Посібник користувача Gemini Google Cloud APP

Gemini — це потужний інструмент штучного інтелекту, який можна використовувати для допомоги користувачам Google Security Operations і Google Threat Intelligence. Цей посібник надасть вам інформацію, необхідну для початку роботи з Gemini, і створить ефективні підказки.

Створення підказок за допомогою Gemini

Під час створення підказки вам потрібно буде надати Gemini таку інформацію:

1. Тип підказки, який ви хочете створити, якщо це можливо (наприклад,
   «Створити правило»)
2. Контекст для підказки
3. Бажаний вихід

Користувачі можуть створювати різноманітні підказки, включаючи запитання, команди та підсумки.

Найкращі методи створення підказок

Створюючи підказки, важливо пам’ятати про наведені нижче рекомендації.

Використовуйте природну мову: Пишіть так, ніби ви вимовляєте команду, і висловлюйте повні думки повними реченнями.

Надайте контекст: Включіть відповідні деталі, щоб допомогти Gemini зрозуміти ваш запит, наприклад часові рамки, конкретні джерела журналів або інформацію про користувача. Що більше контексту ви надасте, то релевантнішими та кориснішими будуть результати.

Будьте конкретні та лаконічні: Чітко сформулюйте інформацію, яку ви шукаєте, або завдання, яке ви хочете виконати Близнюкам. Деталізуйте мету, тригер, дію та умови.
наприкладample, запитай помічника: «Це (file ім'я тощо) відомо як шкідливе?» і якщо відомо, що це так, ви можете попросити «шукати це (file) у моєму оточенні».

Включайте чіткі цілі: Почніть з чіткої мети та вкажіть тригери, які активуватимуть відповідь.

Використовуйте всі модальності: Використовуйте функцію вбудованого пошуку, помічника в чаті та генератор ігор для різних потреб.

Довідкова інтеграція (лише для створення підручника): Надішліть запит і вкажіть інтеграції, які ви вже встановили та налаштували у своєму середовищі, оскільки вони стосуються наступних кроків у посібнику.

Ітерація: Якщо початкові результати незадовільні, уточніть свою підказку, надайте додаткову інформацію та поставте додаткові запитання, щоб направити Gemini до кращої відповіді.

Додайте умови для дії (тільки для створення підручника): Ви можете підвищити ефективність підказки під час створення посібника, запросивши додаткові кроки, такі як збагачення даних.

Перевірте точність: Пам’ятайте, що Gemini — це інструмент штучного інтелекту, і його відповіді завжди слід перевіряти на основі ваших власних знань та інших доступних джерел.

Використання підказок у Security Operations

Gemini можна використовувати різними способами в Security Operations, включаючи пошук у рядку, допомогу в чаті та створення посібників. Отримавши зведені випадки, згенеровані штучним інтелектом, Gemini може допомогти лікарям-практикам у:

1. Виявлення та розслідування загроз
2. Питання та відповіді щодо безпеки
3. Генерація Playbook
4. Узагальнення даних розвідки про загрози

Google Security Operations (SecOps) збагачено оперативними даними від Mandiant і краудсорсинговими даними від VirusTotal, які можуть допомогти командам безпеки:

Швидкий доступ і аналіз даних про загрози: Ставте запитання природною мовою про суб’єктів загрози, родини зловмисних програм, вразливості та IOC.

Прискорення пошуку та виявлення загроз: Створюйте пошукові запити UDM і правила виявлення на основі даних аналізу загроз.

Пріоритезуйте ризики безпеки: Зрозумійте, які загрози є найбільш актуальними для їхньої організації, і зосередьтеся на найбільш критичних уразливостях.

Ефективніше реагуйте на інциденти безпеки: Збагачуйте сповіщення системи безпеки контекстом аналізу загроз і отримуйте рекомендації щодо дій із усунення.

Підвищення рівня безпеки: Створюйте цікаві навчальні матеріали на основі реальних даних про загрози.

Варіанти використання для операцій безпеки

Виявлення та розслідування загроз

Створюйте запити, генеруйте правила, відстежуйте події, досліджуйте сповіщення, шукайте дані (генеруйте запити UDM).

Сценарій: Аналітик загроз досліджує нове сповіщення та хоче знати, чи є в середовищі докази того, що певна команда використовувалася для проникнення в інфраструктуру шляхом додавання себе до реєстру.

Sampпідказка: Створіть запит, щоб знайти будь-які події модифікації реєстру на [hostname] за останній [часовий період].

Подальша підказка: Створіть правило, щоб допомогти виявити таку поведінку в майбутньому.

Сценарій: Аналітику кажуть, що стажер робив підозрілі «речі» і хотів краще зрозуміти, що відбувається.

Sampпідказка: Показати події мережевого підключення для ідентифікатора користувача, що починається з tim. сміт (без урахування регістру) за останні 3 дні.

