Gemini Google Cloud APP Priručnik za upotrebu

Gemini je moćan AI alat koji se može koristiti za pomoć korisnicima Google Security Operations i Google Threat Intelligence. Ovaj vodič će vam pružiti informacije koje su vam potrebne da biste započeli s Geminijem i kreirali učinkovite upute.

Kreiranje upita sa Blizancima

Prilikom kreiranja upita, Blizancima ćete morati dati sljedeće informacije:

1. Tip prompta koji želite da kreirate, ako je primenjivo (npr
   “Kreiraj pravilo”)
2. Kontekst za prompt
3. Željeni izlaz

Korisnici mogu kreirati različite upite, uključujući pitanja, naredbe i sažetke.

Najbolje prakse za kreiranje upita

Kada kreirate upite, važno je imati na umu sljedeće najbolje prakse:

Koristite prirodni jezik: Pišite kao da izgovarate naredbu i izrazite potpune misli punim rečenicama.

Navedite kontekst: Uključite relevantne detalje kako biste pomogli Blizancima da razumiju vaš zahtjev, kao što su vremenski okviri, specifični izvori dnevnika ili korisničke informacije. Što više konteksta pružite, rezultati će biti relevantniji i korisniji.

Budite konkretni i koncizni: Jasno navedite informacije koje tražite ili zadatak koji želite da Blizanci obave. Detaljno opišite svrhu, okidač, radnju i uslove.
Za nprample, pitaj asistenta: “Je li ovo (file ime, itd.) poznato da je zlonamjerno?” a ako se zna da jeste, možete zatražiti „Traži ovo (file) u mom okruženju.”

Uključite jasne ciljeve: Počnite s jasnim ciljem i odredite okidače koji će aktivirati odgovor.

Iskoristite sve modalitete: Koristite funkciju pretraživanja u liniji, pomoćnika za čavrljanje i generatora playbook za svoje različite potrebe.

Referentne integracije (samo za kreiranje playbook): Zatražite i navedite integracije koje ste već instalirali i konfigurisali u svom okruženju jer se odnose na sljedeće korake u priručniku.

ponoviti: Ako početni rezultati nisu zadovoljavajući, precizirajte svoj upit, pružite dodatne informacije i postavite dodatna pitanja kako biste Blizanca usmjerili prema boljem odgovoru.

Uključuje uslove za akciju (samo za kreiranje playbook): Možete poboljšati efikasnost upita prilikom kreiranja priručnika tako što ćete zahtijevati dodatne korake kao što je obogaćivanje podataka.

Provjerite tačnost: Imajte na umu da je Gemini alat AI i da njegove odgovore uvijek treba provjeravati na osnovu vašeg znanja i drugih dostupnih izvora.

Korištenje upita u sigurnosnim operacijama

Gemini se može koristiti na različite načine u sigurnosnim operacijama, uključujući in-line pretragu, pomoć u ćaskanju i generiranje priručnika. Nakon primanja sažetaka slučajeva generiranih od umjetne inteligencije, Gemini može pomoći praktičarima u:

1. Otkrivanje i istraga prijetnji
2. Pitanja i odgovori vezani za sigurnost
3. Generacija Playbook-a
4. Sažetak obavještajnih podataka o prijetnjama

Google Security Operations (SecOps) obogaćen je prvim obavještajnim podacima iz Mandiant-a i skupnim obavještajnim podacima VirusTotal-a koji mogu pomoći sigurnosnim timovima:

Brzo pristupite i analizirajte obavještajne podatke o prijetnjama: Postavljajte pitanja na prirodnom jeziku o akterima prijetnji, porodicama zlonamjernog softvera, ranjivostima i MOC-ima.

Ubrzajte traženje i otkrivanje prijetnji: Generirajte UDM upite za pretraživanje i pravila detekcije na osnovu podataka obavještajnih podataka o prijetnjama.

Dajte prioritet sigurnosnim rizicima: Shvatite koje su prijetnje najrelevantnije za njihovu organizaciju i fokusirajte se na najkritičnije ranjivosti.

