Gemini dans Google SecOps

Pour en savoir plus sur Gemini, les grands modèles de langage et de l'IA, consultez Gemini pour Code pour en savoir plus. Vous pouvez également consulter la documentation Gemini et notes de version.

• Disponibilité: Gemini dans Google SecOps est disponibles dans le monde entier. Les données Gemini sont traitées dans les régions suivantes : us-central1, asia-southeast1 et europe-west1. Les requêtes des clients sont acheminées vers la région la plus proche pour être traitées.

• Tarifs : pour en savoir plus sur les tarifs, consultez les tarifs de Google Security Operations.

• Sécurité de Gemini : pour en savoir plus sur les fonctionnalités de sécurité de Gemini dans Google Cloud, consultez Sécurité avec l'IA générative.

• Gouvernance des données: pour en savoir plus sur la gouvernance des données Gemini consultez la section Comment Gemini pour Google Cloud utilise vos données

• Certifications : pour en savoir plus sur les certifications Gemini, consultez la page Certifications pour Gemini.

• Plate-forme SecLM : Gemini pour Google SecOps utilise une gamme de grands modèles de langage via la plate-forme SecLM, y compris le modèle Sec-PaLM spécialisé. Sec-PaLM est entraîné sur des données, y compris des blogs de sécurité, des rapports d'intelligence sur les menaces, des règles de détection YARA et YARA-L, des playbooks SOAR, des scripts de logiciels malveillants, des informations sur les failles de sécurité, la documentation produit et de nombreux autres ensembles de données spécialisés. Pour en savoir plus, consultez la section Sécurité avec l'IA générative.

Les sections suivantes fournissent de la documentation pour Fonctionnalités Google SecOps fournies par Gemini:

• Utiliser Gemini pour examiner les problèmes de sécurité

• Générer des requêtes de recherche UDM

• Générer une règle YARA-L à l'aide de Gemini

• Assistance pour les questions liées à l'intelligence sur les menaces et à la sécurité

• Résumé Gemini

• Créer des playbooks à l'aide de Gemini

Utiliser Gemini pour examiner les problèmes de sécurité

Gemini fournit une assistance d'investigation accessible depuis n'importe quelle partie de Google SecOps. Gemini peut vous aider en prenant en charge les éléments suivants:

• Recherche : Gemini peut vous aider à créer, modifier et exécuter des recherches ciblées sur des événements pertinents à l'aide d'invites en langage naturel. Gemini peut également vous aider à itérer sur une recherche, à ajuster la portée, à élargir la période et à ajouter des filtres. Vous pouvez effectuer toutes ces tâches à l'aide d'invites en langage naturel saisies dans le volet Gemini.
• Résumés de recherche: Gemini peut résumer automatiquement les recherches après chaque recherche et action de filtrage ultérieure. La Le volet Gemini résume les résultats de votre recherche de manière concise compréhensible. Gemini peut aussi répondre dans le contexte sur les résumés qu'il fournit.
• Génération de règles : Gemini peut créer des règles YARA-L à partir des requêtes de recherche UDM qu'il génère.
• Questions sur la sécurité et analyse du renseignement sur les menaces: Gemini peut répondre aux questions générales sur le domaine de la sécurité. De plus, Gemini peut répondre à des questions spécifiques sur les renseignements sur les menaces et fournir des résumés sur les acteurs malveillants, les indicateurs de compromission et d'autres sujets liés aux renseignements sur les menaces.
• Résolution des incidents : en fonction des informations sur l'événement renvoyées, Gemini peut suggérer des mesures à suivre. Des suggestions peuvent aussi s'afficher après avoir filtré les résultats de recherche. Par exemple, Gemini peut vous suggérer d'examiner une alerte ou une règle pertinente, ou de filtrer par hôte ou utilisateur spécifique.

Générer des requêtes de recherche UDM

Vous pouvez utiliser Gemini pour générer des requêtes de recherche UDM à partir du volet Gemini ou lorsque vous utilisez la recherche UDM.

Pour de meilleurs résultats, Google recommande d'utiliser le volet Gemini pour générer requêtes de recherche.

