Gemini Google Cloud APP Ръководство за собственика

Gemini е мощен AI инструмент, който може да се използва за подпомагане на потребителите на Google Security Operations и Google Threat Intelligence. Това ръководство ще ви предостави необходимата информация, за да започнете с Gemini и да създадете ефективни подкани.

Създаване на подкани с Gemini

Когато създавате подкана, ще трябва да предоставите на Gemini следната информация:

1. Типът подкана, която искате да създадете, ако е приложимо (напр
   „Създаване на правило“)
2. Контекстът за подканата
3. Желаният изход

Потребителите могат да създават различни подкани, включително въпроси, команди и резюмета.

Най-добри практики за създаване на подкани

Когато създавате подкани, е важно да имате предвид следните най-добри практики:

Използвайте естествен език: Пишете така, сякаш произнасяте команда и изразявайте пълни мисли в пълни изречения.

Осигурете контекст: Включете подходящи подробности, за да помогнете на Gemini да разбере вашата заявка, като времеви рамки, конкретни източници на регистрационни файлове или потребителска информация. Колкото повече контекст предоставите, толкова по-подходящи и полезни ще бъдат резултатите.

Бъдете конкретни и кратки: Посочете ясно информацията, която търсите, или задачата, която искате Близнаците да изпълнят. Опишете подробно целта, задействането, действието и условието(ята).
Напримерample, попитайте асистента: „Това ли е (file име и т.н.) известно като злонамерено?“ и ако е известно, че е, можете да попитате „Търсене на това (file) в моята среда.“

Включете ясни цели: Започнете с ясна цел и посочете задействания, които ще активират отговор.

Използвайте всички модалности: Използвайте функцията за търсене на линия, асистента за чат и генератора на книгата за различни нужди.

Референтни интеграции (само за създаване на книга за игра): Заявете и посочете интеграции, които вече сте инсталирали и конфигурирали във вашата среда, тъй като те се отнасят до следващите стъпки в наръчника.

Итерация: Ако първоначалните резултати не са задоволителни, прецизирайте подканата си, предоставете допълнителна информация и задайте последващи въпроси, за да насочите Близнаци към по-добър отговор.

Включете условия за действие (само за създаване на книга за игра): Можете да подобрите ефективността на подканата, когато създавате книга за игра, като поискате допълнителни стъпки, като например обогатяване на данни.

Проверете точността: Не забравяйте, че Gemini е инструмент с изкуствен интелект и неговите отговори винаги трябва да се проверяват спрямо вашите собствени знания и други налични източници.

Използване на подкани в операции по сигурността

Gemini може да се използва по различни начини в операциите по сигурността, включително търсене на линия, помощ в чат и генериране на книги за игра. След получаване на резюмета на казуси, генерирани от AI, Gemini може да помогне на практикуващите със:

1. Откриване и разследване на заплахи
2. Въпроси и отговори, свързани със сигурността
3. Генериране на книги за игра
4. Обобщение на информацията за заплахите

Операциите по сигурността на Google (SecOps) са обогатени с разузнаване от първа линия от Mandiant и разузнаване от VirusTotal, което може да помогне на екипите по сигурността:

Бърз достъп и анализ на информацията за заплахи: Задавайте въпроси на естествен език относно участниците в заплахите, семействата на зловреден софтуер, уязвимостите и IOC.

Ускорете търсенето и откриването на заплахи: Генерирайте UDM заявки за търсене и правила за откриване въз основа на данни за разузнаване на заплахи.

Дайте приоритет на рисковете за сигурността: Разберете кои заплахи са най-подходящи за тяхната организация и се фокусирайте върху най-критичните уязвимости.

Отговорете по-ефективно на инциденти със сигурността: Обогатете известията за сигурност с контекст за разузнаване на заплахи и получете препоръки за коригиращи действия.

Подобрете информираността за сигурността: Създавайте увлекателни материали за обучение, базирани на информация за заплахите от реалния свят.

Случаи на използване за операции по сигурността

Откриване и разследване на заплахи

Създавайте заявки, генерирайте правила, наблюдавайте събития, проучвайте сигнали, търсете данни (генерирайте UDM заявки).

Сценарий: Анализатор на заплахи проучва нов сигнал и иска да знае дали има доказателства в средата за конкретна команда, използвана за проникване в инфраструктура чрез добавяне към регистъра.

Sampподкана: Създайте заявка, за да намерите всякакви събития за модификация на регистъра на [име на хост] през последния [период от време].

Подкана за последващи действия: Генерирайте правило, което да ви помогне да откриете това поведение в бъдеще.

Сценарий: Казват на анализатор, че стажант е правил подозрителни „неща“ и е искал да разбере по-добре какво се случва.

Sampподкана: Покажи ми събития за мрежова връзка за потребителския идентификатор, започващ с tim. смит (без значение за малки и големи букви) за последните 3 дни.

