Manual del propietari de l'aplicació Gemini Google Cloud

Gemini és una potent eina d'IA que es pot utilitzar per ajudar els usuaris de Google Security Operations i Google Threat Intelligence. Aquesta guia us proporcionarà la informació que necessiteu per començar amb Gemini i crear instruccions efectives.

Creació d'indicacions amb Gemini

Quan creeu una sol·licitud, haureu de proporcionar a Gemini la informació següent:

1. El tipus de sol·licitud que voleu crear, si escau (p. ex
   "Crea una regla")
2. El context de la indicació
3. La sortida desitjada

Els usuaris poden crear una varietat d'indicacions, com ara preguntes, ordres i resums.

Bones pràctiques per a la creació de sol·licituds

Quan creeu sol·licituds, és important tenir en compte les pràctiques recomanades següents:

Utilitzeu el llenguatge natural: Escriu com si estiguessis dient una ordre i expressa pensaments complets amb frases completes.

Proporcioneu context: Incloeu detalls rellevants per ajudar a Gemini a entendre la vostra sol·licitud, com ara períodes de temps, fonts de registre específiques o informació de l'usuari. Com més context proporcioneu, més rellevants i útils seran els resultats.

Sigues concret i concis: Indiqueu clarament la informació que busqueu o la tasca que voleu que realitzi Gemini. Detalleu el propòsit, el desencadenant, l'acció i les condicions.
Per exampli, pregunta a l'assistent: "És això (file nom, etc.) que se sap que és maliciós?” i si se sap que ho és, podeu demanar a “Cerca això (file) al meu entorn".

Incloeu objectius clars: Comenceu amb un objectiu clar i especifiqueu els activadors que activaran una resposta.

Aprofitar totes les modalitats: Utilitzeu la funcionalitat de cerca en línia, l'assistent de xat i el generador de llibres de jugades per a les vostres diferents necessitats.

Integracions de referència (només per a la creació de llibres de jugades): Sol·liciteu i especifiqueu les integracions que ja heu instal·lat i configurat al vostre entorn, ja que es relacionen amb els passos següents al manual.

Itera: Si els resultats inicials no són satisfactoris, milloreu la vostra indicació, proporcioneu informació addicional i feu preguntes de seguiment per guiar Gemini cap a una millor resposta.

Inclou condicions per a l'acció (només per a la creació de llibres de jugades): Podeu millorar l'eficàcia del missatge quan creeu un llibre de jugades sol·licitant passos addicionals, com ara enriquir dades.

Verifica la precisió: Recordeu que Gemini és una eina d'IA i les seves respostes sempre s'han de validar amb el vostre propi coneixement i altres fonts disponibles.

Ús d'indicacions a les operacions de seguretat

Gemini es pot utilitzar de diverses maneres a les operacions de seguretat, com ara la cerca en línia, l'assistència de xat i la generació de llibres de jugades. Després de rebre resums de casos generats per IA, Gemini pot ajudar els professionals amb:

1. Detecció i investigació d'amenaces
2. Preguntes i respostes relacionades amb la seguretat
3. Generació de llibres de jugades
4. Resum de la intel·ligència d'amenaça

Operacions de seguretat de Google (SecOps) s'enriqueix amb la intel·ligència de primera línia de Mandiant i la intel·ligència col·lectiva de VirusTotal que pot ajudar els equips de seguretat:

Accediu i analitzeu ràpidament la intel·ligència d'amenaces: Feu preguntes en llenguatge natural sobre actors d'amenaça, famílies de programari maliciós, vulnerabilitats i IOC.

Accelerar la caça i la detecció d'amenaces: Genereu consultes de cerca UDM i regles de detecció basades en dades d'intel·ligència d'amenaces.

Prioritzar els riscos de seguretat: Comprendre quines amenaces són més rellevants per a la seva organització i centrar-se en les vulnerabilitats més crítiques.