• Générer une requête de recherche UDM dans le volet Gemini

• Générer une requête de recherche UDM dans la recherche UDM

Générer une requête de recherche UDM à l'aide du volet Gemini

1. Connectez-vous à Google SecOps et ouvrez le volet Gemini en cliquant sur le logo Gemini.

2. Saisissez une requête en langage naturel, puis appuyez sur Entrée. L'aspect naturel la requête doit être en anglais.

   

   Figure 1: Ouvrir le volet Gemini et saisir une requête

3. Examinez la requête de recherche UDM générée. Si la requête de recherche générée répond aux critères selon vos besoins, cliquez sur Exécuter la recherche.

4. Gemini génère un résumé des résultats ainsi que des suggestions d'actions.

5. Saisissez des questions de suivi en langage naturel sur les résultats de recherche fournis par Gemini pour poursuivre votre recherche.

Exemples de requêtes de recherche et de questions complémentaires

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Générer une requête de recherche UDM à l'aide du langage naturel

Grâce à la fonctionnalité de recherche Google SecOps, vous pouvez saisir une requête en langage naturel sur vos données. Gemini peut ensuite la traduire en requête de recherche UDM que vous pouvez exécuter sur les événements UDM.

Pour de meilleurs résultats, Google recommande d'utiliser le volet Gemini pour générer des requêtes de recherche.

Pour utiliser une recherche en langage naturel afin de créer une requête de recherche UDM, effectuez la en suivant les étapes ci-dessous:

1. Connectez-vous à Google SecOps.
2. Accédez à Recherche.

3. Saisissez une instruction de recherche dans la barre de requête en langage naturel, puis cliquez sur Générer une requête. Vous devez utiliser l'anglais pour la recherche.

   

   Figure 2: Saisir une recherche en langage naturel, puis cliquer sur "Générer une requête"

   Voici quelques exemples d'instructions susceptibles de générer une recherche UDM utile :

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si l'instruction de recherche inclut un terme basé sur le temps, le sélecteur de temps est automatiquement ajusté pour correspondre. Par exemple, cela s'applique aux recherches suivantes :

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche : message:
"Désolé, aucune requête valide n'a pu être générée. Essayez de poser la question différemment."

4. Examinez la requête de recherche UDM générée.

5. (Facultatif) Ajustez la période de recherche.

6. Cliquez sur Exécuter la recherche.

7. Examinez les résultats de recherche pour déterminer si l'événement est présent. Si nécessaire, utiliser des filtres de recherche pour affiner la liste des résultats.

8. Envoyez des commentaires sur la requête à l'aide des icônes de commentaires Requête générée. Sélectionnez l'une des options suivantes :

   • Si la requête renvoie les résultats attendus, cliquez sur l'icône J'aime.
   • Si la requête ne renvoie pas les résultats attendus, cliquez sur "Je n'aime pas". .
   • (Facultatif) Ajoutez des informations supplémentaires dans le champ Commentaires.
   • Pour envoyer une requête de recherche UDM révisée qui permet d'améliorer les résultats :
   • Modifiez la requête de recherche UDM générée.
   • Cliquez sur Envoyer. Si vous n'avez pas réécrit la requête, le texte de la boîte de dialogue vous invite à la modifier.
   • Cliquez sur Envoyer. La requête de recherche UDM révisée sera nettoyée des données sensibles et utilisée pour améliorer les résultats.

Générer une règle YARA-L à l'aide de Gemini

1. Utilisez une requête en langage naturel pour générer une règle (par exemple, create a rule to detect logins from bruce-monroe). Appuyez sur Entrée. Gemini génère une règle pour détecter le comportement que vous avez recherché dans le volet Gemini.

2. Cliquez sur Ouvrir dans l'éditeur de règles pour afficher et modifier la nouvelle règle dans l'éditeur de règles. Cette fonctionnalité vous permet uniquement de créer des règles pour un seul événement.

   Par exemple, à l'aide de la requête de règle précédente, Gemini génère le la règle suivante:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Pour activer la règle, cliquez sur Enregistrer une nouvelle règle. La règle apparaît dans la liste des règles sur la gauche. Pointez sur la règle, cliquez sur l'icône du menu, puis activez l'option Règle en direct à droite (vert). Pour en savoir plus, consultez Gérer les règles à l'aide de l'éditeur de règles.