Подкана за последващи действия: Генерирайте правило YARA-L за откриване на тази дейност в бъдеще.

Сценарий: Анализатор по сигурността получава предупреждение за подозрителна дейност в потребителски акаунт.

Sampподкана: Покажи ми блокирани събития за влизане на потребители с код на събитието 4625, където src.
името на хоста не е нула.

Подкана за последващи действия: Колко потребители са включени в набора от резултати?

Въпроси и отговори, свързани със сигурността

Сценарий: Анализатор по сигурността се назначава на нова работа и забелязва, че Gemini е обобщил случай с препоръчани стъпки за разследване и отговор. Те искат да научат повече за злонамерения софтуер, идентифициран в резюмето на случая.

Sampподкана: Какво е [име на зловреден софтуер]?

Подкана за последващи действия: Как [име на зловреден софтуер] продължава да съществува?

Сценарий: Анализатор по сигурността получава предупреждение за потенциално злонамерен file хеш.

Sampподкана: Това ли е file хеш [вмъкнете хеш], за който е известно, че е злонамерен?

Подкана за последващи действия: Каква друга информация има за това file?

Сценарий: Службата за реагиране при инциденти трябва да идентифицира източника на злонамерено file.

Sampподкана: Какво е file хеш на изпълнимия файл „[malware.exe]“?

Подкани за последващи действия:

• Обогатете с информация за заплахи от VirusTotal за информация за това file хеш; известно ли е, че е злонамерено?
• Този хеш наблюдаван ли е в моята среда?
• Какви са препоръчителните действия за ограничаване и отстраняване на този зловреден софтуер?

Генериране на книги за игра

Предприемете действия и създайте книги за игри.

Сценарий: Инженер по сигурността иска да автоматизира процеса на отговаряне на фишинг имейли.

Sampподкана: Създайте наръчник, който се задейства при получаване на имейл от известен подател на фишинг. Книгата за игра трябва да постави имейла под карантина и да уведоми екипа по сигурността.

Сценарий: Член на екипа на SOC иска автоматично да постави злонамерен под карантина files.

Sampподкана: Напишете книга за предупреждения за зловреден софтуер. Книгата-игра трябва да вземе file хеш от предупреждението и го обогатете с разузнаване от VirusTotal. Ако file hash е злонамерен, поставете го под карантина file.

Сценарий: Анализатор на заплахи иска да създаде нов наръчник, който може да помогне в отговор на бъдещи предупреждения, свързани с промени в ключовете на системния регистър.

Sampподкана: Създайте наръчник за тези сигнали за промени в ключовете на системния регистър. Искам този наръчник да бъде обогатен с всички типове обекти, включително VirusTotal и Mandiant frontline intelligence за заплахи. Ако бъде идентифицирано нещо подозрително, създайте случай tags и след това приоритизирайте случая съответно.

Обобщение на информацията за заплахите

Получете представа за заплахите и участниците в заплахите.

Сценарий: Мениджърът на операции по сигурността иска да разбере моделите на атака на конкретен актьор на заплаха.

Sampподкана: Какви са известните тактики, техники и процедури (TTP), използвани от APT29?

Подкана за последващи действия: Има ли подбрани откривания в Google SecOps, които могат да помогнат за идентифициране на дейността, свързана с тези TTP?

Сценарий: Анализатор за разузнаване на заплахи научава за нов вид злонамерен софтуер („emotet“) и споделя доклад от своето изследване с екипа на SOC.

Sampподкана: Какви са индикаторите за компрометиране (IOC), свързани със зловреден софтуер emotet?

Подкани за последващи действия:

• Генерирайте UDM заявка за търсене, за да потърся тези IOC в регистрационните файлове на моята организация.
• Създайте правило за откриване, което ще ме предупреждава, ако някой от тези IOC се наблюдава в бъдеще.

Сценарий: Изследовател по сигурността е идентифицирал хостове в тяхната среда, комуникиращи с известни командно-контролни (C2) сървъри, свързани с определена заплаха.

Sampподкана: Генерирайте заявка, за да ми покажете всички изходящи мрежови връзки към IP адреси и домейни, свързани с: [име на актьора на заплахата].

Като използват ефективно Gemini, екипите по сигурността могат да подобрят своите способности за разузнаване на заплахи и да подобрят цялостната си позиция на сигурност. Това са само няколко бившиampкак Gemini може да се използва за подобряване на операциите по сигурността.
Когато се запознаете по-добре с инструмента, ще откриете много други начини да го използвате за вашия напредъкtagд. Допълнителни подробности можете да намерите в продуктовата документация на Google SecOps страница.

