Brugervejledning til Gemini Google Cloud APP

Gemini er et kraftfuldt AI-værktøj, der kan bruges til at hjælpe Google Security Operations og Google Threat Intelligence-brugere. Denne guide vil give dig de oplysninger, du har brug for for at komme i gang med Gemini og oprette effektive prompter.

Oprettelse af prompter med Gemini

Når du opretter en prompt, skal du give Gemini følgende oplysninger:

1. Den type prompt, du vil oprette, hvis det er relevant (f
   "Opret en regel")
2. Konteksten for prompten
3. Det ønskede output

Brugere kan oprette en række prompter, herunder spørgsmål, kommandoer og resuméer.

Bedste fremgangsmåder til oprettelse af prompter

Når du opretter prompter, er det vigtigt at have følgende bedste praksis i tankerne:

Brug naturligt sprog: Skriv, som om du siger en kommando, og udtryk fuldstændige tanker i hele sætninger.

Angiv kontekst: Medtag relevante detaljer for at hjælpe Gemini med at forstå din anmodning, såsom tidsrammer, specifikke logkilder eller brugeroplysninger. Jo mere kontekst du giver, jo mere relevante og nyttige vil resultaterne være.

Vær specifik og kortfattet: Angiv tydeligt de oplysninger, du leder efter, eller den opgave, du ønsker, at Gemini skal udføre. Detaljer om formålet, udløseren, handlingen og betingelsen.
F.eksampspørg assistenten: "Er dette (file navn osv.) kendt for at være ondsindet?” og hvis det vides at være det, kan du bede om at “Søg efter dette (file) i mit miljø."

Medtag klare mål: Start med et klart mål og angiv udløsere, der vil aktivere et svar.

Udnyt alle modaliteter: Brug in-line søgefunktionalitet, chatassistent og playbook-generatoren til dine forskellige behov.

Referenceintegrationer (kun til oprettelse af playbook): Anmod om og specificer integrationer, du allerede har installeret og konfigureret i dit miljø, som de relaterer til de næste trin i afspilningsbogen.

Gentag: Hvis de første resultater ikke er tilfredsstillende, skal du finjustere din prompt, give yderligere oplysninger og stille opfølgende spørgsmål for at guide Gemini mod et bedre svar.

Inkluder betingelser for handling (kun for oprettelse af playbook): Du kan forbedre promptens effektivitet, når du opretter en spillebog ved at anmode om yderligere trin, såsom berigelse af data.

Bekræft nøjagtigheden: Husk, at Gemini er et kunstig intelligens-værktøj, og dets svar bør altid valideres mod din egen viden og andre tilgængelige kilder.

Brug af prompter i sikkerhedsoperationer

Gemini kan bruges på en række forskellige måder i sikkerhedsoperationer, herunder in-line søgning, chatassistance og playbook-generering. Efter at have modtaget AI-genererede caseresuméer kan Gemini hjælpe praktiserende læger med:

1. Opdagelse og undersøgelse af trusler
2. Sikkerhedsrelaterede spørgsmål og svar
3. Playbook generation
4. Opsummering af trusselsintelligens

Google Security Operations (SecOps) er beriget med frontline-intelligens fra Mandiant og crowdsourced intelligens fra VirusTotal, som kan hjælpe sikkerhedsteams:

Få hurtigt adgang til og analyser trusselsintelligens: Stil spørgsmål i naturligt sprog om trusselsaktører, malware-familier, sårbarheder og IOC'er.

Fremskynd trusselsjagt og -detektion: Generer UDM-søgeforespørgsler og registreringsregler baseret på trusselsintelligensdata.

Prioriter sikkerhedsrisici: Forstå hvilke trusler der er mest relevante for deres organisation, og fokuser på de mest kritiske sårbarheder.

Reager mere effektivt på sikkerhedshændelser: Berig sikkerhedsadvarsler med trusselsintelligenskontekst, og få anbefalinger til afhjælpningshandlinger.

