Gemini Google Cloud APP lietotāja rokasgrāmata

Gemini ir spēcīgs AI rīks, ko var izmantot, lai palīdzētu Google drošības operāciju un Google Threat Intelligence lietotājiem. Šī rokasgrāmata sniegs jums nepieciešamo informāciju, lai sāktu darbu ar Gemini un izveidotu efektīvas uzvednes.

Uzvedņu izveide ar Dvīņiem

Veidojot uzvedni, jums būs jāsniedz Gemini šāda informācija:

1. Uzvednes veids, kuru vēlaties izveidot, ja piemērojams (piem.,
   “Izveidot kārtulu”)
2. Uzvednes konteksts
3. Vēlamā izvade

Lietotāji var izveidot dažādas uzvednes, tostarp jautājumus, komandas un kopsavilkumus.

Uzvedņu izveides paraugprakse

Veidojot uzvednes, ir svarīgi paturēt prātā tālāk norādīto paraugpraksi.

Izmantojiet dabisko valodu: Rakstiet tā, it kā jūs teiktu komandu, un izsakiet pilnīgas domas pilnos teikumos.

Norādiet kontekstu: Iekļaujiet atbilstošu informāciju, lai palīdzētu Gemini saprast jūsu pieprasījumu, piemēram, laika grafikus, konkrētus žurnāla avotus vai lietotāja informāciju. Jo vairāk konteksta jūs sniedzat, jo atbilstošāki un noderīgāki būs rezultāti.

Esiet konkrēts un kodolīgs: Skaidri norādiet informāciju, kuru meklējat, vai uzdevumu, kuru vēlaties veikt Dvīņiem. Detalizēti norādiet mērķi, aktivizētāju, darbību un nosacījumu(s).
Piemēram,ample, pajautā asistentam: "Vai tas ir (file vārds utt.) ir zināms kā ļaunprātīgs?”, un, ja ir zināms, ka tas ir, varat pajautāt “Meklēt šis (file) manā vidē.

Iekļaujiet skaidrus mērķus: Sāciet ar skaidru mērķi un norādiet aktivizētājus, kas aktivizēs atbildi.

Izmantojiet visas metodes: Izmantojiet tiešsaistes meklēšanas funkcionalitāti, tērzēšanas palīgu un rokasgrāmatas ģeneratoru savām dažādām vajadzībām.

Atsauces integrācijas (tikai rokasgrāmatas izveidei): Pieprasiet un norādiet integrācijas, kuras jau esat instalējis un konfigurējis savā vidē, jo tās attiecas uz nākamajām rokasgrāmatas darbībām.

Atkārtot: Ja sākotnējie rezultāti nav apmierinoši, uzlabojiet savu uzvedni, sniedziet papildu informāciju un uzdodiet papildu jautājumus, lai virzītu Dvīņus uz labāku atbildi.

Iekļaujiet darbības nosacījumus (tikai rokasgrāmatas izveidei): Veidojot rokasgrāmatu, varat uzlabot uzvednes efektivitāti, pieprasot papildu darbības, piemēram, datu bagātināšanu.

Pārbaudiet precizitāti: Atcerieties, ka Gemini ir AI rīks, un tā atbildes vienmēr ir jāapstiprina, pamatojoties uz jūsu zināšanām un citiem pieejamajiem avotiem.

Uzvedņu izmantošana drošības operācijās

Gemini drošības operācijās var izmantot dažādos veidos, tostarp tiešā meklēšanā, tērzēšanas palīdzībā un rokasgrāmatas ģenerēšanā. Pēc AI ģenerētu gadījumu kopsavilkumu saņemšanas Gemini var palīdzēt praktizētājiem:

1. Draudu atklāšana un izmeklēšana
2. Ar drošību saistīti jautājumi un atbildes
3. Playbook paaudze
4. Draudi izlūkošanas apkopojums

Google drošības operācijas (SecOps) ir bagātinātas ar Mandiant priekšējās līnijas izlūkošanas informāciju un VirusTotal pūļa izlūkošanas informāciju, kas var palīdzēt drošības komandām:

Ātri piekļūstiet un analizējiet draudu izlūkošanas informāciju: Uzdodiet dabiskās valodas jautājumus par apdraudējuma izraisītājiem, ļaunprātīgas programmatūras ģimenēm, ievainojamību un SOK.

Paātrināt draudu meklēšanu un atklāšanu: Ģenerējiet UDM meklēšanas vaicājumus un noteikšanas noteikumus, pamatojoties uz draudu izlūkošanas datiem.

Piešķiriet prioritāti drošības riskiem: Izprotiet, kuri draudi ir visatbilstošākie viņu organizācijai, un koncentrējieties uz vissvarīgākajām ievainojamībām.

