Instrukcja obsługi aplikacji Gemini Google Cloud

Gemini to potężne narzędzie AI, które może być używane do pomocy użytkownikom Google Security Operations i Google Threat Intelligence. Ten przewodnik dostarczy Ci informacji, których potrzebujesz, aby rozpocząć pracę z Gemini i tworzyć skuteczne monity.

Tworzenie monitów za pomocą Gemini

Podczas tworzenia monitu należy podać Gemini następujące informacje:

1. Typ monitu, który chcesz utworzyć, jeśli ma zastosowanie (np.
   „Utwórz regułę”)
2. Kontekst dla monitu
3. Pożądany wynik

Użytkownicy mogą tworzyć różnorodne monity, w tym pytania, polecenia i podsumowania.

Najlepsze praktyki tworzenia monitów

Tworząc monity, należy pamiętać o następujących sprawdzonych metodach:

Używaj języka naturalnego: Pisz tak, jakbyś wydawał polecenie i wyrażaj całe myśli pełnymi zdaniami.

Podaj kontekst: Dołącz istotne szczegóły, aby pomóc Gemini zrozumieć Twoje żądanie, takie jak ramy czasowe, konkretne źródła dziennika lub informacje o użytkowniku. Im więcej kontekstu podasz, tym bardziej istotne i pomocne będą wyniki.

Bądź konkretny i zwięzły: Jasno określ informacje, których szukasz lub zadanie, które chcesz, aby Gemini wykonał. Wyszczególnij cel, wyzwalacz, działanie i warunki.
Na przykładampzapytaj asystenta: „Czy to jest (file (imię, nazwisko itp.) jest znane jako złośliwe?” i jeśli wiadomo, że tak jest, możesz zapytać „Szukaj Ten (file) w moim otoczeniu.”

Określ jasne cele: Zacznij od jasnego celu i określ czynniki, które wywołają reakcję.

Wykorzystaj wszystkie możliwości: Skorzystaj z funkcji wyszukiwania w tekście, asystenta czatu i generatora podręczników, aby zaspokoić swoje różne potrzeby.

Integracje referencyjne (tylko do tworzenia podręczników): Poproś o integracje, które już zainstalowałeś i skonfigurowałeś w swoim środowisku, i określ je w kontekście kolejnych kroków w podręczniku.

Brzmieć: Jeśli wstępne wyniki nie są zadowalające, doprecyzuj swoje pytanie, podaj dodatkowe informacje i zadaj dodatkowe pytania, które pomogą Gemini lepiej odpowiedzieć.

Uwzględnij warunki działania (tylko w przypadku tworzenia podręcznika): Możesz zwiększyć skuteczność monitu podczas tworzenia podręcznika, żądając dodatkowych kroków, takich jak wzbogacenie danych.

Sprawdź dokładność: Pamiętaj, że Gemini jest narzędziem sztucznej inteligencji i jego odpowiedzi należy zawsze weryfikować na podstawie własnej wiedzy i innych dostępnych źródeł.

Korzystanie z monitów w operacjach bezpieczeństwa

Gemini można używać na wiele sposobów w Security Operations, w tym do wyszukiwania w trybie inline, pomocy w czacie i generowania playbooków. Po otrzymaniu streszczenia przypadków wygenerowanych przez AI Gemini może pomóc praktykom w:

1. Wykrywanie i badanie zagrożeń
2. Pytania i odpowiedzi dotyczące bezpieczeństwa
3. Generowanie podręczników
4. Podsumowanie informacji o zagrożeniach

Rozwiązanie Google Security Operations (SecOps) zostało wzbogacone o informacje wywiadowcze z pierwszej linii firmy Mandiant oraz informacje pochodzące z crowdsourcingu firmy VirusTotal, które mogą pomóc zespołom ds. bezpieczeństwa:

Szybki dostęp i analiza informacji o zagrożeniach: Zadaj pytania w języku naturalnym na temat podmiotów stanowiących zagrożenie, rodzin złośliwego oprogramowania, luk w zabezpieczeniach i wskaźników IOC.

Przyspiesz wykrywanie i wyszukiwanie zagrożeń: Generuj zapytania wyszukiwania UDM i reguły wykrywania w oparciu o dane dotyczące zagrożeń.

Określ priorytety zagrożeń bezpieczeństwa: Zrozum, które zagrożenia są najistotniejsze dla Twojej organizacji i skup się na najistotniejszych lukach.

Reaguj skuteczniej na incydenty bezpieczeństwa: Wzbogać alerty bezpieczeństwa o kontekst dotyczący zagrożeń i otrzymuj zalecenia dotyczące działań naprawczych.

