此页面由 Cloud Translation API 翻译。

Google SecOps 中的 Gemini

如需详细了解 Gemini、大语言模型和 Responsible AI，请参阅 Gemini for Code。您还可以查看 Gemini 文档和版本说明。

适用范围：Google SecOps 中的 Gemini 模型在全球范围内提供。Gemini 数据在以下区域处理：us-central1、asia-southeast1 和 europe-west1。客户请求会被路由到最近的区域进行处理。
价格：如需了解价格信息，请参阅 Google 安全运维pricing
双子座安全：如需了解 Google Cloud 中的 Gemini 安全功能，请参阅生成式 AI 的安全性
数据治理：如需了解 Gemini 数据治理做法，请参阅 Gemini for Google Cloud 如何使用您的数据
认证：如需了解 Gemini 认证，请参阅 Gemini 认证
SecLM 平台：适用于 Google SecOps 的 Gemini 通过 SecLM 平台使用一系列大语言模型，包括专门的 Sec-PaLM 模型。Sec-PaLM 基于数据进行训练，其中包括安全博客、威胁情报报告、YARA 和 YARA-L 检测规则、SOAR 手册、恶意软件脚本、漏洞信息、产品文档和许多其他专用数据集。如需了解详情，请参阅生成式 AI 确保安全

以下部分提供了由 Gemini 提供支持的 Google SecOps 功能的文档：

使用 Gemini 调查安全问题

Gemini 提供调查协助，您可以通过 Google SecOps 的任何部分进行访问。Gemini 可以在以下方面提供支持，帮助您开展调查：

搜索：Gemini 可帮助您使用自然语言提示构建、修改和运行针对相关事件的搜索。Gemini 还可以帮助您迭代搜索、调整范围、扩展时间范围和添加过滤条件。您可以使用在 Gemini 窗格中输入的自然语言提示完成所有这些任务。
搜索摘要：Gemini 可以在每次搜索和后续过滤操作后自动总结搜索结果。Gemini 窗格会以简明易懂的格式汇总搜索结果。Gemini 还可以回答与其提供的摘要相关的后续上下文问题。
规则生成：Gemini 可以根据其生成的 UDM 搜索查询创建新的 YARA-L 规则。
安全问题和威胁情报分析：Gemini 可以回答一般安全领域问题。此外，Gemini 可以回答特定的威胁情报问题，并提供有关威胁参与者、IOC 和其他威胁情报主题的摘要。
事件补救：Gemini 可以根据返回的事件信息提供建议的后续措施。过滤搜索结果后，也可能会显示建议。例如，Gemini 可能会建议查看相关提醒或规则，或者针对特定主机或用户进行过滤。

生成 UDM 搜索查询

您可以使用 Gemini 通过 Gemini 窗格或使用 UDM 搜索来生成 UDM 搜索查询。

为获得最佳效果，Google 建议您使用 Gemini 窗格生成搜索查询。

使用 Gemini 窗格生成 UDM 搜索查询

登录 Google SecOps，然后点击 Gemini 徽标以打开 Gemini 窗格。
输入自然语言提示，然后按 Enter 键。自然语言提示必须使用英语。

图 1：打开 Gemini 窗格并输入提示
查看生成的 UDM 搜索查询。如果生成的搜索查询符合您的要求，请点击运行搜索。
Gemini 会生成结果摘要以及建议的操作。
输入有关 Gemini 提供的搜索结果的自然语言后续问题，继续您的研究。

搜索提示和后续问题示例

Show me all failed logins for the last 3 days
- Generate a rule to help detect that behavior in the future
Show me events associated with the principle user izumi.n
- Who is this user?
Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
- List all of the domains in the results set
- What types of events were returned?
Show me events from my firewall in the last 24 hours
- What were the 16 unique hostnames in the results set?
- What were the 9 unique IPs associated with the results set?