Forbedre sikkerhedsbevidstheden: Skab engagerende træningsmateriale baseret på trusselsintelligens fra den virkelige verden.

Use cases til sikkerhedsoperationer

Opdagelse og undersøgelse af trusler

Opret forespørgsler, generer regler, overvåg hændelser, undersøg advarsler, søg efter data (generer UDM-forespørgsler).

Scenarie: En trusselsanalytiker er ved at undersøge en ny advarsel og ønsker at vide, om der er beviser i miljøet for en bestemt kommando, der bruges til at infiltrere infrastruktur ved at tilføje sig selv til registreringsdatabasen.

Sample prompt: Opret en forespørgsel for at finde eventuelle ændringer i registreringsdatabasen på [værtsnavn] i løbet af den seneste [tidsperiode].

Opfølgningsprompt: Generer en regel for at hjælpe med at opdage den adfærd i fremtiden.

Scenarie: En analytiker får at vide, at en praktikant lavede mistænkelige "ting" og ønskede at få en bedre forståelse af, hvad der foregik.

Sample prompt: Vis mig netværksforbindelseshændelser for bruger-id'et, der starter med tim. smith (ufølsom overfor store og små bogstaver) i de seneste 3 dage.

Opfølgningsprompt: Generer en YARA-L-regel for at opdage denne aktivitet i fremtiden.

Scenarie: En sikkerhedsanalytiker modtager en advarsel om mistænkelig aktivitet på en brugerkonto.

Sample prompt: Vis mig blokerede brugerloginhændelser med en hændelseskode på 4625, hvor src.
værtsnavnet er ikke null.

Opfølgningsprompt: Hvor mange brugere er inkluderet i resultatsættet?

Sikkerhedsrelaterede spørgsmål og svar

Scenarie: En sikkerhedsanalytiker er på vej ind i et nyt job og bemærker, at Gemini har opsummeret en sag med anbefalede trin til undersøgelse og svar. De ønsker at lære mere om den malware, der er identificeret i sagsresuméet.

Sample prompt: Hvad er [navn på malware]?

Opfølgningsprompt: Hvordan fortsætter [navn på malware]?

Scenarie: En sikkerhedsanalytiker modtager en advarsel om en potentielt ondsindet file hash.

Sample prompt: Er dette file hash [indsæt hash] kendt for at være ondsindet?

Opfølgningsprompt: Hvilke andre oplysninger er tilgængelige om dette file?

Scenarie: En hændelsesperson skal identificere kilden til en skadelig handling file.

Sample prompt: Hvad er file hash af den eksekverbare "[malware.exe]"?

Opfølgningsprompter:

• Berig med trusselsintelligens fra VirusTotal for information om dette file hash; er det kendt for at være ondsindet?
• Er denne hash blevet observeret i mit miljø?
• Hvad er de anbefalede indeslutnings- og afhjælpningshandlinger for denne malware?

Playbook generation

Tag handling og byg spillebøger.

Scenarie: En sikkerhedsingeniør ønsker at automatisere processen med at svare på phishing-e-mails.

Sample prompt: Opret en spillebog, der udløses, når en e-mail modtages fra en kendt phishing-afsender. Spillebogen bør sætte e-mailen i karantæne og underrette sikkerhedsteamet.

Scenarie: Et medlem af SOC-teamet ønsker automatisk at sætte ondsindet i karantæne files.

Sample prompt: Skriv en spillebog til malware-advarsler. Spillebogen bør tage file hash fra alarmen og berig den med intelligens fra VirusTotal. Hvis file hash er ondsindet, sæt karantæne file.

Scenarie: En trusselsanalytiker ønsker at skabe en ny playbook, der kan hjælpe med at reagere på fremtidige advarsler relateret til ændringer i registreringsdatabasen.

