Google SecOps 中的 Gemini

如需详细了解 Gemini、大语言模型和 Responsible AI, 请参阅适用于 代码 ,了解所有最新动态。您还可以参阅 Gemini 文档版本说明

  • 提供情况:Google SecOps 中的 Gemini 面向全球提供。Gemini 数据在以下区域处理:us-central1asia-southeast1europe-west1。客户 请求会被路由到最近的区域进行处理。

  • 价格:如需了解价格信息,请参阅 Google Security Operations 价格

  • Gemini 安全:如需了解 Google Cloud 中的 Gemini 安全功能,请参阅利用生成式 AI 实现安全

  • 数据治理:如需了解 Gemini 数据治理做法,请参阅 Gemini for Google Cloud 如何使用您的数据

  • 认证:如需了解 Gemini 认证,请参阅 Gemini 认证

  • SecLM 平台:适用于 Google SecOps 的 Gemini 通过 SecLM 平台使用一系列大型语言模型,包括专用 Sec-PaLM 模型。Sec-PaLM 使用安全博客、威胁情报报告、YARA 和 YARA-L 检测规则、SOAR 手册、恶意软件脚本、漏洞信息、产品文档以及许多其他专用数据集进行训练。如需了解详情,请参阅生成式 AI 安全

以下部分提供了有关 由 Gemini 提供支持的 Google SecOps 功能:

使用 Gemini 调查安全问题

Gemini 提供调查协助,可通过以下链接访问: Google SecOps 的任何部分。Gemini 可以协助您 通过为以下方面提供支持来协助我们开展调查:

  • 搜索:Gemini 可帮助您使用自然语言提示构建、修改和运行定位到相关事件的搜索。Gemini 还可以帮助您迭代搜索、调整范围、扩大时间范围和添加过滤条件。你可以完成所有这些任务 使用 Gemini 窗格中输入的自然语言提示。
  • 搜索摘要:Gemini 可以在每次搜索和随后的过滤操作后自动生成搜索结果摘要。Gemini 窗格会以简洁易懂的格式汇总您的搜索结果。Gemini 还可以回答与上下文相关的跟进问题 与所提供摘要相关的问题。
  • 规则生成:Gemini 可以根据 它生成的 UDM 搜索查询。
  • 安全问题和威胁情报分析:Gemini 可以回答常见的安全领域问题。此外,Gemini 还可以回答特定的威胁情报问题,并提供有关威胁执行者、IOC 和其他威胁情报主题的摘要。
  • 突发事件补救措施:Gemini 可以根据返回的事件信息建议后续步骤。过滤搜索结果后,系统可能还会显示建议。例如,Gemini 可能会建议您查看相关提醒或规则,或者过滤出特定主机或用户。

您可以使用 Gemini 根据 Gemini 窗格或 UDM 搜索时。

为获得最佳效果,Google 建议您使用 Gemini 窗格来生成 搜索查询。

使用 Gemini 窗格生成 UDM 搜索查询

  1. 登录 Google SecOps,并通过以下方式打开 Gemini 窗格: 点击 Gemini 徽标
  2. 输入自然语言提示,然后按 Enter。自然语言提示必须使用英语。

    打开 Gemini 窗格并输入提示

    图 1:打开 Gemini 窗格并输入提示

  3. 查看生成的 UDM 搜索查询。如果生成的搜索查询符合您的要求,请点击运行搜索

  4. Gemini 会生成结果摘要以及建议的操作。

  5. 输入有关 Gemini 提供的搜索结果的自然语言后续问题,以继续调查。

搜索提示和后续问题示例
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

使用自然语言生成 UDM 搜索查询

借助 Google SecOps 搜索功能,您可以输入 Gemini 可以将您的数据翻译成 可针对 UDM 事件运行的 UDM 搜索查询。

为获得更好的结果,Google 建议您使用 Gemini 窗格生成搜索查询

若要使用自然语言搜索来创建 UDM 搜索查询,请先完成 操作步骤:

  1. 登录 Google SecOps。
  2. 前往搜索
  3. 在自然语言查询栏中输入搜索语句,然后点击 生成查询。您必须使用英语进行搜索。

    输入自然语言搜索查询,然后点击“生成查询”

