Gemini in SecOps di Google

Per saperne di più su Gemini, sui modelli linguistici di grandi dimensioni (LLM) e sull'AI responsabile, consulta Gemini for Code. Puoi anche consultare la documentazione di Gemini e le note di rilascio.

  • Disponibilità: Gemini in Google SecOps è disponibile a livello globale. I dati di Gemini vengono elaborati nelle seguenti regioni: us-central1, asia-southeast1 e europe-west1. Le richieste dei clienti vengono instradate alla regione più vicina per essere elaborate.

  • Prezzi: per informazioni sui prezzi, consulta i pricing di Google Security Operations

  • Sicurezza di Gemini: per informazioni sulle funzionalità di sicurezza di Gemini in Google Cloud, consulta Sicurezza con l'IA generativa.

  • Governance dei dati: per informazioni sulle pratiche di governance dei dati di Gemini, consulta In che modo Gemini per Google Cloud utilizza i tuoi dati

  • Certificazioni: per informazioni sulle certificazioni Gemini, consulta Certificazioni per Gemini.

  • Piattaforma SecLM: Gemini per Google SecOps utilizza una gamma di modelli linguistici di grandi dimensioni (LLM) tramite la piattaforma SecLM, tra cui il modello Sec-PaLM specializzato. Sec-PaLM è addestrato su dati tra cui blog sulla sicurezza, report sull'intelligence sulle minacce, regole di rilevamento YARA e YARA-L, playbook SOAR, script di malware, informazioni sulle vulnerabilità, documentazione dei prodotti e molti altri set di dati specializzati. Per maggiori informazioni, consulta Sicurezza con l'IA generativa

Le seguenti sezioni forniscono la documentazione relativa alle funzionalità SecOps di Google basate su Gemini:

Utilizzare Gemini per analizzare i problemi di sicurezza

Gemini fornisce assistenza investigativa, accessibile da qualsiasi punto di Google SecOps. Gemini può aiutarti con le tue investigazioni fornendo assistenza per quanto segue:

  • Ricerca: Gemini può aiutarti a creare, modificare ed eseguire ricerche mirate a eventi pertinenti utilizzando prompt in linguaggio naturale. Gemini può anche aiutarti a ripetere una ricerca, regolare l'ambito, ampliare l'intervallo di tempo e aggiungere filtri. Puoi completare tutte queste attività utilizzando i prompt in linguaggio naturale inseriti nel riquadro Gemini.
  • Riepiloghi delle ricerche: Gemini può riassumere automaticamente i risultati di ricerca dopo ogni ricerca e la successiva azione di filtro. Il riquadro Gemini riassume i risultati della ricerca in un formato conciso e comprensibile. Gemini è anche in grado di rispondere a domande contestuali sui riepiloghi che fornisce.
  • Generazione di regole: Gemini può creare nuove regole YARA-L dalle query di ricerca UDM che genera.
  • Domande di sicurezza e analisi dell'intelligence sulle minacce: Gemini può rispondere a domande generali sul dominio della sicurezza. Inoltre, Gemini può rispondere a domande specifiche sull'intelligence sulle minacce e fornire riepiloghi su aggressori, IOC e altri argomenti relativi all'intelligence sulle minacce.
  • Correzione degli incidenti: in base alle informazioni sugli eventi restituite, Gemini può suggerire di seguire i passaggi da seguire. Potrebbero comparire dei suggerimenti anche dopo aver filtrato i risultati di ricerca. Ad esempio, Gemini potrebbe suggerire di esaminare una regola o un avviso pertinente oppure applicare un filtro per un host o un utente specifico.

Puoi usare Gemini per generare query di ricerca UDM dal riquadro Gemini o quando utilizzi la ricerca UDM.

Per ottenere risultati ottimali, Google consiglia di utilizzare il riquadro Gemini per generare query di ricerca.

