Manual do propietario da aplicación Gemini Google Cloud
Gemini é unha poderosa ferramenta de intelixencia artificial que se pode usar para axudar aos usuarios de Google Security Operations e Google Threat Intelligence. Esta guía proporcionarache a información que necesitas para comezar con Gemini e crear indicacións eficaces.
Creando indicacións con Gemini
Ao crear unha solicitude, terás que proporcionar a Gemini a seguinte información:
- O tipo de solicitude que quere crear, se é o caso (p. ex
"Crear unha regra") - O contexto para o aviso
- A saída desexada
Os usuarios poden crear unha variedade de solicitudes, incluíndo preguntas, ordes e resumos.
Mellores prácticas para crear solicitudes
Ao crear solicitudes, é importante ter en conta as seguintes prácticas recomendadas:
Usa a linguaxe natural: Escribe coma se estiveses falando unha orde e expresa pensamentos completos en frases completas.
Proporcionar contexto: Inclúe detalles relevantes para axudar a Gemini a comprender a túa solicitude, como períodos de tempo, fontes de rexistro específicas ou información do usuario. Canto máis contexto proporciones, máis relevantes e útiles serán os resultados.
Sexa específico e conciso: Indique claramente a información que está a buscar ou a tarefa que quere que realice Gemini. Detalle o propósito, o desencadenante, a acción e as condicións.
Por example, pregúntalle ao asistente: "É isto (file nome, etc.) que se sabe que é malicioso?" e, se se sabe que o é, podes pedirlle a "Busca isto (file) no meu entorno".
Incluír obxectivos claros: Comeza cun obxectivo claro e especifica os disparadores que activarán unha resposta.
Aproveitar todas as modalidades: Usa a funcionalidade de busca en liña, o asistente de chat e o xerador de playbooks para as túas diferentes necesidades.
Integracións de referencia (só para a creación de playbooks): Solicite e especifique as integracións que xa instalaches e configuraches no teu contorno xa que se relacionan cos seguintes pasos do manual.
Iterar: Se os resultados iniciais non son satisfactorios, perfecciona o teu aviso, proporciona información adicional e fai preguntas de seguimento para guiar a Gemini cara a unha mellor resposta.
Incluír condicións para a acción (só para a creación do libro de xogadas): Podes mellorar a eficacia do aviso ao crear un libro de xogadas solicitando pasos adicionais, como o enriquecemento de datos.
Verifica a precisión: Lembra que Gemini é unha ferramenta de intelixencia artificial e que as súas respostas sempre deben validarse en función do teu propio coñecemento e doutras fontes dispoñibles.
Usando avisos en Operacións de seguridade
Gemini pódese usar de varias maneiras nas operacións de seguranza, incluíndo a busca en liña, a asistencia de chat e a xeración de playbooks. Despois de recibir resumos de casos xerados pola IA, Gemini pode axudar aos profesionais con:
- Detección e investigación de ameazas
- Preguntas e respostas relacionadas coa seguridade
- Xeración de playbooks
- Resumo da intelixencia de ameazas
Operacións de seguridade de Google (SecOps) está enriquecida coa intelixencia de primeira liña de Mandiant e a intelixencia multipropósito de VirusTotal que pode axudar aos equipos de seguridade:
Acceda e analice rapidamente a intelixencia sobre ameazas: Fai preguntas en linguaxe natural sobre actores de ameazas, familias de malware, vulnerabilidades e IOC.
Acelerar a caza e detección de ameazas: Xera consultas de busca UDM e regras de detección baseadas en datos de intelixencia de ameazas.
Prioriza os riscos de seguridade: Comprender cales son as ameazas máis relevantes para a súa organización e céntrase nas vulnerabilidades máis críticas.
Responde de forma máis eficaz aos incidentes de seguridade: Enriquece as alertas de seguranza cun contexto de intelixencia de ameazas e obtén recomendacións para accións de corrección.
Mellorar a conciencia de seguridade: Crea materiais de formación atractivos baseados na intelixencia sobre ameazas do mundo real.
Casos de uso para operacións de seguridade
Detección e investigación de ameazas
Crear consultas, xerar regras, supervisar eventos, investigar alertas, buscar datos (xerar consultas UDM).
Escenario: Un analista de ameazas está a investigar unha nova alerta e quere saber se hai algunha evidencia no contorno dun determinado comando usado para infiltrarse na infraestrutura engadindo-se ao rexistro.
Sample prompt: Cree unha consulta para atopar calquera evento de modificación do rexistro en [hostname] durante o último [período de tempo].
Aviso de seguimento: Xera unha regra que axude a detectar ese comportamento no futuro.
Escenario: Dille a un analista que un interno estaba facendo "cousas" sospeitosas e quería entender mellor o que estaba a ocorrer.
Sample prompt: Móstrame eventos de conexión de rede para o ID de usuario que comeza por tim. smith (non distingue entre mayúsculas e minúsculas) nos últimos 3 días.