Използване на подкани в Threat Intelligence

Въпреки че Google Threat Intelligence може да се използва подобно на традиционна търсачка само с термини, потребителите могат също да постигнат желаните резултати чрез създаване на конкретни подкани.
Подканите на Gemini могат да се използват по различни начини в Threat Intelligence, от търсене на широки тенденции до разбиране на конкретни заплахи и части от зловреден софтуер, включително:

1. Анализ на разузнаването на заплахите
2. Проактивен лов на заплахи
3. Профилиране на застрашаващ актьор
4. Приоритетизиране на уязвимостта
5. Обогатяване на известията за сигурност
6. Използване на MITER ATT&CK

Случаи на използване за Threat Intelligence

Анализ на разузнаването на заплахите

Сценарий: Анализатор за разузнаване на заплахи иска да научи повече за новооткрито семейство зловреден софтуер.

Sampподкана: Какво се знае за зловреден софтуер “Emotet”? Какви са неговите възможности и как се разпространява?

Свързана подкана: Какви са индикаторите за компрометиране (IOC), свързани със зловреден софтуер emotet?

Сценарий: Анализатор проучва нова група за рансъмуер и иска бързо да разбере техните тактики, техники и процедури (TTP).

Sampподкана: Обобщете известните TTP на групата рансъмуер „LockBit 3.0“. Включете информация за техните първоначални методи за достъп, техники за странично движение и предпочитани тактики за изнудване.

Свързани подкани:

• Какви са общите индикатори за компрометиране (IOC), свързани с LockBit 3.0?
• Има ли скорошни публични доклади или анализи на LockBit 3.0 атаки?

Проактивен лов на заплахи

Сценарий: Анализатор за разузнаване на заплахи иска проактивно да търси признаци на специфично семейство зловреден софтуер, за което е известно, че е насочен към тяхната индустрия.

Sampподкана: Какви са общите индикатори за компрометиране (IOC), свързани със зловреден софтуер „Trickbot“?

Сценарий: Изследовател по сигурността иска да идентифицира всички хостове в тяхната среда, комуникиращи с известни сървъри за командване и контрол (C2), свързани с конкретен актьор на заплаха.

Sampподкана: Какви са известните C2 IP адреси и домейни, използвани от заплахата „[Име]“?

Профилиране на застрашаващ актьор

Сценарий: Екип за разузнаване на заплахи проследява дейностите на предполагаема APT група и иска да разработи цялостна проfile.

Sampподкана: Генерирайте професионалистfile на заплашителния актьор „APT29“. Включете техните известни псевдоними, предполагаема страна на произход, мотивации, типични цели и предпочитани TTP.

Свързана подкана: Покажете ми график на най-забележителните атаки на APT29 campaign и времева линия.

Приоритетизиране на уязвимостта

Сценарий: Екипът за управление на уязвимости иска да приоритизира усилията за отстраняване въз основа на пейзажа на заплахите.

Sampподкана: Кои уязвимости на Palo Alto Networks се използват активно от заплахи в дивата природа?

Свързана подкана: Обобщете известните експлойти за CVE-2024-3400 и CVE-2024-0012.

Сценарий: Екип по сигурността е затрупан с резултати от сканиране на уязвимости и иска да приоритизира усилията за коригиране въз основа на информация за заплахи.

Sampподкана: Кои от следните уязвимости са споменати в скорошни доклади за разузнаване на заплахи: [списък на идентифицираните уязвимости]?

Свързани подкани:

• Има ли известни експлойти за следните уязвимости: [списък на идентифицираните уязвимости]?
• Кои от следните уязвимости е най-вероятно да бъдат използвани от заплахи: [избройте идентифицираните уязвимости]? Подредете ги по приоритет въз основа на тяхната тежест, възможност за използване и значение за нашата индустрия.

Обогатяване на известията за сигурност

Сценарий: Анализатор по сигурността получава предупреждение за подозрителен опит за влизане от непознат IP адрес.

Sampподкана: Какво се знае за IP адреса [предоставете IP]?

Използване на MITER ATT&CK

Сценарий: Екип по сигурността иска да използва рамката MITER ATT&CK, за да разбере как конкретна заплаха може да се насочи към тяхната организация.

Sampподкана: Покажете ми техниките на MITER ATT&CK, свързани със заплашващия актьор APT38.

Gemini е мощен инструмент, който може да се използва за подобряване на операциите по сигурността и разузнаването на заплахи. Като следвате най-добрите практики, описани в това ръководство, можете да създадете ефективни подкани, които ще ви помогнат да извлечете максимума от Gemini.

Забележка: Това ръководство предоставя предложения за използване на Gemini в Google SecOps и Gemini в Threat Intelligence. Това не е изчерпателен списък на всички възможни случаи на употреба и специфичните възможности на Gemini може да варират в зависимост от изданието на вашия продукт. Трябва да се консултирате с официалната документация за най-актуална информация.

Близнаци
в операции по сигурността

Близнаци
в Threat Intelligence

Документи / Ресурси

Gemini Google Cloud APP [pdf] Ръководство за употреба Google Cloud APP, Google, Cloud APP, APP

Референции

• Ръководство за потребителя