使用自然语言生成 UDM 搜索查询

使用 Google SecOps Search 功能，您可以输入有关数据的自然语言查询，Gemini 可将其转换为 UDM 搜索查询，然后您可以针对 UDM 事件运行该查询。

为了获得更好的结果，Google 建议使用 Gemini 窗格生成搜索查询。

如需使用自然语言搜索创建 UDM 搜索查询，请完成以下步骤：

登录 Google SecOps。
前往搜索。
在自然语言查询栏中输入搜索查询，然后点击 Generate Query。您必须使用英语进行搜索。

图 2：输入自然语言搜索条件，然后点击“Generate Query”（生成查询）

以下是一些可能会生成实用 UDM 搜索的语句示例：
- network connections from 10.5.4.3 to google.com
- failed user logins over the last 3 days
- emails with file attachments sent to [email protected] or [email protected]
- all Cloud service accounts created yesterday
- outbound network traffic from 10.16.16.16 or 10.17.17.17
- all network connections to facebook.com or tiktok.com
- service accounts created in Google Cloud yesterday
- Windows executables modified between 8 AM and 1 PM on May 1, 2023
- all activity from winword.exe on lab-pc
- scheduled tasks created or modified on exchange01 during the last week
- email messages that contain PDF attachments
- emails sent by sent from [email protected] on September 1
- any files with the hash 44d88612fea8a8f36de82e1278abb02f
- all activity associated with user "[email protected]"

如果搜索语句包含基于时间的字词，时间选择器会自动调整以匹配。例如，这适用于以下搜索：

yesterday
within the last 5 days
on Jan 1, 2023

如果系统无法解读搜索语句，您会看到以下消息：
“Sorry, no valid query could not generate not valid query. 请尝试换个方式提问。”

查看生成的 UDM 搜索查询。
（可选）调整搜索时间范围。
点击运行搜索。
查看搜索结果，确定相应活动是否存在。如果需要，请使用搜索过滤器缩小结果列表范围。
使用生成的查询反馈图标提供有关查询的反馈。从下列选项中选择一项：
- 如果查询返回预期结果，请点击拇指朝上图标。
- 如果查询未返回预期结果，请点击“不喜欢”图标。
- （可选）在反馈字段中添加其他详细信息。
- 要提交有助于改进搜索结果的修订后的 UDM 搜索查询，请执行以下操作：
- 修改已生成的 UDM 搜索查询。
- 点击提交。如果您没有重写查询，则对话框中的文本会提示您修改查询。
- 点击提交。修订后的 UDM 搜索查询将清理敏感数据，并用于改进结果。

使用 Gemini 生成 YARA-L 规则

使用自然语言提示生成规则（例如 create a rule to detect logins from bruce-monroe）。按 Enter 键。 Gemini 会生成一条规则来检测您在 Gemini 窗格中搜索的行为。

点击在规则编辑器中打开，以在规则编辑器中查看和修改新规则。您只能使用此功能创建单个事件规则。

例如，使用之前的规则提示，Gemini 生成了以下规则：

rule logins_from_bruce_monroe {
  meta:
    author = "Google Gemini"
    description = "Detect logins from bruce-monroe"
  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = "bruce-monroe"
  outcome:
    $principal_ip = array($e.principal.ip)
    $target_ip = array($e.target.ip)
    $target_hostname = $e.target.hostname
    $action = array($e.security_result.action)
  condition:
    $e
}

要启用规则，请点击保存新规则。该规则会显示在左侧的规则列表中。将指针悬停在规则上，点击菜单图标，然后将实时规则选项切换到右侧（绿色）。如需了解详情，请参阅使用规则编辑器管理规则。

针对生成的规则提供反馈

您可以就生成的规则提供反馈。此反馈用于提高规则生成功能的准确性。

如果规则语法正常生成，请点击“我喜欢”图标。
如果规则语法不符合您的预期，请点击“不喜欢”图标。选中最能说明您发现的与生成的规则语法问题的选项。（可选）在描述您的反馈字段中包含其他详细信息。点击提交反馈。

威胁情报和安全问题协助

Gemini 可以回答与威胁情报有关的问题，例如威胁参与者、其关联及其行为模式等主题，包括有关 MITRE TTP 的问题。

在 Gemini 窗格中输入您的问题。

输入威胁情报问题。例如：What is UNC3782?
查看结果。
要求 Gemini 创建查询以查找威胁情报报告中引用的特定 IOC，进行进一步调查。威胁情报信息受 Google SecOps 许可的可用授权的约束。

示例：威胁情报和安全问题

Help me hunt for APT 44
Are there any known attacker tools that use RDP to brute force logins?
Is 103.224.80.44 suspicious?
What types of attacks may be associated with CVE-2020-14145?
Can you provide details around buffer overflow and how it can affect the target machine?