Generare una query di ricerca UDM utilizzando il riquadro Gemini

  1. Accedi a Google SecOps e apri il riquadro Gemini facendo clic sul logo Gemini.

  2. Inserisci un prompt in linguaggio naturale e premi Invio. Il prompt in linguaggio naturale deve essere in inglese.

    Apri il riquadro Gemini e inserisci il messaggio

    Figura 1: apri il riquadro Gemini e inserisci il prompt

  3. Esamina la query di ricerca UDM generata. Se la query di ricerca generata soddisfa i tuoi requisiti, fai clic su Esegui ricerca.

  4. Gemini genera un riepilogo dei risultati insieme alle azioni suggerite.

  5. Inserisci domande di follow-up in linguaggio naturale sui risultati di ricerca forniti da Gemini per continuare l'indagine.

Esempi di richieste di ricerca e domande di follow-up
  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Genera una query di ricerca UDM utilizzando il linguaggio naturale

Con la funzionalità di ricerca SecOps di Google, puoi inserire una query in linguaggio naturale sui tuoi dati e Gemini può tradurla in una query di ricerca UDM che puoi eseguire su eventi UDM.

Per ottenere risultati migliori, Google consiglia di utilizzare il riquadro Gemini per generare query di ricerca.

Per utilizzare una ricerca in linguaggio naturale per creare una query di ricerca UDM, procedi nel seguente modo:

  1. Accedi a Google SecOps.
  2. Vai a Ricerca.

  3. Inserisci un'istruzione di ricerca nella barra delle query in linguaggio naturale e fai clic su Genera query. Devi utilizzare l'inglese per la ricerca.

    Inserisci una ricerca in linguaggio naturale e fai clic su Genera query

    Figura 2: inserisci una ricerca in linguaggio naturale e fai clic su Genera query

    Di seguito sono riportati alcuni esempi di istruzioni che potrebbero generare una ricerca UDM utile:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to [email protected] or [email protected]
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by sent from [email protected] on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "[email protected]"

    4. Se l'istruzione di ricerca include un termine basato sul tempo, il selettore dell'ora viene regolato automaticamente di conseguenza. Ad esempio, questo vale per le seguenti ricerche:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se l'istruzione di ricerca non può essere interpretata, verrà visualizzato il seguente messaggio:
    "Spiacenti, non è stata generata alcuna query valida. Prova a chiedere in modo diverso".

  4. Esamina la query di ricerca UDM generata.

  5. (Facoltativo) Modifica l'intervallo di tempo della ricerca.

  6. Fai clic su Esegui ricerca.

  7. Esamina i risultati di ricerca per determinare se l'evento è presente. Se necessario, utilizza i filtri di ricerca per restringere l'elenco dei risultati.

  8. Fornisci un feedback sulla query utilizzando le icone di feedback Query generata. Seleziona una delle seguenti opzioni:

    • Se la query restituisce i risultati previsti, fai clic sull'icona Mi piace.
    • Se la query non restituisce i risultati previsti, fai clic sull'icona Non mi piace.
    • (Facoltativo) Includi dettagli aggiuntivi nel campo Feedback.
    • Per inviare una query di ricerca UDM aggiornata che contribuisca a migliorare i risultati:
    • Modifica la query di ricerca UDM generata.
    • Fai clic su Invia. Se non hai riscritto la query, il testo nella finestra di dialogo ti chiede di modificarla.
    • Fai clic su Invia. La query di ricerca UDM rivista verrà sottoposta a sanitizzazione dei dati sensibili e utilizzata per migliorare i risultati.

Generare una regola YARA-L utilizzando Gemini

  1. Utilizza un prompt in linguaggio naturale per generare una regola (ad esempio, create a rule to detect logins from bruce-monroe). Premi Invio. Gemini genera una regola per rilevare il comportamento cercato nel riquadro Gemini.

  2. Fai clic su Apri nell'editor delle regole per visualizzare e modificare la nuova regola nell'Editor regole. Questa funzionalità ti consente di creare regole per un solo evento.

    Ad esempio, utilizzando il precedente prompt della regola, Gemini genera la seguente regola:

    rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

  3. Per attivare la regola, fai clic su Salva nuova regola. La regola viene visualizzata nell'elenco delle regole a sinistra. Tieni premuto il puntatore sulla regola, fai clic sull'icona del menu e attiva/disattiva l'opzione Regola attiva verso destra (verde). Per ulteriori informazioni, consulta Gestire le regole utilizzando l'Editor regole.