    图 2:输入自然语言搜索条件,然后点击 Generate Query

    以下是一些可能生成有用 UDM 搜索的语句示例:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"
  4. 如果搜索语句包含基于时间的字词,则时间选择器会自动调整以匹配。例如,这适用于以下搜索:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    如果无法解读搜索语句,您会看到以下消息:
    “抱歉,无法生成有效的查询。试着问 。”

  5. 查看生成的 UDM 搜索查询。

  6. (可选)调整搜索时间范围。

  7. 点击运行搜索

  8. 查看搜索结果,确定相应事件是否存在。如有需要,请使用搜索过滤条件来缩小结果列表。

  9. 使用生成的查询反馈图标提供有关查询的反馈。从下列选项中选择一项:

    • 如果查询返回预期结果,请点击拇指朝上图标。
    • 如果查询没有返回预期结果,请点击“不喜欢” 图标。
    • (可选)在反馈字段中添加更多详细信息。
    • 如需提交经过修改的 UDM 搜索查询以帮助改进结果,请执行以下操作:
    • 修改生成的 UDM 搜索查询。
    • 点击提交。如果您没有重新编写查询,则对话框中的文本 提示您修改查询
    • 点击提交。系统会对修订后的 UDM 搜索查询进行净化 敏感数据,并用于改进结果。

使用 Gemini 生成 YARA-L 规则

  1. 使用自然语言提示生成规则(例如 create a rule to detect logins from bruce-monroe)。按 Enter 键。Gemini 会生成一个规则,用于检测您在 Gemini 窗格中搜索的行为。

  2. 点击在规则编辑器中打开,在“规则”中查看和修改新规则 编辑器。使用此功能时,您只能创建单一事件规则。

    例如,使用上一个规则提示,Gemini 会生成以下规则:

    rule logins_from_bruce_monroe {
      meta:
        author = "Google Gemini"
        description = "Detect logins from bruce-monroe"
      events:
        $e.metadata.event_type = "USER_LOGIN"
        $e.principal.user.userid = "bruce-monroe"
      outcome:
        $principal_ip = array($e.principal.ip)
        $target_ip = array($e.target.ip)
        $target_hostname = $e.target.hostname
        $action = array($e.security_result.action)
      condition:
        $e
    }
    
  3. 如需启用此规则,请点击保存新规则。该规则会显示在左侧的规则列表中。将鼠标指针悬停在相应规则上,点击菜单图标,然后将右侧的实时规则选项切换为开启(绿色)。如需了解详情,请参阅使用规则编辑器管理规则

针对生成的规则提供反馈

您可以针对生成的规则提供反馈。这些反馈将用于提高规则生成功能的准确性。

  • 如果规则语法按预期生成,请点击拇指朝上图标。
  • 如果规则语法与预期不符,请点击“不喜欢”图标。选择最能说明您在生成的 规则语法。(可选)在描述 反馈字段。点击提交反馈

协助解决威胁情报和安全问题

Gemini 可以回答与威胁情报相关的问题,包括威胁行为者、其关联情况和行为模式等主题,还可以回答 MITRE TTP 相关问题。

威胁情报问题仅限于您的可用信息 Google SecOps 产品版本。问题的答案可能会因产品版本而异。具体而言,企业 Plus 版以外的产品版本中的威胁情报数据更为有限,因为它们不包含对 Mandiant 和 VirusTotal 的完整访问权限。

在 Gemini 窗格中输入您的问题。

  1. 输入威胁情报问题。例如:What is UNC3782?

