セキュリティ運用における Gemini
Gemini、大規模言語モデル、責任ある AI の詳細については、Gemini for Code をご覧ください。また、Gemini のドキュメントとリリースノートもご覧ください。
可用性 - セキュリティ運用における Gemini は、コンプライアンス要件のないお客様がグローバルに使用できます。
料金 - 料金の詳細については、Google Security Operations の料金をご覧ください
Gemini のセキュリティ - Google Cloud での Gemini セキュリティ機能の詳細については、生成 AI によるセキュリティをご覧ください
データ ガバナンス - Gemini データ ガバナンスのプラクティスの詳細については、Gemini for Google Cloud がデータを使用する仕組みをご覧ください
認証 - Gemini 認証の詳細については、Gemini の認証をご覧ください
Sec-PaLM 大規模言語モデル - Gemini for Security Operations では Sec-PaLM を使用します。Sec-PaLM は、セキュリティ ブログ、脅威インテリジェンス レポート、YARA と YARA-L の検出ルール、SOAR ハンドブック、マルウェア スクリプト、脆弱性情報、プロダクト ドキュメント、その他多くの専用データセットなどのデータでトレーニングされています。詳細については、生成 AI によるセキュリティをご覧ください
以下のセクションでは、Gemini を活用した Google Security Operations 機能に関するドキュメントについて説明します。
Gemini を使用してセキュリティの問題を調査する
Gemini は、Google Security Operations のあらゆる部分からアクセスできる調査支援を提供します。Gemini は、次のサポートを提供することで調査を支援します。
- 検索: Gemini は、自然言語プロンプトを使用して、関連するイベントをターゲットにした検索構築、編集、実行を支援します。 また、Gemini は検索の反復処理、範囲の調整、期間の延長、フィルタの追加も支援します。これらのタスクはすべて、Gemini ペインに入力された自然言語プロンプトを使用して完了できます。
- 検索の要約: Gemini は、すべての検索と後続のフィルタ アクションの後で、検索結果を自動的に要約できます。Gemini ペインでは、検索の結果が簡潔でわかりやすい形式で要約されます。また Gemini は、提供する要約について、コンテキストに応じたフォローアップの質問に回答することもできます。
- ルール生成: Gemini は、生成した UDM 検索クエリから新しい YARA-L ルールを作成できます。
- セキュリティに関する質問と脅威インテリジェンス分析: Gemini は、セキュリティ ドメインに関する一般的な質問に回答できます。また、Gemini は特定の脅威インテリジェンスに関する質問に回答し、脅威アクター、IOC、脅威インテリジェンスに関するその他のトピックに関する要約を提供できます。
- インシデント修復: 返されたイベント情報に基づいて、Gemini は後続のステップを提案できます。提案は、検索結果のフィルタ後にも表示されることがあります。たとえば、Gemini は、関連するアラートやルールの確認や、特定のホストやユーザーのフィルタを提案できます。
Gemini ペインを使用して UDM 検索クエリを生成する
- Google Security Operations の UI に移動し、Gemini ペインを開きます。
- 自然言語プロンプトを入力し、Enter キーを押します。自然言語プロンプトは英語にする必要があります。
- 生成された UDM 検索クエリを確認します。生成された検索クエリが要件を満たしている場合は、[検索を実行] をクリックします。
- Gemini は、結果の要約と推奨されるアクションを生成します。
- 調査を続行するには、Gemini から提供される検索結果に関する自然言語のフォローアップの質問を入力します。
検索プロンプトとフォローアップの質問の例
Show me all failed logins for the last 3 days
Generate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.n
Who is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
List all of the domains in the results set
What types of events were returned?
Show me events from my firewall in the last 24 hours
What were the 16 unique hostnames in the results set?
What were the 9 unique IPs associated with the results set?