Aviso de seguimento: Xera unha regra YARA-L para detectar esta actividade no futuro.
Escenario: Un analista de seguridade recibe unha alerta sobre actividade sospeitosa nunha conta de usuario.
Sample prompt: Móstrame eventos de inicio de sesión de usuarios bloqueados cun código de evento de 4625 onde src.
o nome de host non é nulo.
Aviso de seguimento: Cantos usuarios están incluídos no conxunto de resultados?
Escenario: Un analista de seguridade está a incorporarse a un novo traballo e observa que Gemini resumiu un caso cos pasos recomendados para a investigación e resposta. Queren obter máis información sobre o malware identificado no resumo do caso.
Sample prompt: Que é [nome do malware]?
Aviso de seguimento: Como persiste [nome do malware]?
Escenario: Un analista de seguridade recibe unha alerta sobre un potencial malicioso file haxix.
Sample prompt: É isto file hash [inserir hash] coñecido por ser malicioso?
Aviso de seguimento: Que outra información está dispoñible sobre isto file?
Escenario: Un respondedor de incidentes debe identificar a orixe dun malicioso file.
Sample prompt: Cal é o file hash do executable "[malware.exe]"?
Indicacións de seguimento:
- Enriquece coa intelixencia de ameazas de VirusTotal para obter información sobre isto file haxix; sábese que é malicioso?
- Observouse este hash no meu entorno?
- Cales son as accións de contención e corrección recomendadas para este malware?
Xeración de playbooks
Toma accións e crea libros de xogo.
Escenario: Un enxeñeiro de seguridade quere automatizar o proceso de resposta aos correos electrónicos de phishing.
Sample prompt: Crea un manual de xogos que se activa cando se recibe un correo electrónico dun remitente de phishing coñecido. O manual debe poñer o correo electrónico en corentena e avisar ao equipo de seguridade.
Escenario: Un membro do equipo SOC quere poñer en corentena automaticamente os maliciosos files.
Sample prompt: Escribe un manual para alertas de malware. O libro de xogos debe levar o file hash da alerta e enriquecelo coa intelixencia de VirusTotal. Se o file O hash é malicioso, pon en corentena file.
Escenario: Un analista de ameazas quere crear un novo manual que poida axudar a responder a futuras alertas relacionadas cos cambios na clave do rexistro.
Sample prompt: Crea un manual para esas alertas de cambios na clave de rexistro. Quero que ese libro de xogos se enriqueza con todos os tipos de entidades, incluíndo VirusTotal e Intelixencia de ameazas de primeira liña de Mandiant. Se se detecta algo sospeitoso, cree caso tags e despois prioriza o caso en consecuencia.
Resumo da intelixencia de ameazas
Obteña información sobre ameazas e actores da ameaza.
Escenario: Un xestor de operacións de seguridade quere comprender os patróns de ataque dun actor de ameaza específico.
Sample prompt: Cales son as tácticas, técnicas e procedementos coñecidos (TTP) utilizados por APT29?
Aviso de seguimento: Existen deteccións seleccionadas en Google SecOps que poidan axudar a identificar a actividade asociada a estes TTP?
Escenario: Un analista de intelixencia de ameazas descobre un novo tipo de malware ("emotet") e comparte un informe da súa investigación co equipo SOC.
Sample prompt: Cales son os indicadores de compromiso (IOC) asociados co malware emotet?
Indicacións de seguimento:
- Xera unha consulta de busca UDM para buscar estes IOC nos rexistros da miña organización.
- Crea unha regra de detección que me avise se se observa algún destes IOC no futuro.
Escenario: Un investigador de seguridade identificou hosts no seu contorno que se comunican con servidores de comando e control (C2) coñecidos asociados a un actor de ameazas en particular.
Sample prompt: Xera unha consulta para mostrarme todas as conexións de rede de saída a enderezos IP e dominios asociados con: [nome do actor da ameaza].
Ao usar Gemini de forma eficaz, os equipos de seguridade poden mellorar as súas capacidades de intelixencia de ameazas e mellorar a súa postura de seguridade xeral. Estes son só algúns exampde como se pode usar Gemini para mellorar as operacións de seguridade.
A medida que se familiarice máis coa ferramenta, atopará moitas outras formas de usala no seu advantage. Pódense atopar detalles adicionais na documentación do produto Google SecOps páxina.
Usando avisos en Threat Intelligence
Aínda que Google Threat Intelligence se pode usar de forma similar a un motor de busca tradicional con só termos, os usuarios tamén poden conseguir os resultados desexados creando indicacións específicas.
As indicacións de Gemini pódense usar de varias maneiras en Threat Intelligence, desde a busca de tendencias amplas ata a comprensión de ameazas específicas e pezas de malware, incluíndo:
- Análise de intelixencia de ameazas
- Caza proactiva de ameazas
- Perfil de actores de ameaza
- Priorización da vulnerabilidade
- Alertas de seguridade enriquecedoras
- Aproveitando MITRE ATT&CK
Casos de uso para Threat Intelligence
Análise de intelixencia de ameazas
Escenario: Un analista de intelixencia de ameazas quere saber máis sobre unha familia de malware recentemente descuberta.