Sample prompt: Byg en playbook til disse registreringsnøgleændringsadvarsler. Jeg vil have den spillebog beriget med alle entitetstyper, inklusive VirusTotal og Mandiant trusselsfrontlinjeintelligens. Hvis noget mistænkeligt er identificeret, opret sag tags og derefter prioritere sagen derefter.

Opsummering af trusselsintelligens

Få indsigt om trusler og trusselsaktører.

Scenarie: En sikkerhedsoperationsleder ønsker at forstå angrebsmønstrene for en specifik trusselsaktør.

Sample prompt: Hvad er de kendte taktikker, teknikker og procedurer (TTP'er), der bruges af APT29?

Opfølgningsprompt: Er der nogen kurerede registreringer i Google SecOps, der kan hjælpe med at identificere aktivitet forbundet med disse TTP'er?

Scenarie: En trusselsintelligensanalytiker lærer om en ny slags malware ("emotet") og deler en rapport fra deres forskning med SOC-teamet.

Sample prompt: Hvad er indikatorerne for kompromis (IOC'er) forbundet med emotet-malwaren?

Opfølgningsprompter:

• Generer en UDM-søgeforespørgsel for at lede efter disse IOC'er i min organisations logfiler.
• Opret en detektionsregel, der vil advare mig, hvis nogen af ​​disse IOC'er observeres i fremtiden.

Scenarie: En sikkerhedsforsker har identificeret værter i deres miljø, der kommunikerer med kendte kommando-og-kontrol-servere (C2) forbundet med en bestemt trusselsaktør.

Sample prompt: Generer en forespørgsel for at vise mig alle udgående netværksforbindelser til IP-adresser og domæner forbundet med: [navn på trusselsaktør].

Ved at bruge Gemini effektivt kan sikkerhedsteams forbedre deres trusselsintelligens-kapaciteter og forbedre deres overordnede sikkerhedsposition. Dette er blot nogle få examples om, hvordan Gemini kan bruges til at forbedre sikkerhedsoperationer.
Efterhånden som du bliver mere fortrolig med værktøjet, vil du finde mange andre måder at bruge det på til din advantage. Yderligere detaljer kan findes i Google SecOps-produktdokumentationen side.

Brug af prompter i Threat Intelligence

Mens Google Threat Intelligence kan bruges på samme måde som en traditionel søgemaskine med termer alene, kan brugere også opnå tilsigtede resultater ved at oprette specifikke prompter.
Gemini-prompts kan bruges på en række forskellige måder i Threat Intelligence, fra at søge efter brede tendenser til at forstå specifikke trusler og stykker malware, herunder:

1. Trusselsefterretningsanalyse
2. Proaktiv trusselsjagt
3. Trusselskuespillerprofilering
4. Sårbarhedsprioritering
5. Berigende sikkerhedsadvarsler
6. Udnyttelse af MITRE ATT&CK

Use cases for Threat Intelligence

Trusselsefterretningsanalyse

Scenarie: En trusselsintelligensanalytiker ønsker at lære mere om en nyopdaget malware-familie.

Sample prompt: Hvad er kendt om malwaren "Emotet"? Hvad er dets muligheder, og hvordan spredes det?

Relateret prompt: Hvad er indikatorerne for kompromis (IOC'er) forbundet med emotet-malwaren?

Scenarie: En analytiker er ved at undersøge en ny ransomware-gruppe og ønsker hurtigt at forstå deres taktik, teknikker og procedurer (TTP'er).

Sample prompt: Opsummer de kendte TTP'er fra ransomware-gruppen "LockBit 3.0." Inkluder oplysninger om deres indledende adgangsmetoder, laterale bevægelsesteknikker og foretrukne afpresningstaktikker.

Relaterede prompter:

• Hvad er de almindelige indikatorer for kompromis (IOC'er) forbundet med LockBit 3.0?
• Har der været nogen nylige offentlige rapporter eller analyser af LockBit 3.0-angreb?

