Gemini no Google SecOps

Para saber mais sobre o Gemini, modelos de linguagem grandes e IA responsável, consulte Gemini para código (link em inglês). Confira também a documentação do Gemini e as notas da versão.

• Disponibilidade: o Gemini no Google SecOps está disponível globalmente. Os dados do Gemini são processados nas seguintes regiões: us-central1, asia-southeast1 e europe-west1. As solicitações do cliente são encaminhadas para a região mais próxima para processamento.

• Preços: para informações sobre preços, consulte pricing das Operações de segurança do Google

• Segurança do Gemini: para informações sobre os recursos de segurança do Gemini no Google Cloud, consulte Segurança com IA generativa

• Governança de dados: para informações sobre as práticas de governança de dados do Gemini, consulte Como o Gemini para Google Cloud usa seus dados.

• Certificações: para mais informações sobre as certificações do Gemini, consulte Certificações do Gemini

• Plataforma SecLM: o Gemini para Google SecOps usa uma variedade de modelos de linguagem grandes pela plataforma SecLM, incluindo o modelo especializado Sec-PaLM. A Sec-PaLM é treinada com base em dados, incluindo blogs de segurança, relatórios de inteligência contra ameaças, regras de detecção de YARA e YARA-L, playbooks de SOAR, scripts de malware, informações de vulnerabilidade, documentação de produtos e muitos outros conjuntos de dados especializados. Para mais informações, consulte Segurança com IA generativa

As seções a seguir fornecem documentação sobre os recursos do Google SecOps com tecnologia do Gemini:

• Usar o Gemini para investigar problemas de segurança

• Gerar consultas de pesquisa do UDM

• Gerar uma regra YARA-L usando o Gemini

• Ajuda com questões de segurança e inteligência contra ameaças

• Usar o widget de investigação de IA

• Criar playbooks usando o Gemini

Use o Gemini para investigar problemas de segurança

O Gemini fornece assistência na investigação que pode ser acessada de qualquer parte do Google SecOps. O Gemini pode ajudar nas suas investigações oferecendo suporte para o seguinte:

• Pesquisa: o Gemini pode ajudar você a criar, editar e realizar pesquisas direcionadas a eventos relevantes usando comandos de linguagem natural. O Gemini também pode ajudar você a iterar em uma pesquisa, ajustar o escopo, ampliar o período e adicionar filtros. É possível concluir todas essas tarefas usando comandos em linguagem natural no painel do Gemini.
• Resumos de pesquisa: o Gemini pode resumir automaticamente os resultados da pesquisa após cada pesquisa e ação de filtro subsequente. O painel Gemini resume os resultados da sua pesquisa em um formato conciso e compreensível. O Gemini também pode responder perguntas de acompanhamento contextuais sobre os resumos.
• Geração de regras: o Gemini pode criar novas regras YARA-L com base nas consultas de pesquisa de UDM geradas.
• Perguntas de segurança e análise de inteligência contra ameaças: o Gemini pode responder a perguntas gerais de domínio de segurança. Além disso, ele pode responder a perguntas específicas de inteligência contra ameaças e fornecer resumos sobre agentes de ameaças, IOCs e outros tópicos de inteligência contra ameaças.
• Correção de incidentes: com base nas informações de eventos retornadas, o Gemini pode sugerir que você siga as etapas. As sugestões também podem aparecer após a filtragem dos resultados da pesquisa. Por exemplo, ele pode sugerir revisar um alerta ou regra relevante ou filtrar um host ou usuário específico.

Gerar consultas de pesquisa de UDM

Você pode usar o Gemini para gerar consultas de UDM no painel do Gemini ou ao usar a pesquisa UDM.

Para melhores resultados, o Google recomenda usar o painel Gemini para gerar consultas de pesquisa.

• Gerar uma consulta de pesquisa UDM no painel Gemini

• Gerar uma consulta de pesquisa do UDM na pesquisa do UDM

Gerar uma consulta de pesquisa UDM usando o painel Gemini

1. Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.

2. Digite um comando de linguagem natural e pressione Enter. O comando em linguagem natural precisa estar em inglês.

   

   Figura 1: abrir o painel do Gemini e inserir o comando

3. Revise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa.

4. O Gemini produz um resumo dos resultados com as ações sugeridas.

5. Insira perguntas complementares em linguagem natural sobre os resultados da pesquisa fornecidos pelo Gemini para continuar sua investigação.

