específicos en la instrucción como pasos de la guía
• Comprender las instrucciones para describir el flujo en el que no se proporcionan integraciones ni nombres específicos.
• Usa flujos de condición como se admiten en las capacidades de respuesta de SOAR.
• Detecta qué activador es necesario para la guía.

No puedes hacer lo siguiente cuando creas guías usando instrucciones:

• Crea o usa bloques de guía.
• Usa integraciones personalizadas.
• Utiliza acciones paralelas en las guías.
• Usa integraciones que no se hayan descargado ni instalado.
• Usa instancias de integración.

Funciones de edición de guías con Gemini

Con la función de edición de la guía de Gemini, puedes hacer lo siguiente:

• Agrega pasos de la guía en cualquier lugar de la guía.
• Borra cualquier paso de la guía.
• Desplázate por la guía.
• Reemplaza acciones o integraciones por otras integraciones y acciones.

No puedes hacer lo siguiente cuando editas las guías mediante instrucciones:

• Editar activadores
• Editar condiciones. Ten en cuenta que usar parámetros en los mensajes no siempre da como resultado la respuesta acción que se utiliza.

Creación de instrucciones efectivas

Cada instrucción debe incluir los siguientes componentes:

• Objetivo: Qué generar
• Activador: Cómo se activará la guía
• Acción de la guía: Qué hará
• Condición: Lógica condicional

Ejemplo de instrucción con un nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada con un nombre de integración:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Este mensaje contiene los cuatro componentes que se definieron anteriormente:

• Objetivo claro: Tiene un objetivo definido que controla las alertas de software malicioso.
• Activador específico: La activación se basa en un evento específico. que reciben una alerta de software malicioso.
• Acciones de la guía: Mejora una entidad de SOAR de Google Security Operations con datos de una integración de terceros (VirusTotal).
• Respuesta condicional: especifica una condición que se en función de resultados anteriores. Por ejemplo, si se descubre que el hash del archivo es malicioso, el archivo debe estar en cuarentena.

Ejemplo de instrucción que usa un flujo en lugar de un nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada, pero se describe el flujo sin mencionar el nombre específico de la integración.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La función de creación de guías de Gemini puede implementar descripción de una acción (enriquecer un hash de archivo) y revisar las aplicaciones integraciones para encontrar la que mejor se adapte a esta acción.

La función de creación de la guía de Gemini solo puede elegir entre integraciones que ya están instaladas en tu entorno.

Activadores personalizados

Además de usar activadores estándar, un activador se puede personalizar en la guía mensaje. Puedes especificar marcadores de posición para los siguientes objetos:

• Alerta
• Evento
• Entidad
• Entorno
• Texto libre

En el siguiente ejemplo, se usa texto libre para crear un activador que se ejecuta para todos los correos electrónicos de la carpeta Correo electrónico sospechoso, excepto los que correspondan que contengan la palabra [PRUEBA] en el asunto del correo electrónico.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Sugerencias para escribir instrucciones

• La práctica recomendada es usar nombres de integración específicos: Especifica las integraciones solo si son ya instalada y configurada en tu entorno.
• Aprovecha la especialización de Gemini: La guía de Gemini la función de creación está diseñada específicamente para crear guías basadas en instrucciones que se alinean con la respuesta ante incidentes, la detección de amenazas y los flujos de trabajo de seguridad automatizados.
• Detallar el propósito, el activador, la acción y la condición
• Incluye objetivos claros: Comienza con un objetivo claro, como administrar alertas de software malicioso y especificar activadores que activan la guía.
• Incluye condiciones para acciones, como enriquecer datos o poner archivos en cuarentena, basada en el análisis de amenazas. Esta claridad y especificidad mejoran la experiencia del y el potencial de automatización.

Ejemplos de instrucciones bien estructuradas

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.