Respondre de manera més eficaç als incidents de seguretat: Enriquiu les alertes de seguretat amb el context d'intel·ligència d'amenaces i obteniu recomanacions per a accions de correcció.

Millorar la consciència de seguretat: Creeu materials de formació atractius basats en la intel·ligència d'amenaces del món real.

Casos d'ús per a operacions de seguretat

Detecció i investigació d'amenaces

Crear consultes, generar regles, supervisar esdeveniments, investigar alertes, cercar dades (generar consultes UDM).

Escenari: Un analista d'amenaces està investigant una nova alerta i vol saber si hi ha evidència a l'entorn d'una ordre concreta que s'utilitza per infiltrar-se en la infraestructura afegint-se al registre.

Sampel prompte: Creeu una consulta per trobar qualsevol esdeveniment de modificació del registre a [nom d'amfitrió] durant el darrer [període de temps].

Sol·licitud de seguiment: Genereu una regla per ajudar a detectar aquest comportament en el futur.

Escenari: Es diu a un analista que un intern estava fent "coses" sospitoses i volia entendre millor el que estava passant.

Sampel prompte: Mostra'm els esdeveniments de connexió de xarxa per a l'identificador d'usuari que comencen per tim. smith (no distingeix entre majúscules i minúscules) durant els darrers 3 dies.

Sol·licitud de seguiment: Genereu una regla YARA-L per detectar aquesta activitat en el futur.

Escenari: Un analista de seguretat rep una alerta sobre activitat sospitosa en un compte d'usuari.

Sampel prompte: Mostra'm els esdeveniments d'inici de sessió d'usuari bloquejats amb un codi d'esdeveniment de 4625 on src.
El nom d'amfitrió no és nul.

Sol·licitud de seguiment: Quants usuaris s'inclouen al conjunt de resultats?

Preguntes i respostes relacionades amb la seguretat

Escenari: Un analista de seguretat s'està incorporant a una feina nova i nota que Gemini ha resumit un cas amb els passos recomanats per a la investigació i la resposta. Volen obtenir més informació sobre el programari maliciós identificat al resum del cas.

Sampel prompte: Què és [nom del programari maliciós]?

Sol·licitud de seguiment: Com persisteix [nom del programari maliciós]?

Escenari: Un analista de seguretat rep una alerta sobre un potencial maliciós file haxix.

Sampel prompte: És això file hash [inserir hash] conegut per ser maliciós?

Sol·licitud de seguiment: Quina altra informació hi ha disponible sobre això file?

Escenari: Un responsable d'incidències ha d'identificar l'origen d'un maliciós file.

Sampel prompte: Què és el file hash de l'executable "[malware.exe]"?

Indicacions de seguiment:

• Enriquiu-vos amb la intel·ligència d'amenaces de VirusTotal per obtenir informació sobre això file haixix; se sap que és maliciós?
• S'ha observat això al meu entorn?
• Quines són les accions de contenció i correcció recomanades per a aquest programari maliciós?

Generació de llibres de jugades

Passa a l'acció i crea llibres de jugades.

Escenari: Un enginyer de seguretat vol automatitzar el procés de resposta als correus electrònics de pesca.

Sampel prompte: Creeu un llibre de jugades que s'activi quan es rep un correu electrònic d'un remitent de pesca conegut. El llibre de jocs hauria de posar en quarantena el correu electrònic i avisar l'equip de seguretat.

Escenari: Un membre de l'equip SOC vol posar automàticament en quarantena maliciós files.

Sampel prompte: Escriu un llibre de jocs per a les alertes de programari maliciós. El llibre de jugades hauria de portar el file hash de l'alerta i enriquir-lo amb la intel·ligència de VirusTotal. Si el file El hash és maliciós, poseu-lo en quarantena file.

Escenari: Un analista d'amenaces vol crear un llibre de jugades nou que pugui ajudar a respondre a futures alertes relacionades amb els canvis de clau del registre.

