Priročnik za uporabo Gemini Google Cloud APP

Gemini je zmogljivo orodje AI, ki se lahko uporablja za pomoč uporabnikom Googlovih varnostnih operacij in Googlovega obveščanja o grožnjah. Ta vodnik vam bo zagotovil informacije, ki jih potrebujete, da začnete uporabljati Gemini, in ustvarite učinkovite pozive.

Ustvarjanje pozivov z Gemini

Ko ustvarjate poziv, boste morali Gemini posredovati naslednje podatke:

1. Vrsta poziva, ki ga želite ustvariti, če je primerno (npr
   "Ustvari pravilo")
2. Kontekst za poziv
3. Želeni rezultat

Uporabniki lahko ustvarijo različne pozive, vključno z vprašanji, ukazi in povzetki.

Najboljše prakse za ustvarjanje pozivov

Pri ustvarjanju pozivov je pomembno upoštevati naslednje najboljše prakse:

Uporabite naravni jezik: Pišite, kot da govorite ukaz, in izrazite popolne misli v celih stavkih.

Navedite kontekst: Vključite ustrezne podrobnosti, da Gemini pomagate razumeti vašo zahtevo, kot so časovni okviri, določeni viri dnevnikov ali uporabniški podatki. Več konteksta kot zagotovite, bolj ustrezni in koristni bodo rezultati.

Bodite natančni in jedrnati: Jasno navedite informacije, ki jih iščete, ali nalogo, za katero želite, da jo opravi Dvojček. Podrobno opišite namen, sprožilec, dejanje in pogoje.
Na primerample, vprašaj asistenta: "Je to (file ime itd.) znano kot zlonamerno?« in če je znano, da je, lahko vprašate »Iskanje to (file) v mojem okolju.«

Vključite jasne cilje: Začnite z jasnim ciljem in določite sprožilce, ki bodo aktivirali odziv.

Izkoristite vse modalitete: Uporabite funkcijo iskanja v vrstici, pomočnika za klepet in generator playbook za vaše različne potrebe.

Referenčne integracije (samo za ustvarjanje playbook): Zahtevajte in navedite integracije, ki ste jih že namestili in konfigurirali v svojem okolju, saj se nanašajo na naslednje korake v priročniku.

Ponovi: Če začetni rezultati niso zadovoljivi, izboljšajte svoj poziv, zagotovite dodatne informacije in postavite nadaljnja vprašanja, da boste Gemini usmerili k boljšemu odzivu.

Vključite pogoje za ukrepanje (samo za ustvarjanje playbooka): Učinkovitost poziva lahko izboljšate, ko ustvarjate knjigo iger, tako da zahtevate dodatne korake, kot je obogatitev podatkov.

Preverite točnost: Ne pozabite, da je Gemini orodje umetne inteligence in da je treba njegove odzive vedno preveriti glede na vaše znanje in druge razpoložljive vire.

Uporaba pozivov v varnostnih operacijah

Gemini se lahko uporablja na različne načine v varnostnih operacijah, vključno z iskanjem v vrstici, pomočjo v klepetu in ustvarjanjem priročnika. Po prejemu povzetkov primerov, ki jih ustvari umetna inteligenca, lahko Gemini zdravnikom pomaga pri:

1. Odkrivanje in preiskava groženj
2. Vprašanja in odgovori v zvezi z varnostjo
3. Generacija Playbook
4. Povzetek obveščevalnih podatkov o grožnjah

Google Security Operations (SecOps) je obogaten z obveščevalnimi podatki na prvi liniji podjetja Mandiant in obveščevalnimi podatki množice podjetja VirusTotal, ki lahko pomagajo varnostnim ekipam:

Hiter dostop in analiza obveščevalnih podatkov o grožnjah: Zastavljajte vprašanja v naravnem jeziku o akterjih groženj, družinah zlonamerne programske opreme, ranljivostih in IOC.

Pospešite lovljenje in odkrivanje groženj: Ustvarite iskalne poizvedbe UDM in pravila za odkrivanje na podlagi podatkov o obveščanju o grožnjah.

Dajte prednost varnostnim tveganjem: Razumeti, katere grožnje so najbolj pomembne za njihovo organizacijo, in se osredotočiti na najbolj kritične ranljivosti.