Envoyer des commentaires sur la règle générée

Vous pouvez envoyer des commentaires sur la règle générée. Ces commentaires servent à améliorer la précision de la fonctionnalité de génération de règles.

• Si la syntaxe de la règle a été générée comme prévu, cliquez sur l'icône J'aime.
• Si la syntaxe de la règle ne correspond pas à vos attentes, cliquez sur l'icône "Je n'aime pas". Cochez l'option qui décrit le mieux le problème que vous avez détecté avec la syntaxe de la règle générée. (Facultatif) Ajoutez des informations supplémentaires dans la section Décrivez votre feedback. Cliquez sur Envoyer des commentaires.

Assistance pour les renseignements sur les menaces et les questions de sécurité

Gemini peut répondre à des questions liées aux renseignements sur les menaces sur des sujets tels que les acteurs de la menace, leurs associations et leurs schémas de comportement, y compris des questions sur les TTP MITRE.

Les questions sur l'intelligence sur les menaces sont limitées aux informations disponibles dans votre édition du produit Google SecOps. Les réponses aux questions peuvent varier en fonction de l'édition du produit. Plus précisément, les données de renseignement sur les menaces sont plus limitées dans les éditions de produits autres qu'Enterprise Plus, car elles n'incluent pas un accès complet à Mandiant et VirusTotal.

Saisissez vos questions dans le volet Gemini.

1. Saisissez une question sur les renseignements sur les menaces. Par exemple : What is UNC3782?

2. Examinez les résultats.

3. Étudiez plus en détail en demandant à Gemini de créer des requêtes à rechercher CTI référencés dans les rapports de Threat Intelligence. Menace informations basées sur l'intelligence sont soumises aux droits d'accès disponibles licence Google SecOps.

Exemple : Questions sur l'intelligence sur les menaces et la sécurité

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini et MITRE

La matrice MITRE ATT&CK® est une base de connaissances qui documente les TTP utilisés par les cybercriminels dans le monde réel. MITRE Matrix permet de comprendre comment votre organisation pourrait être ciblée fournit une syntaxe standardisée pour discuter des attaques.

Vous pouvez poser des questions à Gemini sur les tactiques, techniques et et recevoir des réponses pertinentes d'un point de vue contextuel, y compris les informations MITRE suivantes:

• Stratégie
• Technique
• Sous-technique
• Suggestions de détection
• Procédures
• Mesures d'atténuation

Gemini renvoie un lien vers les détections sélectionnées que Google SecOps met à disposition pour chaque TTP. Vous pouvez également demander Questions complémentaires à Gemini pour obtenir des informations supplémentaires sur un mode de paiement MITRE et son impact potentiel sur votre entreprise.

Supprimer une session de chat

Vous pouvez supprimer votre session de chat ou toutes les sessions de chat. Gemini conserve tous les historiques de conversation des utilisateurs de manière privée et respecte les pratiques d'IA responsable de Google Cloud. L'historique utilisateur n'est jamais utilisé pour entraîner des modèles.

1. Dans le panneau Gemini, sélectionnez Supprimer la discussion dans le menu en haut à droite.
2. Cliquez sur Supprimer la discussion en bas à droite pour supprimer la session de chat en cours.
3. (Facultatif) Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat, puis cliquez sur Supprimer tous les chats.

Fournir des commentaires

Vous pouvez donner votre avis sur les réponses générées par l'IA de Gemini une assistance pour enquêter. Vos commentaires nous aident à améliorer la fonctionnalité et le résultat généré par Gemini.

1. Dans le volet Gemini, sélectionnez l'icône "J'aime" ou "Je n'aime pas".
2. (Facultatif) Si vous sélectionnez "Je n'aime pas", vous pouvez ajouter des commentaires sur pourquoi vous avez choisi cette note.
3. Cliquez sur Envoyer des commentaires.

Résumé Gemini

Le widget Récapitulatif Gemini examine l'ensemble de la demande (alertes, événements et entités) et fournit un résumé généré par IA de l'attention qu'elle peut nécessiter. Le widget résume également les données des alertes pour mieux comprendre la menace et fournit des recommandations sur les prochaines étapes à suivre pour une résolution efficace.

La classification, le résumé et les recommandations incluent tous une option permettant sur le niveau de précision et d'utilité de l'IA. Les commentaires sont utilisés pour nous aider à améliorer la précision.