Efektīvāk reaģējiet uz drošības incidentiem: Bagātiniet drošības brīdinājumus ar draudu izlūkošanas kontekstu un saņemiet ieteikumus novēršanas darbībām.

Uzlabojiet drošības izpratni: Izveidojiet saistošus mācību materiālus, kuru pamatā ir reālās pasaules draudu izlūkošana.

Lietošanas gadījumi drošības operācijām

Draudu atklāšana un izmeklēšana

Izveidojiet vaicājumus, ģenerējiet noteikumus, pārraugiet notikumus, izmeklējiet brīdinājumus, meklējiet datus (ģenerējiet UDM vaicājumus).

Scenārijs: Draudu analītiķis izmeklē jaunu brīdinājumu un vēlas uzzināt, vai vidē ir pierādījumi par konkrētu komandu, kas izmantota, lai iefiltrētos infrastruktūrā, pievienojot sevi reģistram.

Sample prompt: Izveidojiet vaicājumu, lai atrastu visus reģistra modifikācijas notikumus vietnē [hostname] pēdējā [laika periodā].

Pēcpārbaudes uzvedne: Ģenerējiet kārtulu, lai palīdzētu noteikt šo uzvedību nākotnē.

Scenārijs: Analītiķim stāsta, ka kāds praktikants darīja aizdomīgas “lietas” un vēlējās iegūt labāku izpratni par notiekošo.

Sample prompt: Rādīt man tīkla savienojuma notikumus lietotāja ID, kas sākas ar tim. smits (neatkarīgs no reģistriem) pēdējo 3 dienu laikā.

Pēcpārbaudes uzvedne: Ģenerējiet YARA-L kārtulu, lai turpmāk noteiktu šo darbību.

Scenārijs: Drošības analītiķis saņem brīdinājumu par aizdomīgām darbībām lietotāja kontā.

Sample prompt: Rādīt man bloķētos lietotāju pieteikšanās notikumus ar notikuma kodu 4625, kur src.
resursdatora nosaukums nav nulle.

Pēcpārbaudes uzvedne: Cik lietotāju ir iekļauti rezultātu kopā?

Ar drošību saistīti jautājumi un atbildes

Scenārijs: Drošības analītiķis uzsāk jaunu darbu un ievēro, ka Gemini ir apkopojis lietu ar ieteicamajiem izmeklēšanas un atbildes soļiem. Viņi vēlas uzzināt vairāk par gadījuma kopsavilkumā identificēto ļaunprātīgo programmatūru.

Sample prompt: Kas ir [ļaunprātīgas programmatūras nosaukums]?

Pēcpārbaudes uzvedne: Kā [ļaunprātīgas programmatūras nosaukums] saglabājas?

Scenārijs: Drošības analītiķis saņem brīdinājumu par potenciāli ļaunprātīgu programmatūru file hash.

Sample prompt: Vai šis file hash [insert hash] ir zināms, ka tas ir ļaunprātīgs?

Pēcpārbaudes uzvedne: Kāda cita informācija par šo ir pieejama file?

Scenārijs: Negadījuma reaģētājam ir jāidentificē ļaunprātīgas informācijas avots file.

Sample prompt: Kas ir file izpildāmā faila “[malware.exe]” jaukšana?

Sekojošie norādījumi:

• Lai iegūtu informāciju par to, bagātiniet ar VirusTotal draudu izlūkošanas informāciju file hash; vai tas ir zināms, ka tas ir ļaunprātīgs?
• Vai tas ir novērots manā vidē?
• Kādas ir ieteicamās šīs ļaunprātīgās programmatūras ierobežošanas un novēršanas darbības?

Playbook paaudze

Rīkojieties un izveidojiet rokasgrāmatas.

Scenārijs: Drošības inženieris vēlas automatizēt atbildes procesu uz pikšķerēšanas e-pastiem.

Sample prompt: Izveidojiet rokasgrāmatu, kas tiek aktivizēta, kad tiek saņemts e-pasta ziņojums no zināma pikšķerēšanas sūtītāja. Rokasgrāmatā e-pasts jāiekļauj karantīnā un jāpaziņo drošības komandai.

Scenārijs: SOC komandas loceklis vēlas automātiski ievietot ļaunprātīgu karantīnu files.

Sample prompt: Uzrakstiet ļaunprātīgas programmatūras brīdinājumu rokasgrāmatu. Rokasgrāmatā vajadzētu ņemt vērā file hash no brīdinājuma un bagātina to ar informāciju no VirusTotal. Ja file hash ir ļaunprātīgs, karantīnā file.

