Gemini Google Cloud APP Manual de utilizare

Gemini este un instrument AI puternic care poate fi folosit pentru a ajuta utilizatorii Google Security Operations și Google Threat Intelligence. Acest ghid vă va oferi informațiile de care aveți nevoie pentru a începe cu Gemeni și pentru a crea solicitări eficiente.

Crearea de prompturi cu Gemeni

Când creați o solicitare, va trebui să furnizați Gemini următoarele informații:

1. Tipul de solicitare pe care doriți să-l creați, dacă este cazul (de ex
   „Creează o regulă”)
2. Contextul pentru prompt
3. Ieșirea dorită

Utilizatorii pot crea o varietate de solicitări, inclusiv întrebări, comenzi și rezumate.

Cele mai bune practici pentru crearea solicitărilor

Când creați solicitări, este important să aveți în vedere următoarele bune practici:

Folosește limbajul natural: Scrieți ca și cum ați rosti o comandă și exprimați gândurile complete în propoziții complete.

Furnizați context: Includeți detalii relevante pentru a ajuta Gemeni să vă înțeleagă solicitarea, cum ar fi intervale de timp, surse specifice de jurnal sau informații despre utilizator. Cu cât oferiți mai mult context, cu atât rezultatele vor fi mai relevante și mai utile.

Fii specific și concis: Spuneți clar informațiile pe care le căutați sau sarcina pe care doriți să o îndeplinească Gemeni. Detaliați scopul, declanșatorul, acțiunea și condiția (condițiile).
De example, intreaba-l pe asistent: "Este aceasta (file „nume etc.) despre care se știe că este rău intenționat?” și, dacă se știe că este, puteți solicita „Caută aceasta (file) în mediul meu.”

Includeți obiective clare: Începeți cu un obiectiv clar și specificați declanșatorii care vor activa un răspuns.

Utilizați toate modalitățile: Utilizați funcționalitatea de căutare în linie, asistentul de chat și generatorul de playbook pentru diferitele dvs. nevoi.

Integrari de referință (doar pentru crearea unui playbook): Solicitați și specificați integrările pe care le-ați instalat și configurat deja în mediul dvs., deoarece acestea se referă la pașii următori din manualul de joc.

Repeta: Dacă rezultatele inițiale nu sunt satisfăcătoare, rafinați solicitarea, furnizați informații suplimentare și adresați întrebări ulterioare pentru a-i ghida pe Gemeni către un răspuns mai bun.

Includeți condiții pentru acțiune (numai pentru crearea unui manual): Puteți spori eficiența promptului atunci când creați un manual, solicitând pași suplimentari, cum ar fi îmbogățirea datelor.

Verificați acuratețea: Amintiți-vă că Gemini este un instrument de inteligență artificială, iar răspunsurile sale ar trebui întotdeauna validate pe baza propriilor cunoștințe și a altor surse disponibile.

Utilizarea solicitărilor în Operațiuni de securitate

Gemini poate fi folosit într-o varietate de moduri în operațiunile de securitate, inclusiv căutare în linie, asistență prin chat și generare de playbook. După ce primesc rezumate ale cazurilor generate de inteligență artificială, Gemini poate ajuta practicanții cu:

1. Detectarea și investigarea amenințărilor
2. Întrebări și răspunsuri legate de securitate
3. Generație de playbook
4. Rezumatul informațiilor despre amenințări

Operațiunile de securitate Google (SecOps) este îmbogățit cu informații de primă linie de la Mandiant și informații de la VirusTotal, care pot ajuta echipele de securitate:

Accesați și analizați rapid informații despre amenințări: Puneți întrebări în limbaj natural despre actorii amenințărilor, familiile de programe malware, vulnerabilități și IOC.

Accelerează vânătoarea și detectarea amenințărilor: Generați interogări de căutare UDM și reguli de detectare pe baza datelor de informații despre amenințări.

