Gemini en Google SecOps

Para obtener más información sobre Gemini, los modelos grandes de lenguaje y la IA responsable, consulta Gemini para código. También puedes consultar la documentación de Gemini y las notas de la versión.

• Disponibilidad: Gemini en Google SecOps está disponible a nivel mundial. Los datos de Gemini se procesan en las siguientes regiones: us-central1, asia-southeast1 y europe-west1. Las solicitudes de los clientes se enrutan a la región más cercana para su procesamiento.

• Precios: Para obtener información sobre los precios, consulta los pricing de Google Security Operations.

• Seguridad de Gemini: Para obtener información sobre las funciones de seguridad de Gemini en Google Cloud, consulta Seguridad con IA generativa.

• Administración de datos: Para obtener información sobre las prácticas de administración de datos de Gemini, consulta Cómo usa tus datos Gemini para Google Cloud.

• Certificaciones: Para obtener información sobre las certificaciones de Gemini, consulta Certificaciones para Gemini.

• Plataforma SecLM: Gemini para Google SecOps usa una variedad de modelos grandes de lenguaje a través de la plataforma SecLM, incluido el modelo especializado Sec-PaLM. Sec-PaLM se entrena con datos como blogs de seguridad, informes de inteligencia sobre amenazas, reglas de detección YARA y YARA-L, guías SOAR, secuencias de comandos de software malicioso, información sobre vulnerabilidades, documentación de productos y muchos otros conjuntos de datos especializados. Para obtener más información, consulta Seguridad con IA generativa

En las siguientes secciones, se proporciona documentación sobre las funciones de Google SecOps con la tecnología de Gemini:

• Usa Gemini para investigar problemas de seguridad

• Generar búsquedas de UDM

• Genera una regla de YARA-L con Gemini

• Asistencia con la inteligencia contra amenazas y preguntas de seguridad

• Usa el widget de investigación de IA

• Crear guías con Gemini

Usa Gemini para investigar problemas de seguridad

Gemini brinda asistencia para la investigación, a la que se puede acceder desde cualquier Gemini puede ayudarte con tus investigaciones proporcionando asistencia para lo siguiente:

• Búsqueda: Gemini puede ayudarte a crear, editar y ejecutar búsquedas segmentadas para eventos relevantes usando instrucciones de lenguaje natural. Gemini también puede ayudarte a iterar en una búsqueda, ajustar el alcance, expandir el intervalo de tiempo y agregar filtros. Puedes completarlas con instrucciones de lenguaje natural ingresadas en el panel de Gemini.
• Resúmenes de búsquedas: Gemini puede resumir automáticamente los resultados de la búsqueda después de cada búsqueda y acción de filtro posterior. El panel de Gemini resume los resultados de tu búsqueda en un formato conciso y comprensible. Gemini también puede responder preguntas contextuales sobre los resúmenes que proporciona.
• Generación de reglas: Gemini puede crear reglas de YARA-L nuevas a partir de las búsquedas de UDM que genera.
• Análisis de inteligencia de amenazas y preguntas de seguridad: Gemini puede responder preguntas generales relacionadas con los dominios de seguridad. Además, Gemini puede responder preguntas específicas sobre la inteligencia de amenazas y proporcionar resúmenes sobre los agentes de amenazas, los IOC y otros temas de inteligencia sobre amenazas.
• Corrección de incidentes: Según la información del evento que se muestra, Gemini puede sugerir que sigas los pasos. Las sugerencias también pueden aparecer después de filtrar los resultados de la búsqueda. Por ejemplo, Gemini podría sugerir que revises una alerta o regla relevante, o que filtres por un host o usuario específicos.

Generar búsquedas de UDM

Puedes usar Gemini para generar búsquedas de UDM desde el panel de Gemini o cuando uses la búsqueda de UDM.

Para obtener mejores resultados, Google recomienda usar el panel de Gemini para generar búsquedas.

• Genera una búsqueda de UDM en el panel de Gemini

• Cómo generar una búsqueda de UDM en UDM Search

Genera una búsqueda de UDM con el panel de Gemini

1. Accede a Google SecOps y abre el panel de Gemini haciendo clic en el logotipo de Gemini.

2. Ingresa una instrucción en lenguaje natural y presiona Intro. La instrucción en lenguaje natural debe estar en inglés.

   

   Figura 1: Abre el panel de Gemini y, luego, ingresa una instrucción

3. Revisa la búsqueda de UDM generada. Si la búsqueda generada cumple con tus requisitos, haz clic en Ejecutar búsqueda.

4. Gemini genera un resumen de los resultados junto con las acciones sugeridas.

5. Ingresa preguntas de seguimiento en lenguaje natural sobre los resultados de la búsqueda que proporciona Gemini para continuar con la investigación.