Učinkovitejši odziv na varnostne incidente: Obogatite varnostna opozorila s kontekstom obveščanja o grožnjah in pridobite priporočila za sanacijske ukrepe.

Izboljšajte varnostno ozaveščenost: Ustvarite privlačna gradiva za usposabljanje, ki temeljijo na obveščanju o grožnjah iz resničnega sveta.

Primeri uporabe za varnostne operacije

Odkrivanje in preiskava groženj

Ustvarite poizvedbe, ustvarite pravila, spremljajte dogodke, raziščite opozorila, poiščite podatke (generirajte poizvedbe UDM).

Scenarij: Analitik groženj preiskuje novo opozorilo in želi vedeti, ali v okolju obstajajo dokazi o določenem ukazu, uporabljenem za infiltracijo v infrastrukturo, tako da se doda v register.

Sample poziv: Ustvarite poizvedbo za iskanje morebitnih dogodkov spreminjanja registra na [ime gostitelja] v preteklem [časovnem obdobju].

Nadaljnji poziv: Ustvarite pravilo za pomoč pri odkrivanju tega vedenja v prihodnosti.

Scenarij: Analitik je povedal, da je pripravnik počel sumljive "stvari" in je želel bolje razumeti, kaj se dogaja.

Sample poziv: Pokaži mi dogodke omrežne povezave za ID uporabnika, ki se začne s tim. smith (neobčutljivo na velike in male črke) za zadnje 3 dni.

Nadaljnji poziv: Ustvarite pravilo YARA-L za zaznavanje te dejavnosti v prihodnosti.

Scenarij: Varnostni analitik prejme opozorilo o sumljivi dejavnosti na uporabniškem računu.

Sample poziv: Pokaži mi blokirane dogodke prijave uporabnikov s kodo dogodka 4625, kjer je src.
ime gostitelja ni ničelno.

Nadaljnji poziv: Koliko uporabnikov je vključenih v niz rezultatov?

Vprašanja in odgovori v zvezi z varnostjo

Scenarij: Varnostni analitik se vkrca na novo službo in opazi, da je Gemini povzel primer s priporočenimi koraki za preiskavo in odziv. Želijo izvedeti več o zlonamerni programski opremi, identificirani v povzetku primera.

Sample poziv: Kaj je [ime zlonamerne programske opreme]?

Nadaljnji poziv: Kako [ime zlonamerne programske opreme] obstaja?

Scenarij: Varnostni analitik prejme opozorilo o potencialno zlonamernem file hash.

Sample poziv: Ali je to file hash [vstavi hash] je znano, da je zlonamerno?

Nadaljnji poziv: Katere druge informacije so na voljo o tem file?

Scenarij: Oseba, ki se odziva na dogodke, mora identificirati vir zlonamernega file.

Sample poziv: Kaj je file zgoščeno vrednost izvedljive datoteke »[malware.exe]«?

Nadaljnji pozivi:

• Za informacije o tem obogatite z informacijami o grožnjah podjetja VirusTotal file hash; ali je znano, da je zlonamerno?
• Ali je bil ta razpršitev opažen v mojem okolju?
• Kakšni so priporočeni ukrepi za zadrževanje in sanacijo te zlonamerne programske opreme?

Generacija Playbook

Ukrepajte in sestavite priročnike.

Scenarij: Varnostni inženir želi avtomatizirati postopek odgovarjanja na lažna e-poštna sporočila.

Sample poziv: Ustvarite priročnik, ki se sproži, ko prejmete e-poštno sporočilo od znanega pošiljatelja lažnega predstavljanja. Playbook mora e-pošto dati v karanteno in obvestiti varnostno ekipo.

Scenarij: Član ekipe SOC želi zlonamerno samodejno postaviti v karanteno files.

Sample poziv: Napišite priročnik za opozorila o zlonamerni programski opremi. Zbirka iger bi morala upoštevati file hash iz opozorila in ga obogatite z inteligenco VirusTotal. Če je file hash je zlonamerna, postavite v karanteno file.