Prioritizează riscurile de securitate: Înțelegeți care amenințări sunt cele mai relevante pentru organizația lor și concentrați-vă pe cele mai critice vulnerabilități.

Răspundeți mai eficient la incidentele de securitate: Îmbogățiți alertele de securitate cu context de informații despre amenințări și obțineți recomandări pentru acțiuni de remediere.

Îmbunătățirea gradului de conștientizare a securității: Creați materiale de instruire captivante bazate pe informații despre amenințări din lumea reală.

Cazuri de utilizare pentru operațiuni de securitate

Detectarea și investigarea amenințărilor

Creați interogări, generați reguli, monitorizați evenimente, investigați alerte, căutați date (generați interogări UDM).

Scenariu: Un analist de amenințări investighează o nouă alertă și dorește să știe dacă există vreo dovadă în mediu a unei anumite comenzi utilizate pentru a infiltra infrastructura prin adăugarea în registru.

Sample prompt: Creați o interogare pentru a găsi orice evenimente de modificare a registrului pe [nume gazdă] din ultima [perioadă de timp].

Solicitare de urmărire: Generați o regulă pentru a ajuta la detectarea acestui comportament în viitor.

Scenariu: Un analist i se spune că un stagiar făcea „lucruri” suspecte și dorea să înțeleagă mai bine ceea ce se întâmplă.

Sample prompt: Afișați-mi evenimentele de conexiune la rețea pentru ID-ul de utilizator care începe cu tim. smith (insensibil la majuscule minuscule) în ultimele 3 zile.

Solicitare de urmărire: Generați o regulă YARA-L pentru a detecta această activitate în viitor.

Scenariu: Un analist de securitate primește o alertă despre activități suspecte pe un cont de utilizator.

Sample prompt: Afișați-mi evenimentele de conectare blocate cu un cod de eveniment de 4625 unde src.
numele gazdă nu este nul.

Solicitare de urmărire: Câți utilizatori sunt incluși în setul de rezultate?

Întrebări și răspunsuri legate de securitate

Scenariu: Un analist de securitate se înscrie într-un nou loc de muncă și observă că Gemini a rezumat un caz cu pași recomandați pentru investigare și răspuns. Vor să afle mai multe despre malware-ul identificat în rezumatul cazului.

Sample prompt: Ce este [numele programului malware]?

Solicitare de urmărire: Cum persistă [numele programului malware]?

Scenariu: Un analist de securitate primește o alertă despre un potențial rău intenționat file hash.

Sample prompt: Este aceasta file hash [inserați hash] cunoscut ca fiind rău intenționat?

Solicitare de urmărire: Ce alte informații sunt disponibile despre asta file?

Scenariu: Un răspuns la incident trebuie să identifice sursa unui rău intenționat file.

Sample prompt: Ce este file hash al executabilului „[malware.exe]”?

Solicitări de urmărire:

• Îmbogățiți-vă cu informații despre amenințări de la VirusTotal pentru informații despre acest lucru file hash; se știe că este rău intenționat?
• A fost observat acest hash în mediul meu?
• Care sunt acțiunile recomandate de izolare și remediere pentru acest malware?

Generație de playbook

Luați măsuri și construiți manuale.

Scenariu: Un inginer de securitate dorește să automatizeze procesul de răspuns la e-mailurile de phishing.

Sample prompt: Creați un manual care se declanșează atunci când se primește un e-mail de la un expeditor cunoscut de phishing. Registrul ar trebui să pună e-mailul în carantină și să notifice echipa de securitate.

Scenariu: Un membru al echipei SOC dorește să pună în carantină automat malware files.

Sample prompt: Scrieți un manual pentru alertele de malware. Caietul de joc ar trebui să ia file hash din alertă și îmbogățiți-l cu inteligența de la VirusTotal. Dacă file hașul este rău intenționat, puneți în carantină file.

Scenariu: Un analist de amenințări dorește să creeze un nou manual care poate ajuta să răspundă la alertele viitoare legate de modificările cheii de registry.