Sample prompt: Que se sabe sobre o malware "Emotet"? Cales son as súas capacidades e como se propaga?
Aviso relacionado: Cales son os indicadores de compromiso (IOC) asociados co malware emotet?
Escenario: Un analista está a investigar un novo grupo de ransomware e quere comprender rapidamente as súas tácticas, técnicas e procedementos (TTP).
Sample prompt: Resume os TTP coñecidos do grupo de ransomware "LockBit 3.0". Inclúe información sobre os seus métodos de acceso inicial, técnicas de movemento lateral e tácticas de extorsión preferidas.
Indicacións relacionadas:
- Cales son os indicadores comúns de compromiso (IOC) asociados con LockBit 3.0?
- Houbo algún informe público recente ou análise dos ataques de LockBit 3.0?
Caza proactiva de ameazas
Escenario: Un analista de intelixencia de ameazas quere buscar de forma proactiva sinais dunha familia específica de malware que se sabe que se dirixe á súa industria.
Sample prompt: Cales son os indicadores comúns de compromiso (IOC) asociados co malware "Trickbot"?
Escenario: Un investigador de seguridade quere identificar calquera host do seu contorno que se comunique con servidores de comando e control (C2) coñecidos asociados a un actor de ameazas en particular.
Sample prompt: Cales son os dominios e enderezos IP C2 coñecidos utilizados polo actor de ameazas "[Nome]"?
Perfil de actores de ameaza
Escenario: Un equipo de intelixencia de ameazas está a rastrexar as actividades dun grupo APT sospeitoso e quere desenvolver un profesional completofile.
Sample prompt: Xera un profesionalfile do actor de ameazas “APT29”. Inclúe os seus alias coñecidos, o país de orixe sospeitoso, as motivacións, os obxectivos típicos e os TTP preferidos.
Aviso relacionado: Móstrame unha cronoloxía dos ataques máis notables de APT29 campliña e cronograma.
Priorización da vulnerabilidade
Escenario: Un equipo de xestión de vulnerabilidades quere priorizar os esforzos de corrección en función da paisaxe de ameazas.
Sample prompt: Que vulnerabilidades de Palo Alto Networks están a ser explotadas activamente por actores de ameazas en estado salvaxe?
Aviso relacionado: Resume os exploits coñecidos para CVE-2024-3400 e CVE-2024-0012.
Escenario: Un equipo de seguridade está desbordado cos resultados da análise de vulnerabilidades e quere priorizar os esforzos de corrección baseados na intelixencia sobre ameazas.
Sample prompt: Cales das seguintes vulnerabilidades foron mencionadas nos últimos informes de intelixencia sobre ameazas: [enumerar vulnerabilidades identificadas]?
Indicacións relacionadas:
- Hai algún exploit coñecido dispoñible para as seguintes vulnerabilidades: [enumerar vulnerabilidades identificadas]?
- Cales das seguintes vulnerabilidades teñen máis probabilidades de ser explotadas polos axentes de ameazas: [enumerar vulnerabilidades identificadas]? Priorizalos en función da súa gravidade, explotabilidade e relevancia para a nosa industria.
Alertas de seguridade enriquecedoras
Escenario: Un analista de seguridade recibe unha alerta sobre un intento de inicio de sesión sospeitoso desde un enderezo IP descoñecido.
Sample prompt: Que se sabe sobre o enderezo IP [proporcionar IP]?
Aproveitando MITRE ATT&CK
Escenario: Un equipo de seguridade quere utilizar o marco MITRE ATT&CK para comprender como un actor de ameazas específico pode dirixirse á súa organización.
Sample prompt: Móstrame as técnicas MITRE ATT&CK asociadas ao actor de ameazas APT38.
Gemini é unha poderosa ferramenta que se pode usar para mellorar as operacións de seguridade e a intelixencia sobre ameazas. Seguindo as mellores prácticas descritas nesta guía, podes crear indicacións eficaces que che axudarán a sacar o máximo proveito de Gemini.
Nota: Esta guía ofrece suxestións para usar Gemini en Google SecOps e Gemini en Threat Intelligence. Non é unha lista exhaustiva de todos os posibles casos de uso, e as capacidades específicas de Gemini poden variar dependendo da edición do teu produto. Debes consultar a documentación oficial para obter a información máis actualizada.
Xemelgos
en Operacións de Seguridade
Xemelgos
en Intelixencia de Ameazas
Documentos/Recursos
 |
APP Gemini Google Cloud [pdfManual do propietario Google Cloud APP, Google, Cloud APP, APP |
![Google Clips [G015A] Función manual](https://manuals.plus/wp-content/uploads/2018/09/Google-Clips-G015A-Manual-featured-150x150.jpg)