Gemini 和 MITRE

MITRE ATT&CK® Matrix 是一个知识库，记录了现实世界的网络对手所使用的 TTP。MITRE 矩阵可帮助您了解您的组织可能成为攻击目标的方式，并提供讨论攻击的标准化语法。

您可以向 Gemini 询问有关 MITRE 战术、技术和程序 (TTP) 的问题，并获得上下文相关回答，其中包括以下 MITRE 详细信息：

战术
分析法
子技术
检测建议
过程
缓解措施

Gemini 会返回一个链接，指向 Google SecOps 为每个 TTP 提供的精选检测。您还可以询问 Gemini 跟进问题，以更深入地了解 MITRE TTP 及其对您的企业可能产生的影响。

删除聊天会话

您可以删除聊天对话会话，也可以删除所有聊天会话。 Gemini 以私密方式维护所有用户对话记录，并遵循 Google Cloud 的 Responsible AI 实践。用户历史记录绝不会用于训练模型。

在 Gemini 窗格中，从右上角的菜单中选择删除聊天。
点击右下角的删除聊天以删除当前聊天会话。
（可选）如需删除所有聊天会话，请选择删除所有聊天会话，然后点击删除所有聊天会话。

提供反馈

您可以对 Gemini AI 调查助理生成的回复提供反馈。您的反馈有助于 Google 改进 Gemini 生成的功能和输出。

在 Gemini 窗格中，选择“我喜欢”或“不喜欢”图标。
（可选）如果您选择“不喜欢”，则可以添加其他反馈，说明您选择该评分的原因。
点击发送反馈。

AI 调查 widget 会查看整个案例（提醒、事件和实体），并提供 AI 生成的案例摘要，其中说明了该案例可能需要多大的关注。该微件还汇总了提醒数据，以更好地了解威胁，并就后续采取的有效补救措施提供建议。

分类、摘要和建议都包含一个选项，用于针对 AI 准确率和实用性提供反馈。这些反馈用于帮助我们改进准确性。

AI 调查 widget 显示在案例页面的案例概览标签页下。如果案例中只有一条提醒，您需要点击 Case Overview 标签页以查看此微件。

对于手动创建的支持请求或从您的 Workdesk 发起的支持请求，系统不会显示 AI 调查 widget。

针对 AI 调查微件提供反馈

如果结果可以接受，请点击“我喜欢”图标。您可以在其他反馈字段中添加更多信息。
如果结果不符合预期，请点击“不喜欢”图标。选择所提供的某个选项，然后添加您认为相关的任何其他反馈。
点击发送反馈。

移除 AI 调查微件

AI 调查微件包含在默认视图中。

如需从默认视图中移除 AI 调查 widget，请执行以下操作：

依次转到 SOAR 设置 > 案例数据 > 视图。
从左侧面板中选择 Default Case View。
点击 AI 调查微件上的删除图标。

利用 Gemini 制作策略方案

Gemini 可以将提示转换为实用的手册，帮助您简化策略方案的创建过程。

使用提示创建 playbook

依次转到响应 > Playbook。
点击添加 “添加”图标并创建新的 playbook。
在“新建策略方案”窗格中，选择使用 AI 创建策略方案。
在提示窗格中，输入全面且结构合理的英文提示。如需详细了解如何编写 Playbook 提示，请参阅为 Gemini 编写提示创建 Playbook。
点击 Generate Playbook（生成 Playbook）。
系统随即会显示一个预览窗格，其中包含生成的 playbook。如果要进行更改，请点击修改并优化提示。
点击 Create Playbook（创建手册）。
如果您希望在 playbook 显示在主窗格中对其进行更改，请选择 Create playbooks using AI 并重写提示。 Gemini 将为您创建新的指南。