Sample prompt: Creați un manual pentru acele alerte de modificare a cheii de registry. Vreau ca manualul de joc să fie îmbogățit cu toate tipurile de entități, inclusiv VirusTotal și informații despre amenințări Mandiant. Dacă se identifică ceva suspect, creați caz tags și apoi acordați prioritate cazului în consecință.

Rezumatul informațiilor despre amenințări

Obțineți informații despre amenințări și actori ai amenințărilor.

Scenariu: Un manager de operațiuni de securitate dorește să înțeleagă tiparele de atac ale unui anumit actor de amenințare.

Sample prompt: Care sunt tacticile, tehnicile și procedurile cunoscute (TTP) utilizate de APT29?

Solicitare de urmărire: Există detectări organizate în Google SecOps care pot ajuta la identificarea activității asociate cu aceste TTP-uri?

Scenariu: Un analist de informații despre amenințări află despre un nou tip de malware („emotet”) și împărtășește un raport din cercetarea lor cu echipa SOC.

Sample prompt: Care sunt indicatorii de compromis (IOC) asociați cu malware-ul emotet?

Solicitări de urmărire:

• Generați o interogare de căutare UDM pentru a căuta aceste IOC-uri în jurnalele organizației mele.
• Creați o regulă de detectare care să mă avertizeze dacă vreunul dintre aceste IOC este observat în viitor.

Scenariu: Un cercetător în securitate a identificat gazde în mediul lor care comunică cu servere cunoscute de comandă și control (C2) asociate cu un anumit actor de amenințare.

Sample prompt: Generați o interogare pentru a-mi afișa toate conexiunile de rețea de ieșire către adrese IP și domenii asociate cu: [numele actorului amenințării].

Folosind Gemini în mod eficient, echipele de securitate își pot îmbunătăți capacitățile de informații despre amenințări și își pot îmbunătăți postura generală de securitate. Acestea sunt doar câțiva exampfișiere despre modul în care Gemeni poate fi utilizat pentru a îmbunătăți operațiunile de securitate.
Pe măsură ce vă familiarizați cu instrumentul, veți găsi multe alte modalități de a-l folosi pentru avansul dvstage. Detalii suplimentare pot fi găsite în documentația produsului Google SecOps pagină.

Utilizarea prompturilor în Threat Intelligence

În timp ce Google Threat Intelligence poate fi utilizat în mod similar cu un motor de căutare tradițional cu termeni numai, utilizatorii pot obține, de asemenea, rezultatele dorite prin crearea unor solicitări specifice.
Instrucțiunile Gemini pot fi utilizate într-o varietate de moduri în Threat Intelligence, de la căutarea unor tendințe largi până la înțelegerea amenințărilor specifice și a componentelor malware, inclusiv:

1. Analiza informațiilor despre amenințări
2. Vânătoarea proactivă de amenințări
3. Profilarea actorilor de amenințare
4. Prioritizarea vulnerabilităților
5. Alerte de securitate îmbogățite
6. Utilizarea MITRE ATT&CK

Cazuri de utilizare pentru Threat Intelligence

Analiza informațiilor despre amenințări

Scenariu: Un analist de informații despre amenințări dorește să afle mai multe despre o familie de programe malware recent descoperită.

Sample prompt: Ce se știe despre programul malware „Emotet”? Care sunt capacitățile sale și cum se răspândește?

Solicitare asociată: Care sunt indicatorii de compromis (IOC) asociați cu malware-ul emotet?

Scenariu: Un analist investighează un nou grup de ransomware și dorește să-și înțeleagă rapid tacticile, tehnicile și procedurile (TTP).

Sample prompt: Rezumați TTP-urile cunoscute ale grupului de ransomware „LockBit 3.0”. Includeți informații despre metodele lor inițiale de acces, tehnicile de mișcare laterală și tacticile de extorcare preferate.

Solicitări înrudite:

• Care sunt indicatorii comuni de compromis (IOC) asociați cu LockBit 3.0?
• Au existat rapoarte publice recente sau analize ale atacurilor LockBit 3.0?