Le widget Récapitulatif Gemini s'affiche dans l'onglet Vue d'ensemble de la demande de la page Demandes. S'il n'y a qu'une seule alerte dans la demande, vous devez cliquer sur l'onglet Vue d'ensemble de la demande pour afficher ce widget.

Le widget Récapitulatif Gemini ne s'affiche pas pour les demandes créées manuellement ni pour les demandes lancées depuis Votre espace de travail.

Envoyer des commentaires sur le résumé Gemini

1. Si les résultats sont acceptables, cliquez sur l'icône J'aime. Vous pouvez en ajouter d'autres dans le champ Commentaires supplémentaires.

2. Si les résultats ne correspondent pas à vos attentes, cliquez sur l'icône "Je n'aime pas". Sélectionnez une option parmi les options proposées et ajoutez tout commentaire supplémentaire pertinentes.

3. Cliquez sur Envoyer des commentaires.

Supprimer le résumé Gemini

Le widget Résumé Gemini est inclus dans la vue par défaut.

Pour supprimer le widget Résumé Gemini de la vue par défaut, procédez comme suit:

1. Accédez à Paramètres SOAR > Données de demande > Vues.

2. Sélectionnez Vue par défaut de la demande dans le panneau de gauche.

3. Cliquez sur l'icône Supprimer dans le widget Résumé Gemini.

Créer des playbooks avec Gemini

Gemini peut vous aider à simplifier le processus de création de playbooks en transformant vos requêtes en un playbook fonctionnel qui aide à résoudre les problèmes de sécurité.

Créer un playbook à l'aide de requêtes

1. Accédez à Réponse > Playbooks.

2. Sélectionnez l' ajouter et créez un playbook.

3. Dans le volet "Nouveau playbook", sélectionnez Créer des playbooks avec Gemini.

4. Dans le volet de requête, saisissez une requête complète et bien structurée en anglais. Pour en savoir plus sur la rédaction d'une requête de playbook, consultez Rédiger des requêtes pour créer des playbooks sur Gemini.

5. Cliquez sur Generate Playbook (Générer un playbook).

6. Un volet d'aperçu avec le playbook généré s'affiche. Si vous voulez faire modifications, cliquez sur modifier et affiner la requête.

7. Cliquez sur Créer un playbook.

Modifier un playbook à l'aide de requêtes

1. Sélectionnez le playbook requis, puis Modifier le playbook avec Gemini.
2. Apportez toutes les modifications nécessaires.
3. Un volet d'aperçu du playbook modifié vous montre les versions avant et après. Si vous voulez faire cliquez sur Retour et affinez la requête.
4. Une fois que vous êtes satisfait des modifications, cliquez sur Modifier le playbook.

Envoyer des commentaires sur les playbooks créés par Gemini

1. Si les résultats du playbook sont bons, cliquez sur l'icône J'aime. Vous pouvez ajouter des informations supplémentaires dans le champ Commentaires supplémentaires.
2. Si les résultats du playbook ne correspondent pas à vos attentes, cliquez sur l'icône "Je n'aime pas". Sélectionnez l'une des options proposées et ajoutez, le cas échéant, des commentaires que vous jugez pertinents.

Rédiger des requêtes pour créer des playbooks Gemini

La fonctionnalité de playbook Gemini a été conçue pour créer des playbooks en fonction de l'entrée en langage naturel que vous fournissez. Vous devez saisir des requêtes claires et bien structurées dans le champ des requêtes du playbook Gemini, qui génère ensuite un playbook Google SecOps, qui comprend des déclencheurs, des actions et des conditions. La qualité du playbook est influencée par la précision de la requête fournie. Des requêtes bien formulées contenant des informations claires les détails spécifiques produisent des playbooks plus efficaces.

Fonctionnalités de création de playbooks avec Gemini

Vous pouvez effectuer les opérations suivantes avec la fonctionnalité de création de playbook Gemini :

• Créez des playbooks avec les éléments suivants: actions, déclencheurs et flux.
• Utiliser toutes les intégrations commerciales téléchargées
• Indiquez des actions spécifiques et des noms d'intégration dans l'invite en tant qu'étapes du playbook.
• Comprendre les invites permettant de décrire le flux lorsque des intégrations et des noms spécifiques ne sont pas fournis
• Utilisez les flux de conditions compatibles avec les fonctionnalités de réponse SOAR.
• Détecter le déclencheur nécessaire pour le playbook.