Ejemplos de indicaciones de búsqueda y preguntas adicionales

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Generar una búsqueda de UDM con lenguaje natural

Con la función Búsqueda de Google SecOps, puedes ingresar una consulta en lenguaje natural sobre tus datos, y Gemini puede traducirla en una búsqueda de UDM que puedes ejecutar frente a eventos de UDM.

Para obtener mejores resultados, Google recomienda usar el panel de Gemini para generar búsquedas.

Si deseas usar una búsqueda de lenguaje natural para crear una consulta de búsqueda de UDM, completa los siguientes pasos:

1. Accede a Google SecOps.
2. Navega a Buscar.

3. Ingresa una declaración de búsqueda en la barra de consultas de lenguaje natural y haz clic en Generar consulta. Debes usar inglés para la búsqueda.

   

   Figura 2: Ingresa una búsqueda de lenguaje natural y haz clic en Generar consulta

   Los siguientes son algunos ejemplos de declaraciones que podrían generar una búsqueda de UDM útil:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si la declaración de búsqueda incluye un término basado en el tiempo, el selector de hora se ajusta automáticamente para que coincidan. Por ejemplo, esto se aplicaría a las siguientes búsquedas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si la declaración de búsqueda no se puede interpretar, verás el siguiente mensaje:
“Lo sentimos, no se pudo generar una consulta válida. Intenta preguntar de otra manera".

4. Revisa la búsqueda de UDM generada.

5. (Opcional) Ajusta el intervalo de tiempo de búsqueda.

6. Haz clic en Ejecutar búsqueda.

7. Revisa los resultados de la búsqueda para determinar si el evento está presente. Si es necesario, usa filtros de búsqueda para reducir la lista de resultados.

8. Proporciona comentarios sobre la consulta mediante los íconos de comentarios de Consulta generada. Seleccione una de las siguientes opciones:

   • Si la consulta devuelve los resultados esperados, haz clic en el ícono de Me gusta.
   • Si la consulta no muestra los resultados esperados, haz clic en el ícono de No me gusta.
   • Incluye detalles adicionales en el campo Comentarios (opcional).
   • Para enviar una búsqueda de UDM revisada que ayude a mejorar los resultados, sigue estos pasos:
   • Edita la búsqueda de UDM que se generó.
   • Haz clic en Enviar. Si no volviste a escribir la consulta, el texto del diálogo te pedirá que la edites.
   • Haz clic en Enviar. La búsqueda revisada de UDM se limpiará de datos sensibles y se usará para mejorar los resultados.

Genera una regla de YARA-L con Gemini

1. Usa una instrucción de lenguaje natural para generar una regla (por ejemplo, create a rule to detect logins from bruce-monroe). Presiona Intro. Gemini genera una regla para detectar el comportamiento que buscaste en el panel de Gemini.

2. Haz clic en Abrir en el editor de reglas para ver y modificar la regla nueva en el editor de reglas. Con esta función, solo puedes crear reglas de evento único.

   Por ejemplo, con la instrucción de regla anterior, Gemini genera la siguiente regla:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Para activar la norma, haz clic en Guardar nueva regla. La regla aparece en la lista de reglas a la izquierda. Mantén el puntero sobre la regla, haz clic en el ícono de menú y activa la opción Live Rule a la derecha (verde). Para obtener más información, consulta Administra reglas con el Editor de reglas.

Proporciona comentarios sobre la regla generada

Puedes proporcionar comentarios sobre la regla generada. Estos comentarios se usan para mejorar la exactitud de la función de generación de reglas.

• Si la sintaxis de la regla se generó como se esperaba, haz clic en el ícono de Me gusta.
• Si la sintaxis de la regla no es la que esperabas, haz clic en el ícono de No me gusta. Marca la opción que mejor indique el problema que encontraste con la sintaxis de la regla generada. Incluye detalles adicionales en el campo Describe tus comentarios (opcional). Haz clic en Enviar comentarios.

Asistencia con la inteligencia de amenazas y las preguntas de seguridad

Gemini puede responder preguntas relacionadas con la inteligencia contra amenazas sobre temas como agentes de amenazas, sus asociaciones y sus patrones de comportamiento, incluidas preguntas sobre las TTP de MITRE.

Las preguntas de inteligencia sobre amenazas se limitan a la información disponible para tu edición de producto de Google SecOps. Las respuestas a las preguntas pueden variar según la edición del producto. Específicamente, los datos de inteligencia sobre amenazas son más limitados en las ediciones de productos distintos de Enterprise Plus porque no incluyen acceso completo a Mandiant y VirusTotal.

Ingresa tus preguntas en el panel de Gemini.