Подальша підказка: Створіть правило YARA-L для виявлення цієї активності в майбутньому.

Сценарій: Аналітик безпеки отримує сповіщення про підозрілу активність в обліковому записі користувача.

Sampпідказка: Показати заблоковані події входу користувача з кодом події 4625, де src.
ім'я хоста не є нульовим.

Подальша підказка: Скільки користувачів включено до набору результатів?

Питання та відповіді щодо безпеки

Сценарій: Аналітик безпеки влаштовується на нову роботу та помічає, що Gemini підсумував випадок із рекомендованими кроками для розслідування та реагування. Вони хочуть дізнатися більше про зловмисне програмне забезпечення, визначене в резюме справи.

Sampпідказка: Що таке [назва шкідливого ПЗ]?

Подальша підказка: Як [назва зловмисного ПЗ] зберігається?

Сценарій: Аналітик безпеки отримує сповіщення про потенційно зловмисний file хеш.

Sampпідказка: Чи це file хеш [вставте хеш], як відомо, шкідливий?

Подальша підказка: Яка ще інформація доступна з цього приводу file?

Сценарій: Служба реагування на інциденти повинна визначити джерело зловмисника file.

Sampпідказка: Що таке file хеш виконуваного файлу “[malware.exe]”?

Подальші підказки:

• Щоб отримати інформацію про це, додайте інформацію про загрози від VirusTotal file хеш; чи відомо, що він шкідливий?
• Чи спостерігався цей хеш у моєму середовищі?
• Які рекомендовані дії щодо стримування та усунення цієї шкідливої ​​програми?

Генерація Playbook

Дійте та створюйте підручники.

Сценарій: Інженер із безпеки хоче автоматизувати процес відповіді на фішингові листи.

Sampпідказка: Створіть посібник, який спрацьовує, коли надходить електронний лист від відомого відправника фішингу. Посібник має помістити електронну пошту в карантин і повідомити команду безпеки.

Сценарій: Член команди SOC хоче автоматично помістити зловмисників у карантин files.

Sampпідказка: Напишіть посібник для сповіщень про зловмисне програмне забезпечення. П'єса повинна взяти file хеш із сповіщення та збагатити його інтелектуальними даними від VirusTotal. Якщо file hash шкідливий, помістіть на карантин file.

Сценарій: Аналітик загроз хоче створити новий посібник, який допоможе реагувати на майбутні сповіщення, пов’язані зі змінами розділу реєстру.

Sampпідказка: Створіть посібник для сповіщень про зміни розділів реєстру. Я хочу, щоб цей посібник був збагачений усіма типами об’єктів, включаючи VirusTotal і Mandiant. Якщо буде виявлено щось підозріле, створіть справу tags а потім відповідно розставте справу за пріоритетністю.

Узагальнення даних розвідки про загрози

Отримайте уявлення про загрози та суб’єктів загрози.

Сценарій: Менеджер з питань безпеки хоче зрозуміти шаблони атак конкретної загрози.

Sampпідказка: Які відомі тактики, прийоми та процедури (TTP), які використовує APT29?

Подальша підказка: Чи є в Google SecOps будь-які підібрані виявлення, які можуть допомогти ідентифікувати активність, пов’язану з цими TTP?

Сценарій: Аналітик аналізу загроз дізнається про новий вид шкідливого програмного забезпечення («emotet») і ділиться звітом про свої дослідження з командою SOC.

Sampпідказка: Які показники компрометації (IOC), пов’язані зі зловмисним програмним забезпеченням emotet?

Подальші підказки:

• Згенеруйте пошуковий запит UDM, щоб знайти ці IOC у журналах моєї організації.
• Створіть правило виявлення, яке сповіщатиме мене, якщо будь-який із цих IOC спостерігатиметься в майбутньому.

Сценарій: Дослідник безпеки визначив хости у своєму середовищі, які спілкуються з відомими командно-контрольними (C2) серверами, пов’язаними з певною загрозою.

Sampпідказка: Створіть запит, щоб показати мені всі вихідні мережеві з’єднання з IP-адресами та доменами, пов’язаними з: [ім’я суб’єкта загрози].

Ефективно використовуючи Gemini, служби безпеки можуть розширити свої можливості аналізу загроз і покращити загальну безпеку. Це лише кілька колишніхampопис того, як Gemini можна використовувати для покращення операцій безпеки.
Коли ви ближче познайомитеся з інструментом, ви знайдете багато інших способів використовувати його для своїх успіхівtagд. Додаткову інформацію можна знайти в документації продукту Google SecOps сторінки.