Vânătoarea proactivă de amenințări

Scenariu: Un analist de informații despre amenințări dorește să caute în mod proactiv semne ale unei anumite familii de malware despre care se știe că țintește industria lor.

Sample prompt: Care sunt indicatorii comuni de compromis (IOC) asociați cu malware-ul „Trickbot”?

Scenariu: Un cercetător în securitate dorește să identifice orice gazde din mediul lor care comunică cu serverele de comandă și control (C2) cunoscute asociate cu un anumit actor de amenințare.

Sample prompt: Care sunt adresele IP și domeniile C2 cunoscute utilizate de actorul amenințării „[Nume]”?

Profilarea actorilor de amenințare

Scenariu: O echipă de informații despre amenințări urmărește activitățile unui grup APT suspectat și dorește să dezvolte un profesionist cuprinzătorfile.

Sample prompt: Generați un profesionistfile al actorului de amenințare „APT29”. Includeți pseudonimele cunoscute, țara de origine suspectată, motivațiile, țintele tipice și TTP-urile preferate.

Solicitare asociată: Arată-mi o cronologie a celor mai notabile atacuri ale APT29 campaign și cronologie.

Prioritizarea vulnerabilităților

Scenariu: O echipă de management al vulnerabilităților dorește să prioritizeze eforturile de remediere pe baza peisajului amenințărilor.

Sample prompt: Ce vulnerabilități ale rețelelor Palo Alto sunt exploatate activ de către actorii amenințărilor din sălbăticie?

Solicitare asociată: Rezumați exploit-urile cunoscute pentru CVE-2024-3400 și CVE-2024-0012.

Scenariu: O echipă de securitate este copleșită de rezultatele scanării vulnerabilităților și dorește să acorde prioritate eforturilor de remediere pe baza informațiilor despre amenințări.

Sample prompt: Care dintre următoarele vulnerabilități au fost menționate în rapoartele recente de informații despre amenințări: [listați vulnerabilitățile identificate]?

Solicitări înrudite:

• Există exploatații cunoscute disponibile pentru următoarele vulnerabilități: [lista vulnerabilităților identificate]?
• Care dintre următoarele vulnerabilități este cel mai probabil să fie exploatate de către actorii amenințărilor: [listați vulnerabilitățile identificate]? Prioritizează-le în funcție de gravitatea, exploabilitatea și relevanța lor pentru industria noastră.

Alerte de securitate îmbogățite

Scenariu: Un analist de securitate primește o alertă despre o încercare de conectare suspectă de la o adresă IP necunoscută.

Sample prompt: Ce se știe despre adresa IP [furnizează IP]?

Utilizarea MITRE ATT&CK

Scenariu: O echipă de securitate dorește să folosească cadrul MITRE ATT&CK pentru a înțelege modul în care un anumit actor de amenințare ar putea viza organizația lor.

Sample prompt: Arată-mi tehnicile MITRE ATT&CK asociate cu actorul de amenințare APT38.

Gemini este un instrument puternic care poate fi folosit pentru a îmbunătăți operațiunile de securitate și inteligența amenințărilor. Urmând cele mai bune practici prezentate în acest ghid, puteți crea solicitări eficiente care vă vor ajuta să profitați la maximum de Gemeni.

Nota: Acest ghid oferă sugestii pentru utilizarea Gemini în Google SecOps și Gemini în Threat Intelligence. Nu este o listă exhaustivă a tuturor cazurilor de utilizare posibile, iar capacitățile specifice ale Gemini pot varia în funcție de ediția produsului dvs. Ar trebui să consultați documentația oficială pentru cele mai actualizate informații.

Gemenii
în Operațiuni de securitate

Gemenii
în Threat Intelligence

Documente/Resurse

Gemini Google Cloud APP [pdfManual de utilizare Google Cloud APP, Google, Cloud APP, APP

Referințe

• Manual de utilizare