Efikasnije reagujte na bezbednosne incidente: Obogatite sigurnosna upozorenja kontekstom obavještajnih podataka o prijetnjama i dobijte preporuke za akcije sanacije.

Poboljšajte svijest o sigurnosti: Kreirajte zanimljive materijale za obuku zasnovane na obavještajnim podacima o prijetnjama u stvarnom svijetu.

Slučajevi korištenja za sigurnosne operacije

Otkrivanje i istraga prijetnji

Kreirajte upite, generirajte pravila, nadgledajte događaje, istražujte upozorenja, pretražujte podatke (generirajte UDM upite).

Scenario: Analitičar pretnji istražuje novo upozorenje i želi da zna da li u okruženju postoji bilo kakav dokaz za određenu komandu koja se koristi za infiltriranje u infrastrukturu dodavanjem u registar.

Sample prompt: Kreirajte upit da pronađete sve događaje izmjene registra na [ime hosta] u proteklom [vremenskom periodu].

Uputa za praćenje: Generirajte pravilo koje će vam pomoći da otkrijete to ponašanje u budućnosti.

Scenario: Analitičaru je rečeno da je pripravnik radio sumnjive "stvari" i želio je bolje razumjeti šta se dešava.

Sample prompt: Pokaži mi događaje mrežne veze za ID korisnika koji počinje s tim. smith (neosjetljivo na velika i mala slova) u posljednja 3 dana.

Uputa za praćenje: Generirajte YARA-L pravilo za otkrivanje ove aktivnosti u budućnosti.

Scenario: Sigurnosni analitičar prima upozorenje o sumnjivoj aktivnosti na korisničkom računu.

Sample prompt: Pokaži mi blokirane događaje za prijavu korisnika sa kodom događaja 4625 gdje je src.
ime hosta nije null.

Uputa za praćenje: Koliko korisnika je uključeno u skup rezultata?

Pitanja i odgovori vezani za sigurnost

Scenario: Sigurnosni analitičar ulazi na novi posao i primjećuje da je Gemini sažeo slučaj s preporučenim koracima za istragu i odgovor. Žele saznati više o zlonamjernom softveru identificiranom u sažetku slučaja.

Sample prompt: Šta je [ime zlonamjernog softvera]?

Uputa za praćenje: Kako [naziv zlonamjernog softvera] opstaje?

Scenario: Sigurnosni analitičar prima upozorenje o potencijalno zlonamjernom file hash.

Sample prompt: Je li ovo file hash [ubaci hash] za koga se zna da je zlonamjeran?

Uputa za praćenje: Koje su druge informacije dostupne o tome file?

Scenario: Osoba koja reagira na incident mora identificirati izvor zlonamjernog file.

Sample prompt: Šta je file hash izvršnog “[malware.exe]”?

Upute za praćenje:

• Obogatite obavještajnim podacima o prijetnjama od VirusTotal-a za informacije o ovome file hash; je li poznato da je zlonamjerno?
• Da li je ovaj hash primijećen u mom okruženju?
• Koje su preporučene mjere suzbijanja i sanacije ovog zlonamjernog softvera?

Generacija Playbook-a

Poduzmite akciju i napravite priručnike.

Scenario: Sigurnosni inženjer želi automatizirati proces odgovaranja na phishing emailove.

Sample prompt: Kreirajte priručnik koji se pokreće kada se primi e-poruka od poznatog pošiljatelja phishinga. Priručnik bi trebao staviti e-poštu u karantin i obavijestiti sigurnosni tim.

Scenario: Član SOC tima želi automatski staviti zlonamjerne u karantin files.

Sample prompt: Napišite priručnik za upozorenja o zlonamjernom softveru. Priručnik bi trebao uzeti file hash iz upozorenja i obogati ga inteligencijom iz VirusTotal-a. Ako je file hash je zlonamjeran, stavi u karantin file.

Scenario: Analitičar prijetnji želi kreirati novi priručnik koji može pomoći u odgovoru na buduća upozorenja vezana za promjene ključeva registratora.