Використання підказок у Threat Intelligence

Хоча Google Threat Intelligence можна використовувати подібно до традиційної пошукової системи лише за допомогою термінів, користувачі також можуть досягти очікуваних результатів, створюючи спеціальні підказки.
Підказки Gemini можна використовувати різними способами в аналізі загроз, від пошуку загальних тенденцій до розуміння конкретних загроз і частин шкідливого програмного забезпечення, зокрема:

1. Аналіз розвідки загроз
2. Проактивне полювання на загрози
3. Профілювання актора загрози
4. Пріоритезація вразливостей
5. Збагачення сповіщень безпеки
6. Використання MITRE ATT&CK

Варіанти використання аналізу загроз

Аналіз розвідки загроз

Сценарій: Аналітик аналізу загроз хоче дізнатися більше про нещодавно виявлене сімейство шкідливих програм.

Sampпідказка: Що відомо про шкідливу програму «Emotet»? Які його можливості і як він поширюється?

Відповідна підказка: Які показники компрометації (IOC), пов’язані зі зловмисним програмним забезпеченням emotet?

Сценарій: Аналітик досліджує нову групу програм-вимагачів і хоче швидко зрозуміти їхню тактику, методи та процедури (TTP).

Sampпідказка: Узагальніть відомі TTP групи програм-вимагачів «LockBit 3.0». Включіть інформацію про їхні початкові методи доступу, техніку бокового руху та бажану тактику вимагання.

Пов’язані підказки:

• Які загальні індикатори компрометації (IOC), пов’язані з LockBit 3.0?
• Чи були останнім часом публічні звіти чи аналізи атак LockBit 3.0?

Проактивне полювання на загрози

Сценарій: Аналітик аналізу загроз хоче завчасно шукати ознаки певного сімейства зловмисного програмного забезпечення, яке, як відомо, націлене на його галузь.

Sampпідказка: Які загальні ознаки компрометації (IOC), пов’язані зі зловмисним програмним забезпеченням «Trickbot»?

Сценарій: Дослідник безпеки хоче ідентифікувати будь-які хости у своєму середовищі, які спілкуються з відомими командно-контрольними (C2) серверами, пов’язаними з певним суб’єктом загрози.

Sampпідказка: Які відомі IP-адреси та домени C2 використовує зловмисник «[Ім’я]»?

Профілювання актора загрози

Сценарій: Команда розвідки про загрози відстежує діяльність підозрюваної групи APT і хоче розробити комплексну проfile.

Sampпідказка: Створіть профіfile загрозливого актора “APT29”. Включіть їхні відомі псевдоніми, підозрювану країну походження, мотивацію, типові цілі та бажані TTP.

Відповідна підказка: Покажіть мені хронологію найбільш помітних атак APT29 campaign і timeline.

Пріоритезація вразливостей

Сценарій: Команда управління вразливістю хоче визначити пріоритетність заходів з усунення на основі ландшафту загроз.

Sampпідказка: Які вразливості мережі Palo Alto Networks активно використовують зловмисники?

Відповідна підказка: Узагальніть відомі експлойти для CVE-2024-3400 і CVE-2024-0012.

Сценарій: Команда безпеки переповнена результатами сканування вразливостей і хоче розставити пріоритети для виправлення на основі аналізу загроз.

Sampпідказка: Які з наведених нижче вразливостей згадувалися в останніх звітах аналізу загроз: [перелік виявлених вразливостей]?

Пов’язані підказки:

• Чи доступні будь-які відомі експлойти для таких уразливостей: [список виявлених уразливостей]?
• Яка з наведених нижче вразливостей, швидше за все, буде використана суб’єктами загрози: [список визначених вразливостей]? Розташуйте їх на основі їх серйозності, можливості використання та актуальності для нашої галузі.

Збагачення сповіщень безпеки

Сценарій: Аналітик безпеки отримує сповіщення про підозрілу спробу входу з незнайомої IP-адреси.

Sampпідказка: Що відомо про IP-адресу [вкажіть IP]?

Використання MITRE ATT&CK

Сценарій: Команда безпеки хоче використовувати структуру MITER ATT&CK, щоб зрозуміти, як конкретна загроза може націлитися на їхню організацію.

Sampпідказка: Покажіть мені прийоми MITER ATT&CK, пов’язані з актором-загрозою APT38.

Gemini — це потужний інструмент, який можна використовувати для покращення операцій безпеки та аналізу загроз. Дотримуючись найкращих практик, викладених у цьому посібнику, ви можете створювати ефективні підказки, які допоможуть отримати максимальну віддачу від Gemini.

Примітка: Цей посібник містить пропозиції щодо використання Gemini в Google SecOps і Gemini в Threat Intelligence. Це не вичерпний список усіх можливих варіантів використання, і конкретні можливості Gemini можуть відрізнятися залежно від версії продукту. Щоб отримати найновішу інформацію, зверніться до офіційної документації.

Близнюки
в операціях безпеки

Близнюки
в аналізі загроз

Документи / Ресурси

Програма Google Cloud Gemini [pdfПосібник користувача Google Cloud APP, Google, Cloud APP, APP

Список літератури

• Посібник користувача