Gemini を使用して YARA-L ルールを生成する
Gemini は、生成した検索クエリから YARA-L ルールを作成できます。
- 自然言語プロンプトを使用してルールを生成します(例:
write a rule to look for failed login events
)。Enter キーを押します。Gemini は、Gemini ペインで検索した動作を検出するルールを生成します。 - [ルールエディタで開く] をクリックして、ルールエディタで新しいルールを表示、変更します。
- Google Security Operations でルールを保存して使用するには、[新しいルールを保存] をクリックします。
脅威インテリジェンスとセキュリティ保護用の質問の支援
Gemini は、脅威アクター、その関係、行動パターンなどのトピックに関する脅威インテリジェンスの関連質問に回答できます。質問は Gemini ペインに入力できます。
- 脅威インテリジェンスに関する質問を入力します。例:
What is UNC3782?
- 結果を確認します。
- 脅威インテリジェンス レポートで参照される特定の IOC を検索するクエリを作成するよう Gemini に指示して、調査を続行します。脅威インテリジェンスの情報は、Google Security Operations ライセンスによって提供される利用資格に依存します。
例: 脅威インテリジェンスとセキュリティ保護用の質問
Help me hunt for APT 44
Are there any known attacker tools that use RDP to brute force logins?
Is 103.224.80.44 suspicious?
What types of attacks may be associated with CVE-2020-14145?
Can you provide details around buffer overflow and how it can affect the target machine?
チャット セッションを削除する
チャットの会話セッションを削除するか、すべてのチャット セッションを削除できます。Gemini は、ユーザーのすべての会話履歴を非公開で保持し、Google Cloud の責任ある AI への取り組みを遵守します。ユーザー履歴はモデルのトレーニングには使用されません。
- Gemini ペインで、右上のメニューから [チャットを削除] を選択します。
- 右下にある [チャットを削除] をクリックして、現在のチャット セッションを削除します。
- (省略可)すべてのチャット セッションを削除するには、[チャット セッションをすべて削] を選択してから、[チャットをすべて削除] をクリックします。
フィードバックを送信
Gemini AI Investigation 支援で生成された回答に対して、フィードバックを提供できます。皆様のフィードバックは、Google の機能と Gemini が生成する出力の改善に役立ちます。
- Gemini ペインで、高評価または低評価のアイコンを選択します。
- (省略可)低評価を選択した場合は、その評価を選択した理由に関するフィードバックを追加できます。
- [フィードバックを送信] をクリックします。
自然言語を使用して UDM 検索クエリを生成する
データに関する単純な自然言語検索を入力すると、Google Security Operations でこのステートメントを、UDM イベントに対して実行できる UDM 検索クエリに変換できます。
自然言語検索を使用して UDM 検索クエリを作成するには、次の手順を完了します。
- Google Security Operations にログインします。
- [検索] に移動します。
自然言語のクエリバーに検索ステートメントを入力し、[Generate Query] をクリックします。
検索には英語を使用する必要があります。
有用な UDM 検索を生成するステートメントの例を次に示します。
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to john@example.com or jane@example.com
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by sent from admin@acme.com on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "sam@acme.com"
- yesterday
- within the last 5 days
- on Jan 1, 2023
生成された UDM 検索クエリを確認します。
(省略可)検索の期間を調整します。
[検索を実行] をクリックします。
検索結果を確認して、イベントが存在するかどうかを確認します。必要に応じて、検索フィルタを使用して結果の一覧を絞り込みます。
[生成されたクエリ] のフィードバック アイコンを使用して、クエリに関するフィードバックを提供します。次のいずれかを選択します。
- クエリから期待される結果が返された場合は、「高く評価」アイコンをクリックします。
- クエリから返された結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。
- (省略可)[フィードバック] フィールドに追加情報を入力します。
- 結果を改善するために修正した UDM 検索クエリを送信するには:
- 生成された UDM 検索クエリを編集します。
- [送信] をクリックします。クエリを書き換えていない場合、ダイアログ内のテキストでクエリを編集するように求められます。