Fornisci un feedback sulla regola generata

Puoi fornire un feedback sulla regola generata. Il feedback viene utilizzato per migliorare la precisione della funzionalità di generazione delle regole.

  • Se la sintassi della regola è stata generata come previsto, fai clic sull'icona Mi piace.
  • Se la sintassi della regola non è quella prevista, fai clic sull'icona Non mi piace. Seleziona l'opzione che indica meglio il problema che hai riscontrato con la sintassi delle regole generate. (Facoltativo) Includi ulteriori dettagli nel campo Descrivi il tuo feedback. Fai clic su Invia feedback.

Assistenza con informazioni sulle minacce e domande sulla sicurezza

Gemini può rispondere a domande relative all'intelligence sulle minacce su argomenti come gli attori delle minacce, le loro associazioni e i loro modelli di comportamento, comprese le domande sui TTP MITRE.

Inserisci le domande nel riquadro Gemini.

  1. Inserisci una domanda sull'intelligence sulle minacce. Ad esempio: What is UNC3782?

  2. Esamina i risultati.

  3. Indaga ulteriormente chiedendo a Gemini di creare query per cercare gli IOC specifici indicati nei report di intelligence sulle minacce. Le informazioni sulle informazioni sulle minacce sono soggette ai diritti disponibili derivanti dalla tua licenza Google SecOps.

Esempio: informazioni sulle minacce e domande sulla sicurezza

  • Help me hunt for APT 44
  • Are there any known attacker tools that use RDP to brute force logins?
  • Is 103.224.80.44 suspicious?
  • What types of attacks may be associated with CVE-2020-14145?
  • Can you provide details around buffer overflow and how it can affect the target machine?

Gemini e MITRE

La matrice MITRE ATT&CK® è una knowledge base che documenta i TTP utilizzati dagli avversari informatici del mondo reale. La matrice MITRE fornisce una comprensione di come la tua organizzazione potrebbe essere presa di mira e fornisce una sintassi standardizzata per la discussione sugli attacchi.

Puoi porre a Gemini domande su tattiche, tecniche e procedure (TTP) MITRE e ricevere risposte contestualmente pertinenti che includono i seguenti dettagli MITRE:

  • Tattica
  • Tecnica
  • Sottotecnica
  • Suggerimenti di rilevamento
  • Procedure
  • Mitigazioni

Gemini restituisce un link ai rilevamenti selezionati che Google SecOps mette a disposizione per ogni TTP. Puoi anche porre domande di follow-up a Gemini per ottenere ulteriori informazioni su un MITRE TTP e su come potrebbe influire sulla tua azienda.

Eliminare una sessione di chat

Puoi eliminare la sessione di conversazione in chat o tutte le sessioni di chat. Gemini conserva tutte le cronologie delle conversazioni degli utenti in modo privato e ottempera alle pratiche per l'IA responsabile di Google Cloud. La cronologia utente non viene mai utilizzata per addestrare i modelli.

  1. Nel riquadro Gemini, seleziona Elimina chat dal menu in alto a destra.
  2. Fai clic su Elimina chat in basso a destra per eliminare la sessione di chat corrente.
  3. (Facoltativo) Per eliminare tutte le sessioni di chat, seleziona Elimina tutte le sessioni di chat, quindi fai clic su Elimina tutte le chat.

Invia il tuo feedback

Puoi fornire feedback alle risposte generate dall'assistenza alle indagini dell'IA Gemini. Il tuo feedback aiuta Google a migliorare la funzionalità e l'output generato da Gemini.

  1. Nel riquadro Gemini, seleziona l'icona Mi piace o Non mi piace.
  2. (Facoltativo) Se selezioni Non mi piace, puoi aggiungere un altro feedback sul motivo per cui hai scelto la valutazione.
  3. Fai clic su Invia feedback.