1. Ingresa una pregunta sobre inteligencia contra amenazas. Por ejemplo: What is UNC3782?.

2. Revisa los resultados.

3. Investiga más pidiéndole a Gemini que cree consultas para buscar IOC específicos a los que se hace referencia en los informes de inteligencia sobre amenazas. La información de inteligencia contra amenazas está sujeta a los derechos disponibles de tu licencia de Google SecOps.

Ejemplo: Inteligencia sobre amenazas y preguntas de seguridad

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini y MITRE

La Matriz de MITRE ATT&CK® es una base de conocimiento que documenta las TTP que usan los adversarios cibernéticos del mundo real. La matriz de MITRE proporciona una comprensión de cómo tu organización puede ser atacada y proporciona una sintaxis estandarizada para analizar los ataques.

Puedes hacerle preguntas a Gemini sobre tácticas, técnicas y procedimientos (TTP) de MITRE y recibir respuestas relevantes según el contexto que incluyan los siguientes detalles de MITRE:

• Táctica
• Técnica
• Subtécnica
• Sugerencias de detección
• Procedimientos
• Mitigaciones

Gemini devuelve un vínculo a las detecciones seleccionadas de Google SecOps que ponen También puedes hacerle preguntas adicionales a Gemini para obtener información adicional sobre un TTP de MITRE y cómo podría afectar a tu empresa.

Cómo borrar una sesión de chat

Puedes borrar la sesión de chat o todas las sesiones. Gemini mantiene todos los historiales de conversaciones de los usuarios de forma privada y cumple con las prácticas de IA responsable de Google Cloud. El historial del usuario nunca se usa para entrenar modelos.

1. En el panel de Gemini, selecciona Borrar chat en el menú de la parte superior derecha.
2. Haz clic en Borrar chat en la parte inferior derecha para borrar la sesión de chat actual.
3. (Opcional) Para borrar todas las sesiones de chat, selecciona Borrar todas las sesiones de chat y, luego, haz clic en Borrar todos los chats.

Proporcionar comentarios

Puedes proporcionar comentarios sobre las respuestas generadas por la asistencia de investigación de Gemini AI. Tus comentarios ayudan a Google a mejorar la función y el resultado que genera Gemini.

1. En el panel de Gemini, selecciona el ícono de Me gusta o No me gusta.
2. Opcional: Si seleccionas No me gusta, puedes agregar comentarios adicionales sobre por qué elegiste la calificación.
3. Haz clic en Enviar comentarios.

Widget de investigación de IA

El widget de investigación de IA analiza el caso completo (alertas, eventos y entidades) y proporciona un resumen del caso generado por IA sobre cuánta atención podría requerir. El widget también resume los datos de las alertas para una mejor comprensión de la amenaza y proporciona recomendaciones sobre los próximos pasos que se deben tomar para una solución eficaz.

La clasificación, el resumen y las recomendaciones incluyen una opción para dejar comentarios sobre el nivel de precisión y utilidad de la IA. Usamos los comentarios para mejorar la precisión.

El widget de investigación de IA se muestra en la pestaña Descripción general del caso en la página Casos. Si solo hay una alerta en el caso, debes hacer clic en la pestaña Case Overview para ver este widget.

El widget de investigación de IA no se muestra para los casos que se crean de forma manual ni para los casos de solicitud que se inician desde Tu escritorio.

Proporciona comentarios sobre el widget de investigación de IA

1. Si los resultados son aceptables, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Additional Feedback (Comentarios adicionales).

2. Si los resultados no fueron los esperados, haz clic en el ícono de No me gusta. Selecciona una de las opciones proporcionadas y agrega cualquier otro comentario adicional que consideres relevante.

3. Haz clic en Enviar comentarios.

Quitar el widget de investigación de IA

El widget de investigación de IA se incluye en la vista predeterminada.

Para quitar el widget de investigación de IA de la vista predeterminada, haz lo siguiente:

1. Navega a Configuración de SOAR > Datos del caso > Vistas.

2. Selecciona Default Case View en el panel lateral izquierdo.

3. Haz clic en el ícono Borrar del widget de investigación de IA.

Crea guías con Gemini

Gemini puede ayudarte a optimizar el proceso de creación de guías convirtiendo tus instrucciones en una guía funcional.

Crea una guía usando instrucciones

1. Navega a Respuesta > Guías.
2. Selecciona el ícono para agregar y crea una guía nueva.
3. En el panel de la guía nueva, selecciona Create Playbooks using AI (Crear guías con IA).
4. En el panel de instrucciones, ingresa una instrucción completa y bien estructurada en inglés. Si quieres obtener más información para escribir instrucciones de la guía, consulta Escribe instrucciones para la creación de la guía de Gemini.
5. Haz clic en Generate Playbook.
6. Aparecerá un panel de vista previa con la guía generada. Si quieres realizar cambios, haz clic en editar y define mejor la instrucción.
7. Haz clic en Crear guía.
8. Si deseas realizar cambios en la guía una vez que se muestra en el panel principal, selecciona Crear guías con IA y vuelve a escribir la instrucción. Gemini creará una guía nueva para ti.