- [送信] をクリックします。修正された UDM 検索クエリはセンシティブ データをサニタイズし、結果を改善するために使用されます。
検索ステートメントに時間ベースの用語が含まれている場合、一致するように時間ピッカーが自動的に調整されます。たとえば、これは次の検索に該当します。
検索ステートメントを解釈できない場合は、次のメッセージが表示されます。
「有効なクエリを生成できませんでした。別の方法を試してください。」
自然言語を使用してルールを生成する
自然言語検索を使用して UDM 検索クエリを生成したら、次の手順を完了し、対応するセキュリティ情報と含まれるルール情報を使用して Google Security Operations ルールを生成できます。
-
たとえば、自然言語ステートメント
Find all logins from bruce-monroe
は UDM 検索metadata.event_type = "USER_LOGIN" AND principal.user.userid = "bruce-monroe"
に変換されます。 [ルールを作成] をクリックします。
たとえば、先ほど生成された UDM 検索を使用して、Google Security Operations は次のルールを生成します。
rule logins_from_bruce_monroe { meta: author = "Google Gemini" description = "Detect logins from bruce-monroe" events: $e.metadata.event_type = "USER_LOGIN" $e.principal.user.userid = "bruce-monroe" outcome: $principal_ip = array($e.principal.ip) $target_ip = array($e.target.ip) $target_hostname = $e.target.hostname $action = array($e.security_result.action) condition: $e }
[Open in editor] をクリックして、生成された YARA-L ルール、ルール名、ルールに含まれる追加のメタデータを確認します。この機能を使用して、単一イベントルールのみを作成できます。
ルールを有効にするには、ルールエディタで [Save New Rule] をクリックします。左側のルールリストにルールが表示されます。ルールの上にポインタを置き、メニュー アイコンをクリックし、[Live Rule] オプションを右(緑)に切り替えます。詳細については、ルールエディタを使用してルールを管理するをご覧ください。
生成されたルールに関するフィードバックを提供する
生成されたルールに関するフィードバックを提供できます。このフィードバックは、ルール生成機能の精度を向上させるために使用されます。
ルールに関するフィードバックを提供するには、次の手順を行います。
- [Feedback on Rule] をクリックします。
- ルールの構文が期待どおりに生成された場合は、「高く評価」アイコンをクリックします。
- ルールの構文が期待どおりでない場合は、「低く評価」アイコンをクリックします。
- (省略可)[Tell us more] フィールドに詳細を入力します。
- [フィードバックを送信する] をクリックします。
AI Investigation ウィジェット
AI Investigation ウィジェットはケース全体(アラート、イベント、エンティティ)を確認し、ケースでどの程度の注意が必要かに関する AI 生成のケースの概要を提供します。また、ウィジェットは脅威をより深く理解するためにアラートデータを要約し、効果的な修復のために次のステップに関する推奨事項を提供します。
分類、要約、推奨事項のすべてに、AI の精度と有用性のレベルに関するフィードバックを入力するオプションが含まれています。フィードバックは精度の向上に役立てられます。
AI Investigation ウィジェットが、[Cases] ページの [Case Overview] タブに表示されます。ケースにアラートが 1 つしかない場合は、[Case Overview] タブをクリックしてこのウィジェットを表示する必要があります。
手動で作成されたケースや [Your Workdesk] から開始されたリクエスト ケースでは、AI Investigation ウィジェットが表示されません。
AI Investigation ウィジェットに関するフィードバックを送信する
結果が許容できる場合は、「高く評価」アイコンをクリックします。[その他のフィードバック] フィールドで詳細情報を追加できます。
結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。表示されたオプションから 1 つを選択し、関連があると思われるその他のフィードバックを追加します。
[フィードバックを送信] をクリックします。
AI Investigation ウィジェットを削除する
デフォルトのビューには AI Investigation ウィジェットが含まれています。
デフォルト ビューから AI Investigation ウィジェットを削除するには、次の操作を行います。
[SOAR Settings] > [Case Data] > [Views] に移動します。
左側のパネルから [Default Case View] を選択します。
AI Investigation ウィジェットの [削除] アイコンをクリックします。