Exemplos de comandos de pesquisa e perguntas complementares

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa UDM usando linguagem natural

Com o recurso Pesquisa de SecOps do Google, é possível inserir uma consulta de linguagem natural sobre seus dados e o Gemini pode traduzi-la em uma consulta de pesquisa de UDM que pode ser executada em eventos de UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa em linguagem natural e criar uma consulta de UDM, siga estas etapas:

1. Faça login no Google SecOps.
2. Acesse Pesquisa.

3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. É necessário usar o inglês para a pesquisa.

   

   Figura 2: insira uma pesquisa em linguagem natural e clique em "Gerar consulta"

   Veja a seguir alguns exemplos de instruções que podem gerar uma pesquisa de UDM útil:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplicaria às seguintes pesquisas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Se não for possível interpretar a instrução de pesquisa, você verá a seguinte mensagem:
"Não foi possível gerar uma consulta válida. Tente perguntar de um jeito diferente”.

4. Revise a consulta de pesquisa do UDM gerada.

5. (Opcional) Ajuste o período da pesquisa.

6. Clique em Executar pesquisa.

7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.

8. Forneça feedback sobre a consulta usando os ícones de feedback Generated Query. Selecione uma destas opções:

   • Se a consulta retornar os resultados esperados, clique no ícone "Gostei".
   • Se a consulta não retornar os resultados esperados, clique no ícone "Não gostei".
   • Opcional: inclua mais detalhes no campo Feedback.
   • Para enviar uma consulta de pesquisa UDM revisada que ajude a melhorar os resultados:
   • Edite a consulta de pesquisa UDM que foi gerada.
   • Clique em Enviar. Se você não reescreveu a consulta, o texto na caixa de diálogo solicitará que você a edite.
   • Clique em Enviar. A consulta de pesquisa UDM revisada será limpa em relação a dados sensíveis e usada para melhorar os resultados.

Gerar uma regra YARA-L usando o Gemini

1. Use um comando de linguagem natural para gerar uma regra (por exemplo, create a rule to detect logins from bruce-monroe). Pressione Enter. O Gemini gera uma regra para detectar o comportamento que você pesquisou no painel do Gemini.

2. Clique em Abrir no editor de regras para visualizar e modificar a nova regra no Editor de regras. Esse recurso só pode ser usado para criar regras de evento único.

   Por exemplo, usando o comando de regra anterior, o Gemini gera a seguinte regra:

   rule logins_from_bruce_monroe {
     meta:
       author = "Google Gemini"
       description = "Detect logins from bruce-monroe"
     events:
       $e.metadata.event_type = "USER_LOGIN"
       $e.principal.user.userid = "bruce-monroe"
     outcome:
       $principal_ip = array($e.principal.ip)
       $target_ip = array($e.target.ip)
       $target_hostname = $e.target.hostname
       $action = array($e.security_result.action)
     condition:
       $e
   }
   

3. Para ativar a regra, clique em Salvar nova regra. A regra aparece na lista de regras à esquerda. Mantenha o ponteiro sobre a regra, clique no ícone de menu e alterne a opção Live Rule para a direita (verde). Para mais informações, consulte Gerenciar regras usando o Editor de regras.

Enviar comentários sobre a regra gerada

Você pode enviar feedback sobre a regra gerada. Esse feedback é usado para melhorar a precisão do recurso de geração de regras.

• Se a sintaxe da regra tiver sido gerada conforme esperado, clique no ícone "Gostei".
• Se a sintaxe da regra não for a esperada, clique no ícone "Não gostei". Marque a opção que melhor indica o problema encontrado com a sintaxe da regra gerada. (Opcional) Inclua mais detalhes no campo Descreva seu feedback. Clique em Enviar feedback.

Assistência com perguntas sobre segurança e inteligência contra ameaças

O Gemini pode responder a perguntas relacionadas à inteligência contra ameaças sobre tópicos, como agentes de ameaças, as associações e os padrões de comportamento deles, incluindo perguntas sobre TTPs do MITRE.

As perguntas de inteligência contra ameaças são limitadas às informações disponíveis na sua edição de produto do Google SecOps. As respostas às perguntas podem variar dependendo da edição do produto. Especificamente, os dados de inteligência contra ameaças são mais limitados em edições de produtos diferentes do Enterprise Plus, porque não incluem acesso total à Mandiant e ao VirusTotal.

Digite suas perguntas no painel do Gemini.

1. Faça uma pergunta de inteligência contra ameaças. Por exemplo: What is UNC3782?

2. Analise os resultados.

3. Investigue mais pedindo ao Gemini para criar consultas para procurar IOCs específicos referenciados nos relatórios de inteligência contra ameaças. As informações de inteligência contra ameaças estão sujeitas aos direitos disponíveis na sua licença do Google SecOps.