Widget Indagine IA

Il widget di indagine sull'IA esamina l'intero caso (avvisi, eventi ed entità) e fornisce un riepilogo del caso creato con l'IA relativo al livello di attenzione che il caso potrebbe richiedere. Il widget riassume inoltre i dati degli avvisi per una migliore comprensione della minaccia e fornisce suggerimenti per i passaggi successivi da intraprendere per un rimedio efficace.

La classificazione, il riepilogo e i suggerimenti includono un'opzione per lasciare un feedback sul livello di accuratezza e utilità dellAI. Il feedback ci aiuta a migliorare l'accuratezza.

Il widget Indagine IA viene visualizzato nella scheda Panoramica delle richieste nella pagina Casi. Se nella richiesta è presente un solo avviso, devi fare clic sulla scheda Panoramica della richiesta per visualizzare il widget.

indagine-ai

Il widget Indagine IA non viene visualizzato per i casi creati manualmente o per i casi avviati da Il tuo Workdesk.

Fornisci feedback per il widget Indagine sull'IA

  1. Se i risultati sono accettabili, fai clic sull'icona Mi piace. Puoi aggiungere ulteriori informazioni nel campo Feedback aggiuntivo.

  2. Se i risultati non sono quelli previsti, fai clic sull'icona Non mi piace. Seleziona una delle opzioni fornite e aggiungi eventuali altri feedback che ritieni pertinenti.

  3. Fai clic su Invia feedback.

Rimuovere il widget Indagine sull'IA

Il widget Indagine AI è incluso nella visualizzazione predefinita.

Per rimuovere il widget Indagine IA dalla visualizzazione predefinita:

  1. Vai a Impostazioni SOAR > Dati della richiesta > Visualizzazioni.

  2. Seleziona Visualizzazione predefinita delle richieste dal riquadro laterale a sinistra.

  3. Fai clic sull'icona Elimina nel widget di indagine AI.

Crea playbook con Gemini

Gemini può aiutarti a semplificare il processo di creazione dei playbook trasformando i tuoi prompt in playbook funzionali che aiutano a risolvere i problemi di sicurezza.

Crea un playbook utilizzando i prompt

  1. Vai a Risposta > Playbook.
  2. Seleziona l'icona di aggiunta e crea un nuovo playbook.
  3. Nel nuovo riquadro del playbook, seleziona Create Playbooks using AI (Crea playbook utilizzando l'IA).
  4. Nel riquadro del prompt, inserisci un prompt completo e ben strutturato in inglese. Per maggiori informazioni su come scrivere un prompt di playbook, consulta la pagina Scrivere prompt per la creazione di playbook Gemini.
  5. Fai clic su Genera playbook.
  6. Viene visualizzato un riquadro di anteprima con il playbook generato. Se vuoi apportare modifiche, fai clic su Modifica e perfeziona la richiesta.
  7. Fai clic su Crea playbook.
  8. Se vuoi apportare modifiche al playbook dopo averlo visualizzato nel riquadro principale, seleziona Create Playbooks using AI (Crea playbook con l'IA) e riscrivi il prompt. Gemini creerà un nuovo playbook per te.

Fornisci feedback sui playbook creati da Gemini

  1. Se i risultati del playbook sono corretti, fai clic sull'icona Mi piace. Puoi aggiungere ulteriori informazioni nel campo Ulteriori feedback.
  2. Se i risultati del playbook non sono quelli previsti, fai clic sull'icona Non mi piace. Seleziona una delle opzioni fornite e aggiungi eventuali altri feedback che ritieni pertinenti.

Scrivi i prompt per la creazione del playbook Gemini

La funzionalità Gemini è stata progettata per creare playbook basati sull'input del linguaggio naturale che fornisci. Devi inserire prompt chiari e ben strutturati nella casella dei prompt del playbook Gemini, che poi genererà un playbook SecOps di Google che include attivatori, azioni e condizioni. La qualità del playbook è influenzata dall'accuratezza del prompt fornito. Prompt ben formulati che contengono dettagli chiari e specifici per creare strategie più efficaci.