Sampel prompte: Creeu un llibre de jugades per a aquestes alertes de canvis de clau de registre. Vull que aquest llibre de jocs s'enriqui amb tots els tipus d'entitats, inclosos VirusTotal i la intel·ligència d'amenaça de primera línia de Mandiant. Si s'identifica alguna cosa sospitosa, creeu cas tags i després prioritzeu el cas en conseqüència.

Resum de la intel·ligència d'amenaça

Obteniu informació sobre les amenaces i els actors d'amenaça.

Escenari: Un gestor d'operacions de seguretat vol entendre els patrons d'atac d'un actor d'amenaça específic.

Sampel prompte: Quines són les tàctiques, tècniques i procediments coneguts (TTP) utilitzats per APT29?

Sol·licitud de seguiment: Hi ha deteccions seleccionades a Google SecOps que puguin ajudar a identificar l'activitat associada amb aquests TTP?

Escenari: Un analista d'intel·ligència d'amenaces descobreix un nou tipus de programari maliciós ("emotet") i comparteix un informe de la seva investigació amb l'equip SOC.

Sampel prompte: Quins són els indicadors de compromís (IOC) associats al programari maliciós emotet?

Indicacions de seguiment:

• Genereu una consulta de cerca UDM per cercar aquests IOC als registres de la meva organització.
• Creeu una regla de detecció que m'avisi si s'observa algun d'aquests IOC en el futur.

Escenari: Un investigador de seguretat ha identificat hosts al seu entorn que es comuniquen amb servidors de comandament i control (C2) coneguts associats a un actor d'amenaça particular.

Sampel prompte: Genereu una consulta per mostrar-me totes les connexions de xarxa sortints a adreces IP i dominis associats amb: [nom de l'actor de l'amenaça].

Mitjançant l'ús de Gemini de manera eficaç, els equips de seguretat poden millorar les seves capacitats d'intel·ligència d'amenaces i millorar la seva postura de seguretat general. Aquests són només alguns exampde com es pot utilitzar Gemini per millorar les operacions de seguretat.
A mesura que us familiaritzeu amb l'eina, trobareu moltes altres maneres d'utilitzar-la al vostre avançtage. Podeu trobar més detalls a la documentació del producte de Google SecOps pàgina.

Ús d'indicacions a Threat Intelligence

Tot i que Google Threat Intelligence es pot utilitzar de manera similar a un motor de cerca tradicional només amb termes, els usuaris també poden aconseguir els resultats desitjats mitjançant la creació d'indicacions específiques.
Les indicacions de Gemini es poden utilitzar de diverses maneres a Threat Intelligence, des de la recerca de tendències àmplies fins a la comprensió d'amenaces específiques i peces de programari maliciós, com ara:

1. Anàlisi d'intel·ligència d'amenaça
2. Caça proactiva d'amenaces
3. Perfil d'actors d'amenaça
4. Priorització de la vulnerabilitat
5. Alertes de seguretat enriquidores
6. Aprofitant MITRE ATT&CK

Casos d'ús per a Threat Intelligence

Anàlisi d'intel·ligència d'amenaça

Escenari: Un analista d'intel·ligència d'amenaces vol obtenir més informació sobre una família de programari maliciós recentment descobert.

Sampel prompte: Què se sap del programari maliciós "Emotet"? Quines són les seves capacitats i com es propaga?

Indicació relacionada: Quins són els indicadors de compromís (IOC) associats al programari maliciós emotet?

Escenari: Un analista està investigant un nou grup de ransomware i vol entendre ràpidament les seves tàctiques, tècniques i procediments (TTP).

Sampel prompte: Resumeix els TTP coneguts del grup de ransomware "LockBit 3.0". Incloeu informació sobre els seus mètodes d'accés inicial, tècniques de moviment lateral i tàctiques d'extorsió preferides.

Indicacions relacionades:

• Quins són els indicadors comuns de compromís (IOC) associats a LockBit 3.0?
• Hi ha hagut informes o anàlisis públics recents dels atacs de LockBit 3.0?