Exemplo: perguntas de segurança e inteligência contra ameaças

• Help me hunt for APT 44
• Are there any known attacker tools that use RDP to brute force logins?
• Is 103.224.80.44 suspicious?
• What types of attacks may be associated with CVE-2020-14145?
• Can you provide details around buffer overflow and how it can affect the target machine?

Gemini e MITRE

A MITRE ATT&CK® Matrix é uma base de conhecimento que documenta os TTPs usados por adversários cibernéticos reais. A MITRE Matrix fornece uma compreensão de como sua organização pode ser visada e fornece uma sintaxe padronizada para discutir ataques.

É possível fazer perguntas ao Gemini sobre táticas, técnicas e procedimentos (TTPs) do MITRE e receber respostas contextualmente relevantes que incluem os seguintes detalhes do MITRE:

• Tática
• Técnica
• Subtécnica
• Sugestões de detecção
• Procedimentos
• Mitigações

o Gemini retorna um link para as detecções selecionadas que o Google SecOps disponibilizou para cada TTP. Você também pode fazer perguntas complementares ao Gemini para ter mais insights sobre um MITRE TTP e como ele pode afetar sua empresa.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém todos os históricos de conversas dos usuários de forma particular e segue as práticas de IA responsável do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.

1. No painel do Gemini, selecione Excluir conversa no menu no canto superior direito.
2. Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
3. (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback às respostas geradas pela assistência de investigação do Gemini AI. Seu feedback ajuda o Google a melhorar o recurso e os resultados gerados pelo Gemini.

1. No painel do Gemini, selecione o ícone "Gostei" ou "Não gostei".
2. (Opcional) Se você selecionar "Não gostei", poderá dar mais feedback sobre por que escolheu a classificação.
3. Clique em Enviar comentários.

Widget de investigação de IA

O widget de investigação de IA analisa todo o caso (alertas, eventos e entidades) e fornece um resumo gerado por IA de quanta atenção o caso pode exigir. O widget também resume os dados de alertas para uma melhor compreensão da ameaça e fornece recomendações de próximas etapas a serem tomadas para uma correção eficaz.

A classificação, o resumo e as recomendações incluem uma opção para deixar feedback sobre o nível de precisão e utilidade da IA. O feedback é usado para nos ajudar a melhorar a precisão.

O widget de investigação de IA é exibido na guia Visão geral do caso na página Casos. Se houver apenas um alerta no caso, você precisará clicar na guia Visão geral do caso para ver esse widget.

O widget de investigação de IA não é exibido para casos criados manualmente ou que solicitam casos iniciados na sua mesa de trabalho.

Envie feedback sobre o widget de investigação de IA

1. Se os resultados forem aceitáveis, clique no ícone "Gostei". Você pode adicionar mais informações no campo Outros feedbacks.

2. Se os resultados não forem os esperados, clique no ícone "Não gostei". Selecione uma das opções fornecidas e inclua qualquer outro feedback que você considere relevante.

3. Clique em Enviar feedback.

Remover o widget de investigação de IA

O widget de investigação de IA está incluído na visualização padrão.

Para remover o widget de investigação de IA da visualização padrão, faça o seguinte:

1. Navegue até Configurações SOAR > Dados do caso > Visualizações.

2. Selecione Default Case View no painel lateral esquerdo.

3. Clique no ícone Excluir no widget de investigação de IA.

Criar playbooks com o Gemini

O Gemini simplifica o processo de criação de playbooks transformando seus comandos em um playbook funcional para resolver problemas de segurança.

Criar um playbook usando comandos

1. Acesse Resposta > Playbooks.
2. Selecione o ícone de adição add e crie um novo playbook.
3. No novo painel do playbook, selecione Criar playbooks usando IA.
4. No painel de comandos, insira um comando abrangente e bem estruturado em inglês. Para mais informações sobre como escrever um comando do playbook, consulte Como escrever comandos para a criação do playbook do Gemini.
5. Clique em Gerar playbook.
6. Um painel de visualização com o playbook gerado será exibido. Se quiser fazer mudanças, clique em editar e refine o comando.
7. Clique em Criar playbook.
8. Se você quiser fazer alterações no playbook quando ele for exibido no painel principal, selecione Criar playbooks usando IA e reescreva seu comando. O Gemini vai criar um playbook para você.