  2. 查看结果。

  3. 您可以让 Gemini 创建查询,以查找威胁情报报告中提及的特定 IOC,进一步开展调查。威胁 情报信息受制于 Google SecOps 许可。

示例:威胁情报和安全问题

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini 和 MITRE

MITRE ATT&CK® 矩阵是一个知识库,用于记录现实世界中的网络攻击者使用的 TTP。MITRE 矩阵 有助于了解您的组织可能会如何 作为攻击目标 提供了用于讨论攻击的标准化语法。

你可以向 Gemini 询问有关 MITRE 策略、技术和 程序 (TTP) 并接收与上下文相关的回答,包括 以下 MITRE 详细信息:

  • 战术
  • 方法
  • 子技术
  • 检测建议
  • 过程
  • 缓解措施

Gemini 会返回指向 Google SecOps 为每个 TTP 提供的精选检测的链接。您还可以向 Gemini 询问后续问题,进一步了解 MITRE TTP 以及它可能对贵企业产生的影响。

删除聊天会话

您可以删除聊天对话会话,也可以删除所有聊天会话。 Gemini 以私密方式保留所有用户对话记录,并遵循 Google Cloud 的Responsible AI 做法 ,了解所有最新动态。用户历史记录绝不会用于训练模型。

  1. 在 Gemini 窗格中,从右上角的菜单中选择删除对话
  2. 点击右下角的删除聊天对话即可删除当前对话 会话。
  3. (可选)如要删除所有聊天会话,请选择删除所有聊天会话,然后点击删除所有对话

提供反馈

你可以针对 Gemini AI 生成的回答提供反馈 调查协助。您的反馈有助于 Google 改进该功能以及 Gemini 生成的输出。

  1. 在 Gemini 窗格中,选择“我喜欢”或“不喜欢”图标。
  2. (可选)如果您选择“不喜欢”,可以添加其他反馈,说明您选择此评价的原因。
  3. 点击发送反馈

Gemini 摘要

Gemini Summary widget 会查看整个支持请求(提醒、事件、 和实体),并提供由 AI 生成的案例摘要,说明用户有多关注 来满足不同需求该微件还会汇总提醒数据,以便您更好地了解威胁,并提供有关后续步骤的建议,以便您有效地进行补救。

分类、摘要和建议均包含用于针对 AI 准确性和实用性的水平提供反馈的选项。这些反馈有助于我们提高准确性。

Gemini Summary widget 显示在 Case Overview 下方 标签页(位于支持请求页面)。如果案例中只有一个提醒,您需要 点击 Case Overview(案例概览)标签页以查看此微件。

系统不会针对手动创建的支持请求或从您的工作台发起的请求显示 Gemini 摘要 widget。

提供有关 Gemini 摘要的反馈

  1. 如果结果令人满意,请点击“我喜欢”图标。您可以在其他反馈字段中添加更多信息。

  2. 如果结果不符合预期,请点击“不喜欢”图标。请选择一项 提供的选项,并添加您认为 的任何其他反馈 相关性。

  3. 点击发送反馈

移除 Gemini 摘要

默认视图中包含 Gemini 摘要 widget。

如需从默认视图中移除 Gemini 摘要微件,请执行以下操作:

  1. 依次前往 SOAR 设置 > 支持请求数据 > 视图

  2. 从左侧面板中选择 Default Case View(默认案例视图)。

  3. 点击 Gemini Summary 微件上的 Delete 图标。

使用 Gemini 创建 Playbook

Gemini 可以将您的问题转换为有助于解决安全问题的实用手册,从而帮助您简化手册创建流程。

使用提示创建 Playbook

  1. 依次前往响应 > 手册
  2. 选择添加图标,然后创建新的 Playbook。

  3. 在新建的 Playbook 窗格中,选择使用 Gemini 创建 Playbook

  4. 在“提示”窗格中,用英语输入全面且结构良好的提示。如需详细了解如何撰写 Playbook 提示,请参阅撰写 Gemini Playbook 创建提示

  5. 点击 Generate Playbook(生成 Playbook)。

  6. 此时会显示一个预览窗格,其中包含生成的 playbook。如果您想进行更改,请点击修改,然后优化提示。

  7. 点击创建手册

使用提示修改 playbook

  1. 选择所需的 playbook,然后选择使用 Gemini 修改 playbook
  2. 添加所有必要的更改。
  3. 预览窗格中会显示修改后的 Playbook,以及修改前后的版本。 如果您想使 请点击返回,然后优化提示。
  4. 对所做的更改感到满意后,点击修改 Playbook