Poprawa świadomości bezpieczeństwa: Twórz angażujące materiały szkoleniowe w oparciu o informacje o zagrożeniach w świecie rzeczywistym.

Przykłady zastosowań dla operacji bezpieczeństwa

Wykrywanie i badanie zagrożeń

Tworzenie zapytań, generowanie reguł, monitorowanie zdarzeń, badanie alertów, wyszukiwanie danych (generowanie zapytań UDM).

Scenariusz: Analityk ds. zagrożeń bada nowy alert i chce się dowiedzieć, czy w środowisku znajdują się dowody na to, że użyto konkretnego polecenia do infiltracji infrastruktury poprzez dodanie siebie do rejestru.

Samppodpowiedź: Utwórz zapytanie, aby znaleźć wszystkie zdarzenia modyfikacji rejestru na [nazwa hosta] w ciągu ostatniego [okresu].

Monit uzupełniający: Wygeneruj regułę, która pomoże w przyszłości wykrywać takie zachowanie.

Scenariusz: Analitykowi powiedziano, że stażysta robił podejrzane „rzeczy” i chciał lepiej zrozumieć, co się dzieje.

Samppodpowiedź: Pokaż mi zdarzenia połączenia sieciowego dla identyfikatora użytkownika zaczynającego się od tim.smith (bez względu na wielkość liter) z ostatnich 3 dni.

Monit uzupełniający: Wygeneruj regułę YARA-L, która będzie wykrywać tę aktywność w przyszłości.

Scenariusz: Analityk ds. bezpieczeństwa otrzymuje alert o podejrzanej aktywności na koncie użytkownika.

Samppodpowiedź: Pokaż mi zablokowane zdarzenia logowania użytkownika z kodem zdarzenia 4625, gdzie src.
nazwa hosta nie jest pusta.

Monit uzupełniający: Ilu użytkowników uwzględniono w zestawie wyników?

Pytania i odpowiedzi dotyczące bezpieczeństwa

Scenariusz: Analityk ds. bezpieczeństwa rozpoczyna nową pracę i zauważa, że ​​Gemini podsumował przypadek z zalecanymi krokami dochodzenia i reakcji. Chcą dowiedzieć się więcej o złośliwym oprogramowaniu zidentyfikowanym w podsumowaniu przypadku.

Samppodpowiedź: Czym jest [nazwa złośliwego oprogramowania]?

Monit uzupełniający: W jaki sposób [nazwa złośliwego oprogramowania] utrzymuje się?

Scenariusz: Analityk ds. bezpieczeństwa otrzymuje alert o potencjalnie złośliwym oprogramowaniu file haszysz.

Samppodpowiedź: Czy to jest file hash [wstaw hash] znany jako złośliwy?

Monit uzupełniający: Jakie inne informacje są dostępne na ten temat? file?

Scenariusz: Osoba reagująca na incydenty musi zidentyfikować źródło złośliwego oprogramowania file.

Samppodpowiedź: Co to jest file skrót pliku wykonywalnego „[malware.exe]”?

Monity uzupełniające:

• Uzyskaj informacje o zagrożeniach z serwisu VirusTotal, aby uzyskać więcej informacji na ten temat file hash; czy wiadomo, że jest złośliwy?
• Czy ten skrót został zaobserwowany w moim otoczeniu?
• Jakie są zalecane działania zapobiegawcze i naprawcze w przypadku wystąpienia tego złośliwego oprogramowania?

Generowanie podręczników

Podejmij działania i twórz podręczniki.

Scenariusz: Inżynier ds. bezpieczeństwa chce zautomatyzować proces odpowiadania na wiadomości phishingowe.

Samppodpowiedź: Utwórz playbook, który uruchamia się po otrzymaniu wiadomości e-mail od znanego nadawcy phishingu. Playbook powinien poddać wiadomość e-mail kwarantannie i powiadomić zespół ds. bezpieczeństwa.

Scenariusz: Członek zespołu SOC chce automatycznie poddać kwarantannie złośliwe oprogramowanie files.

Samppodpowiedź: Napisz podręcznik dla alertów o złośliwym oprogramowaniu. Podręcznik powinien zawierać: file hash z alertu i wzbogacić go o informacje z VirusTotal. Jeśli file hash jest złośliwy, poddaj go kwarantannie file.

Scenariusz: Analityk zagrożeń chce stworzyć nowy podręcznik, który pomoże reagować na przyszłe alerty związane ze zmianami kluczy rejestru.