针对 Gemini 创建的策略方案提供反馈

如果 playbook 结果良好，请点击“我喜欢”图标。您可以在其他反馈字段中添加更多信息。
如果 playbook 结果不符合预期，请点击“不喜欢”图标。从提供的选项中选择一项，然后添加您认为相关的任何其他反馈。

Gemini 指南的撰写提示

Gemini Playbook 功能旨在根据您提供的自然语言输入创建 playbook。您需要在 Gemini playbook 提示框中输入清晰且结构合理的提示，然后生成 Google SecOps 手册，其中包含触发器、操作和条件。Playbook 的质量受所提供提示的准确性的影响。包含清晰具体细节的合理提示可以生成更有效的手册。

通过 Gemini 创建手册的功能

您可以利用 Gemini Playbook 创建功能执行以下操作：

创建包含以下项的新 playbook：操作、触发器、流。
使用下载的所有商业集成。
在提示中添加具体操作和集成名称作为 playbook 步骤。
了解用于描述未提供特定集成和名称的流程的提示。
使用 SOAR 响应功能支持的条件流。
检测 Playbook 需要的触发器。

请注意，在提示中使用参数可能并不总是会导致使用正确的操作。

构建有效的提示

每个提示都必须包含以下组成部分：

目标：生成的内容
触发器：Playbook 的触发方式
Playbook 操作：将执行的操作
条件：条件逻辑

使用集成名称的提示示例

以下示例展示了使用集成名称且结构合理的提示：

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

此提示包含之前定义的四个组成部分：

目标明确：有明确的目标，负责处理恶意软件提醒。
特定触发器：根据特定事件进行激活，从而接收恶意软件提醒。
Playbook 操作：使用第三方集成 (VirusTotal) 提供的数据增强 Google 安全运维 SOAR 实体。
条件响应：指定基于先前结果的条件。例如，如果发现文件哈希是恶意文件，则应隔离该文件。

使用流程而不是集成名称的提示示例

以下示例展示了结构合理的提示，但对流程进行了描述，但没有提及具体的集成名称。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini Playbook 创建功能能够对操作执行这种描述（丰富文件哈希值），并浏览已安装的集成以找到最适合此操作的集成。

Gemini Playbook 创建功能只能从您的环境中已安装的集成中进行选择。

自定义触发器

除了使用标准触发器之外，还可以在 playbook 提示中自定义触发器。您可以为以下对象指定占位符：

提醒
事件
实体
环境
自由文本

在以下示例中，自由文本用于创建针对可疑电子邮件文件夹中的所有电子邮件执行的触发器，但主题行中包含 [TEST] 一词的电子邮件除外。

Write a phishing playbook that will be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. if the URL is malicious, block it in the firewall.

关于撰写提示的提示

最佳做法是使用特定的集成名称：仅当您的环境中已安装和配置了集成时，才应指定这些集成。
充分利用 Gemini 专精领域认证：Gemini 使用指南创建功能专门用于根据与突发事件响应、威胁检测和自动化安全工作流程相关的提示构建手册。
详细说明用途、触发器、操作和条件。
包含明确的目标：从明确的目标（例如管理恶意软件提醒）开始，并指定用于激活 playbook 的触发器。
根据威胁分析，添加操作条件，例如丰富数据或隔离文件。这种清晰度和明确性增强了 playbook 的效果和自动化潜力。

结构合理的提示示例

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to Tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to [email protected].

结构不当的提示示例

Develop a comprehensive playbook that guides our marketing team through analyzing customer engagement metrics across social media platforms. The playbook should detail steps for collecting data, tools for analysis, strategies for enhancing engagement based on data insights, and methods for reporting findings to management. Additionally, include a section on coordinating marketing campaigns with sales efforts to maximize lead generation and conversion rates.

此提示不会创建有效的手册，因为它专注于营销分析和策略，这不在 Google SecOps 手册创建范围之内。