Proaktiv trusselsjagt

Scenarie: En trusselsintelligensanalytiker ønsker proaktivt at søge efter tegn på en specifik malwarefamilie, der vides at målrette deres branche.

Sample prompt: Hvad er de almindelige indikatorer for kompromis (IOC'er) forbundet med "Trickbot"-malwaren?

Scenarie: En sikkerhedsforsker ønsker at identificere eventuelle værter i deres miljø, der kommunikerer med kendte kommando-og-kontrol-servere (C2) forbundet med en bestemt trusselsaktør.

Sample prompt: Hvad er de kendte C2 IP-adresser og domæner, der bruges af trusselsaktøren "[Navn]"?

Trusselskuespillerprofilering

Scenarie: Et trusselsefterretningsteam sporer aktiviteterne i en formodet APT-gruppe og ønsker at udvikle en omfattende professionelfile.

Sample prompt: Generer en profile af trusselsaktøren "APT29". Inkluder deres kendte aliaser, formodet oprindelsesland, motiver, typiske mål og foretrukne TTP'er.

Relateret prompt: Vis mig en tidslinje over APT29s mest bemærkelsesværdige angreb campretning og tidslinje.

Sårbarhedsprioritering

Scenarie: Et sårbarhedsledelsesteam ønsker at prioritere udbedringsindsatsen ud fra trusselslandskabet.

Sample prompt: Hvilke Palo Alto Networks sårbarheder bliver aktivt udnyttet af trusselsaktører i naturen?

Relateret prompt: Opsummer de kendte udnyttelser for CVE-2024-3400 og CVE-2024-0012.

Scenarie: Et sikkerhedsteam er overvældet af sårbarhedsscanningsresultater og ønsker at prioritere afhjælpningsindsatser baseret på trusselsintelligens.

Sample prompt: Hvilke af følgende sårbarheder er blevet nævnt i de seneste trusselsefterretningsrapporter: [liste identificerede sårbarheder]?

Relaterede prompter:

• Er der nogen kendte udnyttelser tilgængelige for følgende sårbarheder: [liste identificerede sårbarheder]?
• Hvilke af følgende sårbarheder vil mest sandsynligt blive udnyttet af trusselsaktører: [liste identificerede sårbarheder]? Prioriter dem baseret på deres alvor, udnyttelsesevne og relevans for vores branche.

Berigende sikkerhedsadvarsler

Scenarie: En sikkerhedsanalytiker modtager en advarsel om et mistænkeligt loginforsøg fra en ukendt IP-adresse.

Sample prompt: Hvad er kendt om IP-adressen [giv IP]?

Udnyttelse af MITRE ATT&CK

Scenarie: Et sikkerhedsteam ønsker at bruge MITER ATT&CK-rammen til at forstå, hvordan en specifik trusselsaktør kan målrette deres organisation.

Sample prompt: Vis mig MITRE ATT&CK-teknikkerne forbundet med trusselsaktøren APT38.

Gemini er et kraftfuldt værktøj, der kan bruges til at forbedre sikkerhedsoperationer og trusselsintelligens. Ved at følge den bedste praksis, der er beskrevet i denne vejledning, kan du oprette effektive prompter, der hjælper dig med at få mest muligt ud af Gemini.

Note: Denne vejledning giver forslag til brug af Gemini i Google SecOps og Gemini i Threat Intelligence. Det er ikke en udtømmende liste over alle mulige anvendelsestilfælde, og de specifikke muligheder for Gemini kan variere afhængigt af din produktudgave. Du bør konsultere den officielle dokumentation for de mest opdaterede oplysninger.

Tvillingerne
i Sikkerhedsdrift

Tvillingerne
i Threat Intelligence

Dokumenter/ressourcer

Gemini Google Cloud APP [pdf] Brugermanual Google Cloud APP, Google, Cloud APP, APP

Referencer

• Brugermanual