Sample prompt: Napravite priručnik za ta upozorenja o promjenama ključeva registratora. Želim da je taj priručnik obogaćen svim tipovima entiteta, uključujući VirusTotal i Mandiant obavještajne podatke o prijetnjama. Ako se otkrije nešto sumnjivo, kreirajte slučaj tags a zatim u skladu s tim dajte prioritet slučaju.

Sažetak obavještajnih podataka o prijetnjama

Steknite uvid u prijetnje i aktere prijetnji.

Scenario: Menadžer sigurnosnih operacija želi razumjeti obrasce napada određenog aktera prijetnje.

Sample prompt: Koje su poznate taktike, tehnike i procedure (TTP) koje koristi APT29?

Uputa za praćenje: Postoje li odabrane detekcije u Google SecOps-u koje mogu pomoći u identifikaciji aktivnosti povezanih s ovim TTP-ovima?

Scenario: Analitičar obavještajnih podataka o prijetnjama saznaje za novu vrstu zlonamjernog softvera („emotet“) i dijeli izvještaj o svom istraživanju sa SOC timom.

Sample prompt: Koji su pokazatelji kompromisa (IOC) povezani sa zlonamjernim softverom emotet?

Upute za praćenje:

• Generirajte UDM upit za pretragu da biste potražili ove IOC-ove u evidenciji moje organizacije.
• Kreirajte pravilo detekcije koje će me upozoriti ako se bilo koji od ovih IOC-a primijeti u budućnosti.

Scenario: Istraživač sigurnosti je identificirao hostove u svom okruženju koji komuniciraju s poznatim komandno-kontrolnim (C2) serverima povezanim s određenim akterom prijetnje.

Sample prompt: Generirajte upit da mi pokažete sve izlazne mrežne veze na IP adrese i domene povezane sa: [ime aktera prijetnje].

Efikasnim korištenjem Gemini-a, sigurnosni timovi mogu poboljšati svoje sposobnosti obavještavanja o prijetnjama i poboljšati svoj cjelokupni sigurnosni položaj. Ovo je samo nekoliko bivšihampo tome kako se Gemini mogu koristiti za poboljšanje sigurnosnih operacija.
Kako se bolje upoznate sa alatom, naći ćete mnogo drugih načina da ga koristite na svoj načintage. Dodatne detalje možete pronaći u dokumentaciji proizvoda Google SecOps stranica.

Korištenje upita u Threat Intelligence

Dok se Google Threat Intelligence može koristiti slično tradicionalnom pretraživaču samo sa terminima, korisnici također mogu postići željene rezultate kreiranjem specifičnih upita.
Gemini upiti se mogu koristiti na različite načine u Threat Intelligence, od traženja širokih trendova, do razumijevanja specifičnih prijetnji i dijelova zlonamjernog softvera, uključujući:

1. Analiza obavještajnih podataka o prijetnjama
2. Proaktivni lov na prijetnje
3. Profiliranje aktera prijetnje
4. Određivanje prioriteta ranjivosti
5. Obogaćivanje sigurnosnih upozorenja
6. Korištenje MITER ATT&CK

Slučajevi korištenja za Threat Intelligence

Analiza obavještajnih podataka o prijetnjama

Scenario: Analitičar za obavještajne podatke o prijetnjama želi saznati više o novootkrivenoj porodici zlonamjernog softvera.

Sample prompt: Šta se zna o malveru “Emotet”? Koje su njegove mogućnosti i kako se širi?

Povezani upit: Koji su pokazatelji kompromisa (IOC) povezani sa zlonamjernim softverom emotet?

Scenario: Analitičar istražuje novu grupu ransomware-a i želi brzo razumjeti njihove taktike, tehnike i procedure (TTP).

Sample prompt: Sažmite poznate TTP-ove ransomware grupe “LockBit 3.0”. Uključite informacije o njihovim početnim metodama pristupa, tehnikama bočnog kretanja i preferiranim taktikama iznuđivanja.

Povezane upute:

• Koji su uobičajeni pokazatelji kompromisa (IOC) povezani sa LockBit 3.0?
• Da li je bilo nedavnih javnih izvještaja ili analiza LockBit 3.0 napada?