Scenarij: Analitik groženj želi ustvariti nov priročnik, ki lahko pomaga pri odzivanju na prihodnja opozorila, povezana s spremembami registrskega ključa.

Sample poziv: Zgradite priročnik za ta opozorila o spremembah registrskih ključev. Želim, da je ta priročnik obogaten z vsemi vrstami subjektov, vključno z obveščanjem o grožnjah VirusTotal in Mandiant. Če se ugotovi kar koli sumljivega, ustvarite primer tags in nato ustrezno razvrstite primer.

Povzetek obveščevalnih podatkov o grožnjah

Pridobite vpogled v grožnje in akterje groženj.

Scenarij: Vodja varnostnih operacij želi razumeti vzorce napadov določenega akterja grožnje.

Sample poziv: Katere so znane taktike, tehnike in postopki (TTP), ki jih uporablja APT29?

Nadaljnji poziv: Ali obstajajo v storitvi Google SecOps kakšna izbrana zaznavanja, ki lahko pomagajo prepoznati dejavnost, povezano s temi TTP-ji?

Scenarij: Analitik za obveščanje o grožnjah izve za novo vrsto zlonamerne programske opreme (»emotet«) in deli poročilo svoje raziskave z ekipo SOC.

Sample poziv: Kateri so indikatorji ogroženosti (IOC), povezani z zlonamerno programsko opremo emotet?

Nadaljnji pozivi:

• Ustvarite iskalno poizvedbo UDM za iskanje teh IOC v dnevnikih moje organizacije.
• Ustvarite pravilo zaznavanja, ki me bo opozorilo, če bom v prihodnosti opazil katerega od teh IOC.

Scenarij: Varnostni raziskovalec je identificiral gostitelje v svojem okolju, ki komunicirajo z znanimi strežniki za ukazovanje in nadzor (C2), povezanimi z določenim akterjem grožnje.

Sample poziv: Ustvari poizvedbo, ki mi bo prikazala vse odhodne omrežne povezave do naslovov IP in domen, povezanih z: [ime akterja grožnje].

Z učinkovito uporabo Gemini lahko varnostne ekipe izboljšajo svoje zmogljivosti obveščanja o grožnjah in izboljšajo svoj splošni varnostni položaj. To je le nekaj bivšihampo tem, kako lahko Gemini uporabimo za izboljšanje varnostnih operacij.
Ko se boste bolje seznanili z orodjem, boste našli veliko drugih načinov, kako ga uporabiti za svoj napredektage. Dodatne podrobnosti najdete v dokumentaciji izdelka Google SecOps strani.

Uporaba pozivov v obveščanju o grožnjah

Medtem ko se Google Threat Intelligence lahko uporablja podobno kot tradicionalni iskalnik samo z izrazi, lahko uporabniki dosežejo želene rezultate tudi z ustvarjanjem posebnih pozivov.
Pozive Gemini je mogoče uporabiti na različne načine v obveščanju o grožnjah, od iskanja širokih trendov do razumevanja določenih groženj in kosov zlonamerne programske opreme, vključno z:

1. Analiza obveščevalnih podatkov o grožnjah
2. Proaktivno lovljenje groženj
3. Profiliranje akterja grožnje
4. Prednostna naloga ranljivosti
5. Obogatitev varnostnih opozoril
6. Izkoriščanje MITER ATT&CK

Primeri uporabe za obveščanje o grožnjah

Analiza obveščevalnih podatkov o grožnjah

Scenarij: Analitik za obveščanje o grožnjah želi izvedeti več o novoodkriti družini zlonamerne programske opreme.

Sample poziv: Kaj je znanega o zlonamerni programski opremi »Emotet«? Kakšne so njegove zmožnosti in kako se širi?

Sorodni poziv: Kateri so indikatorji ogroženosti (IOC), povezani z zlonamerno programsko opremo emotet?

Scenarij: Analitik preiskuje novo skupino izsiljevalskih programov in želi hitro razumeti njihove taktike, tehnike in postopke (TTP).

Sample poziv: Povzemite znane TTP-je skupine izsiljevalskih programov »LockBit 3.0«. Vključite informacije o njihovih začetnih metodah dostopa, tehnikah bočnega gibanja in prednostnih taktikah izsiljevanja.