Funzionalità di creazione di playbook con Gemini

Puoi fare quanto segue con le funzionalità di creazione del playbook Gemini:

  • Crea nuovi playbook con i seguenti elementi: azioni, attivatori, flussi.
  • Utilizza tutte le integrazioni commerciali scaricate.
  • Inserisci azioni specifiche e nomi di integrazioni nel prompt come passaggi del playbook.
  • Comprendi i prompt per descrivere il flusso in cui non vengono indicati integrazioni e nomi specifici.
  • Usa i flussi di condizioni come supportati nelle funzionalità di risposta SOAR.
  • Rileva il trigger necessario per il playbook.

Tieni presente che l'utilizzo dei parametri nei prompt potrebbe non comportare sempre l'utilizzo dell'azione corretta.

Costruire prompt efficaci

Ogni richiesta deve includere i seguenti componenti:

  • Obiettivo: che cosa generare.
  • Attivazione: come verrà attivato il playbook
  • Azione del Playbook: come funziona
  • Condizione: logica condizionale

Esempio di prompt che utilizza il nome dell'integrazione

L'esempio seguente mostra un prompt ben strutturato che utilizza un nome di integrazione:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Questo prompt contiene i quattro componenti definiti in precedenza:

  • Obiettivo chiaro: ha un obiettivo definito, la gestione degli avvisi di malware.
  • Trigger specifico: l'attivazione è basata su un evento specifico, la ricezione di un avviso di malware.
  • Azioni del playbook: migliora un'entità SOAR Google Security Operations con dati di un'integrazione di terze parti (VirusTotal).
  • Risposta condizionale: specifica una condizione basata sui risultati precedenti. Ad esempio, se l'hash del file è dannoso, il file deve essere messo in quarantena.

Esempio di prompt che utilizza un flusso anziché un nome di integrazione

L'esempio seguente mostra un prompt ben strutturato, ma descrive il flusso senza menzionare il nome specifico dell'integrazione.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La funzionalità di creazione del playbook Gemini è in grado di eseguire questa descrizione di un'azione, ad esempio arricchire l'hash di un file, ed esaminare le integrazioni installate per trovare quella più adatta a questa azione.

La funzionalità di creazione del playbook Gemini può scegliere solo tra le integrazioni già installate nel tuo ambiente.

Attivatori personalizzati

Oltre a utilizzare trigger standard, un trigger può essere personalizzato nella richiesta del playbook. Puoi specificare dei segnaposto per i seguenti oggetti:

  • Avviso
  • Evento
  • Entità
  • Ambiente
  • Testo libero

Nell'esempio seguente, viene utilizzato il testo libero per creare un trigger che viene eseguito per tutte le email dalla cartella email sospetta, ad eccezione di quelle che contengono la parola [TEST] nella riga dell'oggetto dell'email.

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

Suggerimenti per scrivere prompt

  • La best practice prevede l'uso di nomi di integrazione specifici: specifica le integrazioni solo se sono già installate e configurate all'interno del tuo ambiente.
  • Approfitta della specializzazione Gemini: la funzionalità di creazione dei playbook Gemini è progettata specificatamente per creare playbook basati su prompt in linea con la risposta agli incidenti, il rilevamento delle minacce e i flussi di lavoro di sicurezza automatizzata.
  • Specifica lo scopo, l'attivatore, l'azione e la condizione.
  • Includi obiettivi chiari: inizia con un obiettivo chiaro, ad esempio la gestione degli avvisi di malware e specifica i fattori che attivano il playbook.
  • Includi le condizioni per azioni, come l'arricchimento dei dati o la messa in quarantena dei file, in base all'analisi delle minacce. Questa chiarezza e una maggiore specificità migliorano l'efficacia e il potenziale di automazione del playbook.

Esempi di prompt ben strutturati

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to [email protected].

Esempi di prompt mal strutturati

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

Questo prompt non creerà un playbook funzionante perché è incentrato sull'analisi e sulla strategia di marketing, che non rientrano nell'ambito della creazione del playbook per Google SecOps.