Samppodpowiedź: Zbuduj podręcznik dla tych alertów o zmianach kluczy rejestru. Chcę, aby ten podręcznik został wzbogacony o wszystkie typy jednostek, w tym VirusTotal i Mandiant threat frontline intelligence. Jeśli zostanie zidentyfikowane coś podejrzanego, utwórz przypadek tags a następnie ustalić odpowiedni priorytet sprawy.

Podsumowanie informacji o zagrożeniach

Uzyskaj informacje na temat zagrożeń i podmiotów je wywołujących.

Scenariusz: Menedżer ds. operacji bezpieczeństwa chce zrozumieć wzorce ataków konkretnego podmiotu stanowiącego zagrożenie.

Samppodpowiedź: Jakie znane taktyki, techniki i procedury (TTP) stosuje APT29?

Monit uzupełniający: Czy w Google SecOps istnieją jakieś wyselekcjonowane metody wykrywania, które mogą pomóc w identyfikacji aktywności powiązanej z tymi TTP?

Scenariusz: Analityk zajmujący się wywiadem zagrożeń dowiaduje się o nowym rodzaju złośliwego oprogramowania („emotet”) i dzieli się raportem ze swoich badań z zespołem SOC.

Samppodpowiedź: Jakie są wskaźniki zagrożenia (IOC) związane ze złośliwym oprogramowaniem emotet?

Monity uzupełniające:

• Wygeneruj zapytanie wyszukiwania UDM, aby wyszukać te wskaźniki IOC w dziennikach mojej organizacji.
• Utwórz regułę wykrywania, która będzie mnie powiadamiać, jeśli w przyszłości zostanie zaobserwowany którykolwiek z tych wskaźników IOC.

Scenariusz: Badacz ds. bezpieczeństwa zidentyfikował hosty w swoim środowisku komunikujące się ze znanymi serwerami poleceń i kontroli (C2) powiązanymi z konkretnym podmiotem stanowiącym zagrożenie.

Samppodpowiedź: Wygeneruj zapytanie, aby wyświetlić mi wszystkie połączenia sieciowe wychodzące do adresów IP i domen powiązanych z: [nazwa podmiotu zagrażającego].

Dzięki skutecznemu wykorzystaniu Gemini zespoły ds. bezpieczeństwa mogą zwiększyć swoje możliwości w zakresie wywiadu zagrożeń i poprawić ogólną postawę bezpieczeństwa. To tylko kilka przykładówampjak Gemini może być użyte do poprawy bezpieczeństwa operacji.
W miarę jak będziesz coraz lepiej poznawać to narzędzie, odkryjesz wiele innych sposobów jego wykorzystania w celu zwiększenia swoich możliwości.tage. Dodatkowe informacje można znaleźć w dokumentacji produktu Google SecOps strona.

Korzystanie z monitów w Threat Intelligence

Chociaż z usługi Google Threat Intelligence można korzystać podobnie jak z tradycyjnej wyszukiwarki, wpisując wyłącznie określone frazy, użytkownicy mogą również uzyskać zamierzone wyniki, tworząc określone monity.
Monity Gemini można wykorzystywać na wiele sposobów w analizie zagrożeń, od wyszukiwania ogólnych trendów po zrozumienie konkretnych zagrożeń i elementów złośliwego oprogramowania, w tym:

1. Analiza wywiadu zagrożeń
2. Proaktywne wykrywanie zagrożeń
3. Profilowanie aktorów stanowiących zagrożenie
4. Priorytetyzacja luk w zabezpieczeniach
5. Ulepszone alerty bezpieczeństwa
6. Wykorzystanie MITRE ATT&CK

Przykłady zastosowań dla Threat Intelligence

Analiza wywiadu zagrożeń

Scenariusz: Analityk ds. zagrożeń chce dowiedzieć się więcej o nowo odkrytej rodzinie złośliwego oprogramowania.

Samppodpowiedź: Co wiadomo o złośliwym oprogramowaniu „Emotet”? Jakie są jego możliwości i jak się rozprzestrzenia?

Powiązany monit: Jakie są wskaźniki zagrożenia (IOC) związane ze złośliwym oprogramowaniem emotet?

Scenariusz: Analityk bada nową grupę cyberprzestępców stosujących oprogramowanie ransomware i chce szybko zrozumieć jej taktykę, techniki i procedury (TTP).

Samppodpowiedź: Podsumuj znane TTP grupy ransomware „LockBit 3.0”. Dołącz informacje o ich początkowych metodach dostępu, technikach ruchu bocznego i preferowanych taktykach wymuszenia.