Povezani pozivi:

• Kateri so običajni indikatorji ogroženosti (IOC), povezani z LockBit 3.0?
• Ali so bila v zadnjem času objavljena kakšna javna poročila ali analize napadov LockBit 3.0?

Proaktivno lovljenje groženj

Scenarij: Analitik za obveščanje o grožnjah želi proaktivno iskati znake določene družine zlonamerne programske opreme, za katero je znano, da cilja na njihovo panogo.

Sample poziv: Kateri so pogosti indikatorji ogroženosti (IOC), povezani z zlonamerno programsko opremo »Trickbot«?

Scenarij: Varnostni raziskovalec želi identificirati vse gostitelje v svojem okolju, ki komunicirajo z znanimi ukazno-nadzornimi (C2) strežniki, povezanimi z določenim akterjem grožnje.

Sample poziv: Kateri so znani naslovi IP in domene C2, ki jih uporablja akter grožnje »[Ime]«?

Profiliranje akterja grožnje

Scenarij: Skupina za obveščanje o grožnjah sledi dejavnostim domnevne skupine APT in želi razviti celovito profile.

Sample poziv: Ustvarite profesionalcafile igralca grožnje »APT29«. Vključite njihove znane vzdevke, domnevno državo izvora, motivacije, tipične cilje in prednostne TTP.

Sorodni poziv: Pokaži mi časovnico najbolj opaznih napadov APT29 campaign in časovnica.

Prednostna naloga ranljivosti

Scenarij: Skupina za upravljanje ranljivosti želi dati prednost prizadevanjem za sanacijo na podlagi pokrajine groženj.

Sample poziv: Katere ranljivosti omrežja Palo Alto Networks akterji groženj aktivno izkoriščajo?

Sorodni poziv: Povzemite znana izkoriščanja za CVE-2024-3400 in CVE-2024-0012.

Scenarij: Varnostna ekipa je preobremenjena z rezultati skeniranja ranljivosti in želi dati prednost prizadevanjem za odpravo napak na podlagi podatkov o grožnjah.

Sample poziv: Katere od naslednjih ranljivosti so bile omenjene v nedavnih poročilih o obveščanju o grožnjah: [seznam ugotovljenih ranljivosti]?

Povezani pozivi:

• Ali so na voljo kakršna koli znana izkoriščanja za naslednje ranljivosti: [seznam ugotovljenih ranljivosti]?
• Katero od naslednjih ranljivosti bodo najverjetneje izkoristili akterji groženj: [seznam ugotovljenih ranljivosti]? Dajte jim prednost na podlagi njihove resnosti, možnosti izkoriščanja in pomembnosti za našo panogo.

Obogatitev varnostnih opozoril

Scenarij: Varnostni analitik prejme opozorilo o sumljivem poskusu prijave z neznanega naslova IP.

Sample poziv: Kaj je znano o naslovu IP [navedite IP]?

Izkoriščanje MITER ATT&CK

Scenarij: Varnostna ekipa želi uporabiti ogrodje MITER ATT&CK, da bi razumela, kako lahko določen akter grožnje cilja na njihovo organizacijo.

Sample poziv: Pokažite mi tehnike MITER ATT&CK, povezane z akterjem grožnje APT38.

Gemini je zmogljivo orodje, ki ga je mogoče uporabiti za izboljšanje varnostnih operacij in obveščanja o grožnjah. Z upoštevanjem najboljših praks, opisanih v tem priročniku, lahko ustvarite učinkovite pozive, ki vam bodo pomagali kar najbolje izkoristiti Gemini.

Opomba: Ta vodnik vsebuje predloge za uporabo Gemini v Google SecOps in Gemini v Threat Intelligence. To ni izčrpen seznam vseh možnih primerov uporabe in posebne zmogljivosti Geminija se lahko razlikujejo glede na izdajo vašega izdelka. Za najnovejše informacije si oglejte uradno dokumentacijo.

dvojčka
v varnostnih operacijah

dvojčka
v obveščanju o grožnjah

Dokumenti / Viri

Gemini Google Cloud APP [pdf] Priročnik za lastnika Google Cloud APP, Google, Cloud APP, APP

Reference

• Uporabniški priročnik