Envía comentarios sobre las guías creadas por Gemini

1. Si los resultados de la guía son buenos, haz clic en el ícono de Me gusta. Puedes agregar más información en el campo Comentarios adicionales.
2. Si los resultados de la guía no fueron los esperados, haz clic en el ícono de No me gusta. Selecciona una de las opciones proporcionadas y agrega cualquier otro comentario adicional que consideres relevante.

Escribir instrucciones para la creación de la guía de Gemini

La función de guía de Gemini se diseñó para crear guías basadas en la entrada de lenguaje natural que proporciones. Debes ingresar instrucciones claras y bien estructuradas en el cuadro de instrucciones de la guía de Gemini, que genera una guía de Google SecOps con activadores, acciones y condiciones. La calidad de la guía está influenciada por la exactitud de la instrucción proporcionada. Las instrucciones bien formuladas con detalles claros y específicos producen guías más eficaces.

Funciones de la creación de guías con Gemini

Con las funciones de creación de la guía de Gemini, puedes hacer lo siguiente:

• Crea guías nuevas con los siguientes elementos: acciones, activadores y flujos.
• Utiliza todas las integraciones comerciales descargadas.
• Colocar acciones y nombres de integración específicos en la instrucción como pasos de la guía
• Comprender las instrucciones para describir el flujo en el que no se proporcionan integraciones ni nombres específicos.
• Usa flujos de condición como se admiten en las capacidades de respuesta de SOAR.
• Detecta qué activador es necesario para la guía.

No puedes hacer lo siguiente con mensajes:

• Actualiza las guías existentes.
• Crea o usa bloques de guía.
• Usa integraciones personalizadas.
• Utiliza acciones paralelas en las guías.
• Usa integraciones que no se hayan descargado ni instalado.
• Usa instancias de integración.

Ten en cuenta que el uso de parámetros en los mensajes no siempre implica que se use la acción correcta.

Creación de instrucciones efectivas

Cada instrucción debe incluir los siguientes componentes:

• Objetivo: Qué generar
• Activador: Cómo se activará la guía
• Acción de la guía: Qué hará
• Condición: Lógica condicional

Ejemplo de instrucción con un nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada con un nombre de integración:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Este mensaje contiene los cuatro componentes que se definieron anteriormente:

• Objetivo claro: Tiene un objetivo definido que controla las alertas de software malicioso.
• Activador específico: La activación se basa en un evento específico y recibe una alerta de software malicioso.
• Acciones de la guía: Mejora una entidad de SOAR de Google Security Operations con datos de una integración de terceros (VirusTotal).
• Respuesta condicional: Especifica una condición basada en resultados anteriores. Por ejemplo, si se descubre que el hash del archivo es malicioso, se debe poner el archivo en cuarentena.

Ejemplo de instrucción que usa un flujo en lugar de un nombre de integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada, pero se describe el flujo sin mencionar el nombre de la integración específico.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La función de creación de la guía de Gemini puede tomar esta descripción de una acción (enriquecer un hash de archivo) y revisar las integraciones instaladas para encontrar la que mejor se adapte a esta acción.

La función de creación de la guía de Gemini solo puede elegir integraciones instaladas en tu entorno.

Activadores personalizados

Además de usar activadores estándar, un activador se puede personalizar en el mensaje de la guía. Puedes especificar marcadores de posición para los siguientes objetos:

• Alerta
• Evento
• Entidad
• Entorno
• Texto libre

En el siguiente ejemplo, se usa texto libre para crear un activador que se ejecute para todos los correos electrónicos de la carpeta suspicious email, excepto aquellos que contengan la palabra [TEST] en el asunto del correo electrónico.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Sugerencias para escribir instrucciones

• La práctica recomendada es usar nombres de integración específicos: Especifica las integraciones solo si ya están instaladas y configuradas en tu entorno.
• Aprovecha la especialización de Gemini: La función de creación de guías de Gemini está diseñada específicamente para crear guías basadas en instrucciones que se alinean con la respuesta ante incidentes, la detección de amenazas y los flujos de trabajo de seguridad automatizados.
• Detallar el propósito, el activador, la acción y la condición
• Incluye objetivos claros: comienza con un objetivo claro, como administrar alertas de software malicioso, y especifica los activadores que activan la guía.
• Incluye condiciones para las acciones, como el enriquecimiento de los datos o la cuarentena de archivos, basado en el análisis de amenazas. Esta claridad y especificidad mejoran la eficacia y el potencial de automatización de la guía.

Ejemplos de instrucciones bien estructuradas

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.