Fornecer feedback para os playbooks criados pelo Gemini

1. Se os resultados do playbook forem bons, clique no ícone "Gostei". Você pode adicionar mais informações no campo Feedback adicional.
2. Se os resultados do playbook não forem os esperados, clique no ícone "Não gostei". Selecione uma das opções fornecidas e inclua qualquer outro feedback que você considere relevante.

Escrever comandos para a criação do playbook do Gemini

O recurso de playbooks do Gemini foi desenvolvido para criar playbooks baseados no que você insere em linguagem natural. Você precisa inserir comandos claros e bem estruturados na caixa de comandos do playbook do Gemini, que vai gerar um playbook do Google SecOps, que inclui gatilhos, ações e condições. A qualidade do playbook é influenciada pela precisão do comando fornecido. Comandos bem formulados com detalhes claros e específicos produzem playbooks mais eficazes.

Recursos de criação de playbooks com o Gemini

Você pode fazer o seguinte com os recursos de criação do playbook do Gemini:

• Criar novos playbooks com estes itens: ações, gatilhos, fluxos.
• Usar todas as integrações comerciais transferidas por download.
• Coloque ações específicas e nomes de integração no comando como etapas do playbook.
• Compreender os comandos para descrever o fluxo quando integrações e nomes específicos não são fornecidos.
• Use os fluxos de condições conforme compatível com as capacidades de resposta do SOAR.
• Detectar qual gatilho é necessário para o playbook.

Não é possível fazer o seguinte usando comandos:

• Atualizar os playbooks atuais.
• Criar ou usar blocos de playbooks.
• Usar integrações personalizadas.
• Usar ações paralelas em playbooks.
• Usar integrações que não foram transferidas por download e instaladas.
• Usar instâncias de integração.

O uso de parâmetros em prompts nem sempre resulta na ação correta usada.

Como criar comandos eficientes

Cada comando precisa incluir os seguintes componentes:

• Objetivo: o que gerar
• Gatilho: como o playbook será acionado.
• Ação do manual: o que ele faz
• Condição: lógica condicional

Exemplo de comando que usa o nome da integração

O exemplo abaixo mostra um comando bem estruturado usando um nome de integração:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esse comando contém os quatro componentes definidos anteriormente:

• Objetivo claro: tem um objetivo definido, lidando com alertas de malware.
• Gatilho específico: a ativação é baseada em um evento específico e recebe um alerta de malware.
• Ações do manual: aprimora uma entidade do SOAR do Google Security Operations com dados de uma integração de terceiros (VirusTotal).
• Resposta condicional: especifica uma condição com base em resultados anteriores. Por exemplo, se o hash do arquivo for considerado malicioso, o arquivo precisará ser colocado em quarentena.

Exemplo de comando que usa um fluxo em vez de um nome de integração

O exemplo a seguir mostra um comando bem estruturado, mas descreve o fluxo sem mencionar o nome da integração específica.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

O recurso de criação de playbooks do Gemini é capaz de processar essa descrição de uma ação, enriquecendo um hash de arquivo, e analisar as integrações instaladas para encontrar a melhor opção para essa ação.

O recurso de criação do playbook do Gemini só pode escolher integrações que já estejam instaladas no seu ambiente.

Gatilhos personalizados

Além de usar gatilhos padrão, um gatilho pode ser personalizado no prompt do playbook. É possível especificar marcadores de posição para os seguintes objetos:

• Alerta
• Evento
• Entidade
• Ambiente
• Texto livre

No exemplo a seguir, o texto livre é usado para criar um acionador que é executado para todos os e-mails da pasta e-mail suspeito, exceto aqueles que contêm a palavra [TEST] na linha de assunto do e-mail.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Dicas para escrever comandos

• A prática recomendada é usar nomes de integração específicos. Especifique as integrações apenas se elas já estiverem instaladas e configuradas no seu ambiente.
• Aproveite a especialização do Gemini: o recurso de criação de playbooks do Gemini foi projetado especificamente para criar playbooks baseados em comandos alinhados com resposta a incidentes, detecção de ameaças e fluxos de trabalho de segurança automatizados.
• Descreva a finalidade, o gatilho, a ação e a condição.
• Inclua objetivos claros: comece com um objetivo claro, como gerenciar alertas de malware, e especifique gatilhos que ativem o playbook.
• Inclua condições para ações, como enriquecer dados ou colocar arquivos em quarentena, com base na análise de ameaças. Isso aumenta a eficácia e o potencial de automação do playbook.

Exemplos de comandos bem estruturados

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.