Vous ne pouvez pas effectuer les opérations suivantes lorsque vous créez des playbooks à l'aide d'invites :

• Créez ou utilisez des blocs de playbook.
• Utilisez des intégrations personnalisées.
• Utilisez des actions parallèles dans les playbooks.
• Utiliser des intégrations qui n'ont pas été téléchargées ni installées.
• Utilisez des instances d'intégration.

Fonctionnalités de modification des playbooks avec Gemini

La fonctionnalité de modification des playbooks de Gemini vous permet d'effectuer les opérations suivantes:

• Ajoutez des étapes n'importe où dans le playbook.
• Supprimez une étape du playbook.
• Déplacez les étapes dans le playbook.
• Remplacer les actions ou les intégrations par d'autres actions et intégrations.

Vous ne pouvez pas effectuer les opérations suivantes lorsque vous modifiez des playbooks à l'aide d'invites :

• Modifiez les déclencheurs.
• Modifier les conditions. Notez que l'utilisation de paramètres dans les requêtes ne garantit pas toujours l'exécution de l'action appropriée.

Créer des requêtes efficaces

Chaque requête doit inclure les composants suivants:

• Objectif : ce que vous devez générer
• Déclencheur : méthode de déclenchement du playbook
• Action du playbook: action effectuée
• Condition : logique conditionnelle

Exemple de requête utilisant le nom de l'intégration

L'exemple suivant présente une requête bien structurée utilisant un nom d'intégration:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Cette requête contient les quatre composants définis précédemment:

• Objectif clair: gérer les alertes en cas de détection de logiciels malveillants avec un objectif défini.
• Déclencheur spécifique : l'activation est basée sur un événement spécifique, la réception d'une alerte de logiciel malveillant.
• Actions du playbook: améliore une entité SOAR Google Security Operations avec des données provenant d'une intégration tierce (VirusTotal).
• Réponse conditionnelle : spécifie une condition basée sur des résultats précédents. Par exemple, si le hachage du fichier est considéré comme malveillant, le fichier doit être mis en quarantaine.

Exemple de requête utilisant un flux au lieu d'un nom d'intégration

L'exemple suivant montre une requête bien structurée, mais décrit le flux sans mentionner le nom de l'intégration.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La fonctionnalité de création de playbooks Gemini permet description d'une action (enrichir un hachage de fichier) et en parcourant les afin de trouver celle qui convient le mieux à cette action.

La fonctionnalité de création de playbook Gemini ne peut choisir que parmi les intégrations déjà installées dans votre environnement.

Déclencheurs personnalisés

En plus d'utiliser des déclencheurs standards, vous pouvez personnaliser un déclencheur dans l'invite du playbook. Vous pouvez spécifier des espaces réservés pour les objets suivants:

• Alerte
• Événement
• Entité
• Environnement
• Texte libre

Dans l'exemple suivant, du texte libre est utilisé pour créer un déclencheur qui s'exécute pour tous les e-mails présents dans le dossier e-mails suspects, à l'exception des messages concernés ; dont l'objet contient le mot [TEST].

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Conseils pour rédiger des requêtes

• Il est recommandé d'utiliser des noms d'intégration spécifiques: Ne spécifiez les intégrations que si elles sont est déjà installé et configuré dans votre environnement.
• Profitez de la spécialisation de Gemini : la fonctionnalité de création de playbooks Gemini est conçue spécifiquement pour créer des playbooks en fonction d'invites qui correspondent à la gestion des incidents, à la détection des menaces et aux workflows de sécurité automatisés.
• Détaillez l'objectif, le déclencheur, l'action et la condition.
• Incluez des objectifs clairs : commencez par un objectif clair, comme la gestion des alertes de logiciels malveillants, et spécifiez les déclencheurs qui activent le playbook.
• inclure des conditions pour les actions, comme l'enrichissement de données ou la mise en quarantaine de fichiers, sur la base de l'analyse des menaces. Cette clarté et cette spécificité améliorent l'efficacité et le potentiel d'automatisation du playbook.

Exemples de requêtes bien structurées

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.