Powiązane monity:

• Jakie są typowe wskaźniki zagrożenia (IOC) związane z LockBit 3.0?
• Czy ostatnio pojawiły się jakieś publiczne raporty lub analizy dotyczące ataków LockBit 3.0?

Proaktywne wykrywanie zagrożeń

Scenariusz: Analityk ds. zagrożeń chce proaktywnie szukać oznak konkretnej rodziny złośliwego oprogramowania, która może atakować jego branżę.

Samppodpowiedź: Jakie są typowe wskaźniki zagrożenia (IOC) związane ze złośliwym oprogramowaniem „Trickbot”?

Scenariusz: Badacz ds. bezpieczeństwa chce zidentyfikować wszystkie hosty w swoim środowisku komunikujące się ze znanymi serwerami poleceń i kontroli (C2) powiązanymi z konkretnym podmiotem stanowiącym zagrożenie.

Samppodpowiedź: Jakie są znane adresy IP i domeny C2 używane przez osobę atakującą „[Nazwa]”?

Profilowanie aktorów stanowiących zagrożenie

Scenariusz: Zespół ds. wywiadu zagrożeń śledzi działania podejrzanej grupy APT i chce opracować kompleksową strategięfile.

Samppodpowiedź: Wygeneruj profile aktora zagrożenia „APT29”. Podaj ich znane pseudonimy, podejrzewany kraj pochodzenia, motywacje, typowe cele i preferowane TTP.

Powiązany monit: Pokaż mi oś czasu najbardziej znanych ataków APT29amposi czasu i osi czasu.

Priorytetyzacja luk w zabezpieczeniach

Scenariusz: Zespół zarządzający lukami w zabezpieczeniach chce ustalić priorytety działań naprawczych na podstawie profilu zagrożeń.

Samppodpowiedź: Które luki w zabezpieczeniach Palo Alto Networks są aktywnie wykorzystywane przez cyberprzestępców?

Powiązany monit: Podsumuj znane luki w zabezpieczeniach CVE-2024-3400 i CVE-2024-0012.

Scenariusz: Zespół ds. bezpieczeństwa jest przytłoczony wynikami skanowania luk w zabezpieczeniach i chce ustalić priorytety działań naprawczych na podstawie informacji o zagrożeniach.

Samppodpowiedź: Które z poniższych luk w zabezpieczeniach zostały wymienione w ostatnich raportach dotyczących zagrożeń: [wymień zidentyfikowane luki w zabezpieczeniach]?

Powiązane monity:

• Czy są znane sposoby wykorzystania luk w zabezpieczeniach dla następujących luk: [wymień zidentyfikowane luki w zabezpieczeniach]?
• Które z poniższych luk są najbardziej narażone na wykorzystanie przez aktorów zagrożeń: [wymień zidentyfikowane luki]? Uporządkuj je według ich powagi, możliwości wykorzystania i znaczenia dla naszej branży.

Ulepszone alerty bezpieczeństwa

Scenariusz: Analityk ds. bezpieczeństwa otrzymuje alert o podejrzanej próbie logowania z nieznanego adresu IP.

Samppodpowiedź: Co wiadomo o adresie IP [podaj adres IP]?

Wykorzystanie MITRE ATT&CK

Scenariusz: Zespół ds. bezpieczeństwa chce wykorzystać platformę MITRE ATT&CK, aby zrozumieć, w jaki sposób konkretny sprawca zagrożenia może zaatakować ich organizację.

Samppodpowiedź: Pokaż mi techniki MITRE ATT&CK powiązane z zagrożeniem APT38.

Gemini to potężne narzędzie, którego można użyć do poprawy Security Operations i Threat Intelligence. Postępując zgodnie z najlepszymi praktykami opisanymi w tym przewodniku, możesz tworzyć skuteczne monity, które pomogą Ci w pełni wykorzystać Gemini.

Notatka: Ten przewodnik zawiera sugestie dotyczące korzystania z Gemini w Google SecOps i Gemini w Threat Intelligence. Nie jest to wyczerpująca lista wszystkich możliwych przypadków użycia, a konkretne możliwości Gemini mogą się różnić w zależności od wersji produktu. Aby uzyskać najbardziej aktualne informacje, należy zapoznać się z oficjalną dokumentacją.

Bliźnięta
w operacjach bezpieczeństwa

Bliźnięta
w Wywiadu Zagrożeń

Dokumenty / Zasoby

Aplikacja Gemini Google Cloud [plik PDF] Instrukcja obsługi Aplikacja Google Cloud, Google, Aplikacja Cloud, Aplikacja

Odniesienia

• Instrukcja obsługi