Proaktivni lov na prijetnje

Scenario: Analitičar obavještajnih podataka o prijetnjama želi proaktivno tražiti znakove određene porodice zlonamjernog softvera za koju je poznato da cilja njihovu industriju.

Sample prompt: Koji su uobičajeni pokazatelji kompromisa (IOC) povezani sa malverom “Trickbot”?

Scenario: Istraživač sigurnosti želi identificirati sve hostove u svom okruženju koji komuniciraju s poznatim komandno-kontrolnim (C2) serverima povezanim s određenim akterom prijetnje.

Sample prompt: Koje su poznate C2 IP adrese i domene koje koristi akter prijetnje “[Ime]”?

Profiliranje aktera prijetnje

Scenario: Tim za obavještavanje o prijetnjama prati aktivnosti osumnjičene APT grupe i želi razviti sveobuhvatnu profile.

Sample prompt: Generirajte profesionalcafile aktera prijetnje “APT29”. Uključite njihove poznate pseudonime, sumnjivu zemlju porijekla, motivaciju, tipične mete i preferirane TTP-ove.

Povezani upit: Pokažite mi vremensku liniju najistaknutijih napada APT29 campaign i timeline.

Određivanje prioriteta ranjivosti

Scenario: Tim za upravljanje ranjivostima želi dati prioritet naporima sanacije na osnovu okruženja prijetnji.

Sample prompt: Koje ranjivosti Palo Alto Networks aktivno iskorištavaju akteri prijetnji u divljini?

Povezani upit: Sumirajte poznate eksploatacije za CVE-2024-3400 i CVE-2024-0012.

Scenario: Sigurnosni tim je zatrpan rezultatima skeniranja ranjivosti i želi dati prioritet naporima sanacije na osnovu obavještajnih podataka o prijetnjama.

Sample prompt: Koje od sljedećih ranjivosti su spomenute u nedavnim izvještajima obavještajnih podataka o prijetnjama: [popis identifikovanih ranjivosti]?

Povezane upute:

• Da li postoje poznati exploitovi dostupni za sljedeće ranjivosti: [popis identifikovanih ranjivosti]?
• Koju od sljedećih ranjivosti će najvjerovatnije iskoristiti akteri prijetnji: [navedite identifikovane ranjivosti]? Dajte im prioritet na osnovu njihove ozbiljnosti, mogućnosti iskorištavanja i relevantnosti za našu industriju.

Obogaćivanje sigurnosnih upozorenja

Scenario: Sigurnosni analitičar prima upozorenje o sumnjivom pokušaju prijave sa nepoznate IP adrese.

Sample prompt: Šta je poznato o IP adresi [navedite IP]?

Korištenje MITER ATT&CK

Scenario: Sigurnosni tim želi da koristi okvir MITER ATT&CK da shvati kako bi određeni akter prijetnje mogao ciljati njihovu organizaciju.

Sample prompt: Pokažite mi tehnike MITER ATT&CK povezane sa akterom prijetnje APT38.

Gemini je moćan alat koji se može koristiti za poboljšanje sigurnosnih operacija i obavještajnih podataka o prijetnjama. Prateći najbolje prakse navedene u ovom vodiču, možete kreirati efikasne upute koje će vam pomoći da izvučete maksimum iz Blizanaca.

Napomena: Ovaj vodič daje prijedloge za korištenje Geminija u Google SecOps i Gemini u Threat Intelligence. To nije potpuna lista svih mogućih slučajeva upotrebe, a specifične mogućnosti Geminija mogu varirati ovisno o izdanju vašeg proizvoda. Za najažurnije informacije trebate pogledati zvaničnu dokumentaciju.

Blizanci
u Sigurnosne operacije

Blizanci
u Threat Intelligence

Dokumenti / Resursi

Gemini Google Cloud APP [pdf] Uputstvo za upotrebu Google Cloud APP, Google, Cloud APP, APP

Reference

• Uputstvo za upotrebu