针对 Gemini 创建的 Playbook 提供反馈

  1. 如果 Playbook 结果不错,请点击“赞”图标。 您可以在其他反馈字段中添加更多信息。
  2. 如果 playbook 结果与预期不符,请点击“不喜欢”图标。 从提供的选项中选择一个,然后添加其他任何需要反馈的

撰写 Gemini Playbook 创建提示

Gemini 的 Playbook 功能旨在根据您提供的自然语言输入创建 Playbook。您需要在 Gemini 手册提示框中输入清晰且结构良好的提示,系统会根据这些提示生成 Google SecOps 手册,其中包含触发器、操作和条件。手册的质量会受到所提供问题的准确性影响。提示措辞得当,包含清晰、具体的详细信息,可制作出更有效的操作手册。

使用 Gemini 创建策略方案的功能

您可以使用 Gemini 的 Playbook 创建功能执行以下操作:

  • 创建包含以下项的新 playbook:操作、触发器、流。
  • 使用所有已下载的商业集成。
  • 将特定操作和集成名称作为 Playbook 步骤放入提示中。
  • 了解用于描述未提供特定集成和名称的流程的提示。
  • 使用 SOAR 响应功能支持的条件流。
  • 检测 Playbook 所需的触发器。

使用提示创建 Playbook 时,您无法执行以下操作:

  • 创建或使用 Playbook 块。
  • 使用自定义集成。
  • 在 playbook 中使用并行操作。
  • 使用尚未下载和安装的集成。
  • 使用集成实例。

使用 Gemini 修改策略方案的功能

您可以使用 Gemini Playbook 修改功能执行以下操作:

  • 您可以在 playbook 中的任意位置添加 playbook 步骤。
  • 删除任何 playbook 步骤。
  • 移动本指南中的步骤。
  • 将操作或集成替换为其他操作和集成。

使用提示修改 playbook 时,您无法执行以下操作:

  • 修改触发器。
  • 修改条件。 请注意,在提示中使用参数并不一定会使用正确的操作。

构建有效提示

每个提示都必须包含以下组成部分:

  • 目标:要生成什么
  • 触发器:playbook 的触发方式
  • Playbook 操作:操作内容
  • 条件:条件逻辑

使用集成名称的提示示例

以下示例展示了使用集成名称的结构良好的提示:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

此提示包含前面定义的四个组成部分:

  • 明确的目标:具有明确的目标,即处理恶意软件提醒。
  • 特定触发器:根据收到恶意软件提醒的特定事件进行启用。
  • Playbook 操作:使用第三方集成 (VirusTotal) 中的数据增强 Google Security Operations SOAR 实体。
  • 条件响应:指定符合以下条件的条件 根据之前的结果。例如,如果发现文件哈希是恶意的,则应将该文件隔离。

使用流程(而非集成名称)的提示示例

以下示例展示了一个结构良好的提示,但在描述流程时未提及具体集成名称。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini 手册创建功能能够获取此操作的说明(丰富文件哈希),并浏览已安装的集成,以查找最适合此操作的集成。

Gemini 手册创建功能只能从您环境中已安装的集成中进行选择。

自定义触发器

除了使用标准触发器之外,您还可以在 playbook 中自定义触发器 提示。您可以为以下对象指定占位符:

  • 提醒
  • 事件
  • 实体
  • 环境
  • 自由文本

在以下示例中,使用自由文本创建执行的触发器 查看可疑电子邮件文件夹中的所有电子邮件(这些电子邮件除外) 电子邮件主题行中包含字词 [TEST] 的邮件。

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

撰写提示的技巧

  • 最佳实践是使用特定的集成名称: 仅当集成处于 已经在您的环境中安装和配置。
  • 利用 Gemini 专精领域认证:Gemini 手册 创建功能专门用于根据提示构建策略方案 与事件响应、威胁检测和自动化安全工作流保持一致。
  • 详细说明用途、触发器、操作和条件。
  • 添加明确的目标:先制定明确的目标,例如 管理恶意软件警报,并指定可激活 playbook 的触发器。
  • 根据威胁分析,添加操作条件(例如丰富数据或隔离文件)。这种清晰明确且具体明确,增强了本指南的 效果和自动化潜力。

结构良好的提示示例

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.