Caça proactiva d'amenaces

Escenari: Un analista d'intel·ligència d'amenaces vol cercar de manera proactiva indicis d'una família de programari maliciós específica que se sap que dirigeix ​​la seva indústria.

Sampel prompte: Quins són els indicadors comuns de compromís (IOC) associats al programari maliciós "Trickbot"?

Escenari: Un investigador de seguretat vol identificar qualsevol amfitrió del seu entorn que es comuniqui amb servidors de comandament i control (C2) coneguts associats a un actor d'amenaça particular.

Sampel prompte: Quines són les adreces IP i els dominis coneguts de C2 utilitzats per l'actor d'amenaça "[Nom]"?

Perfil d'actors d'amenaça

Escenari: Un equip d'intel·ligència d'amenaces està fent un seguiment de les activitats d'un grup d'APT sospitós i vol desenvolupar un professional completfile.

Sampel prompte: Genera un professionalfile de l'actor d'amenaça "APT29". Inclou els seus àlies coneguts, el país d'origen sospitós, les motivacions, els objectius típics i els TTP preferits.

Indicació relacionada: Mostra'm una cronologia dels atacs més notables de l'APT29 camplínia i cronologia.

Priorització de la vulnerabilitat

Escenari: Un equip de gestió de vulnerabilitats vol prioritzar els esforços de correcció en funció del panorama de les amenaces.

Sampel prompte: Quines vulnerabilitats de Palo Alto Networks estan sent explotades activament pels actors d'amenaça en estat salvatge?

Indicació relacionada: Resumeix els exploits coneguts per a CVE-2024-3400 i CVE-2024-0012.

Escenari: Un equip de seguretat està aclaparat amb els resultats de l'anàlisi de vulnerabilitats i vol prioritzar els esforços de correcció basats en la intel·ligència d'amenaces.

Sampel prompte: Quines de les vulnerabilitats següents s'han esmentat als informes recents d'intel·ligència sobre amenaces: [llista les vulnerabilitats identificades]?

Indicacions relacionades:

• Hi ha algun exploit conegut disponible per a les vulnerabilitats següents: [llista les vulnerabilitats identificades]?
• Quines de les vulnerabilitats següents tenen més probabilitats de ser explotades pels actors d'amenaça: [llista les vulnerabilitats identificades]? Prioritzeu-los en funció de la seva gravetat, explotabilitat i rellevància per a la nostra indústria.

Alertes de seguretat enriquidores

Escenari: Un analista de seguretat rep una alerta sobre un intent d'inici de sessió sospitós des d'una adreça IP desconeguda.

Sampel prompte: Què se sap de l'adreça IP [proporcionar IP]?

Aprofitant MITRE ATT&CK

Escenari: Un equip de seguretat vol utilitzar el marc MITRE ATT&CK per entendre com un actor d'amenaça específic pot apuntar a la seva organització.

Sampel prompte: Mostra'm les tècniques MITRE ATT&CK associades a l'actor d'amenaça APT38.

Gemini és una eina potent que es pot utilitzar per millorar les operacions de seguretat i la intel·ligència d'amenaces. Si seguiu les millors pràctiques descrites en aquesta guia, podeu crear indicacions efectives que us ajudaran a treure el màxim profit de Gemini.

Nota: Aquesta guia ofereix suggeriments per utilitzar Gemini a Google SecOps i Gemini a Threat Intelligence. No és una llista exhaustiva de tots els casos d'ús possibles, i les capacitats específiques de Gemini poden variar segons l'edició del producte. Heu de consultar la documentació oficial per a la informació més actualitzada.

Bessons
en Operacions de Seguretat

Bessons
en Intel·ligència d'amenaces

Documents/Recursos

APP Google Cloud Gemini [pdfManual del propietari Google Cloud APP, Google, Cloud APP, APP

Referències

• Manual d'usuari