Scenārijs: Draudu analītiķis vēlas izveidot jaunu rokasgrāmatu, kas varētu palīdzēt reaģēt uz turpmākiem brīdinājumiem saistībā ar reģistra atslēgas izmaiņām.

Sample prompt: Izveidojiet šo reģistra atslēgu izmaiņu brīdinājumu rokasgrāmatu. Es vēlos, lai šī rokasgrāmata būtu bagātināta ar visu veidu entītijām, tostarp VirusTotal un Mandiant draudu priekšējās līnijas izlūkošanu. Ja tiek konstatēts kaut kas aizdomīgs, izveidojiet lietu tags un pēc tam attiecīgi piešķiriet lietas prioritāti.

Draudi izlūkošanas apkopojums

Gūstiet ieskatu par draudiem un apdraudējuma dalībniekiem.

Scenārijs: Drošības operāciju vadītājs vēlas izprast konkrēta apdraudējuma dalībnieka uzbrukumu modeļus.

Sample prompt: Kādas ir zināmās taktikas, metodes un procedūras (TTP), ko izmanto APT29?

Pēcpārbaudes uzvedne: Vai pakalpojumā Google SecOps ir kādi atlasīti atklājumi, kas var palīdzēt identificēt ar šiem TTP saistītās darbības?

Scenārijs: Draudi izlūkošanas analītiķis uzzina par jauna veida ļaunprātīgu programmatūru (“emotet”) un dalās ar SOC komandu ar savu pētījumu ziņojumu.

Sample prompt: Kādi ir kompromisa (IOC) rādītāji, kas saistīti ar Emotet ļaunprātīgu programmatūru?

Sekojošie norādījumi:

• Ģenerējiet UDM meklēšanas vaicājumu, lai manas organizācijas žurnālos meklētu šos IOC.
• Izveidojiet noteikšanas noteikumu, kas brīdinās mani, ja kāds no šiem IOC tiks novērots nākotnē.

Scenārijs: Drošības pētnieks savā vidē ir identificējis saimniekdatorus, kas sazinās ar zināmiem komandu un kontroles (C2) serveriem, kas saistīti ar konkrētu apdraudējuma dalībnieku.

Sample prompt: Ģenerējiet vaicājumu, lai parādītu visus izejošos tīkla savienojumus ar IP adresēm un domēniem, kas saistīti ar: [apdraudējuma dalībnieka vārds].

Efektīvi izmantojot Gemini, drošības komandas var uzlabot savas draudu izlūkošanas iespējas un uzlabot savu vispārējo drošības stāvokli. Tie ir tikai daži bijušieamppar to, kā Gemini var izmantot drošības darbību uzlabošanai.
Iepazīstoties ar rīku, jūs atradīsit daudzus citus veidus, kā to izmantot savam priekšgalamtage. Papildinformāciju var atrast Google SecOps produkta dokumentācijā lapā.

Uzvedņu izmantošana programmā Threat Intelligence

Lai gan Google Threat Intelligence var izmantot līdzīgi kā tradicionālo meklētājprogrammu, izmantojot tikai vienumus, lietotāji var arī sasniegt paredzētos rezultātus, izveidojot īpašas uzvednes.
Dvīņu uzvednes var izmantot dažādos veidos rīkā Threat Intelligence, sākot no plašu tendenču meklēšanas līdz konkrētu draudu un ļaunprātīgas programmatūras daļu izpratnei, tostarp:

1. Draudu izlūkošanas analīze
2. Proaktīvas draudu medības
3. Draudi aktieru profilēšana
4. Ievainojamības prioritāšu noteikšana
5. Bagātināt drošības brīdinājumus
6. Izmantojot MITER ATT&CK

Izmantošanas gadījumi draudu izlūkošanai

Draudu izlūkošanas analīze

Scenārijs: Draudu izlūkošanas analītiķis vēlas uzzināt vairāk par jaunatklātu ļaunprātīgas programmatūras saimi.

Sample prompt: Kas ir zināms par ļaunprogrammatūru “Emotet”? Kādas ir tās iespējas un kā tā izplatās?

Saistītā uzvedne: Kādi ir kompromisa (IOC) rādītāji, kas saistīti ar Emotet ļaunprātīgu programmatūru?

Scenārijs: Analītiķis izmeklē jaunu izspiedējvīrusu grupu un vēlas ātri izprast tās taktiku, paņēmienus un procedūras (TTP).

Sample prompt: Apkopojiet zināmos izspiedējvīrusu grupas “LockBit 3.0” TTP. Iekļaujiet informāciju par viņu sākotnējām piekļuves metodēm, sānu kustības paņēmieniem un vēlamo izspiešanas taktiku.

Saistītie norādījumi:

• Kādi ir izplatītākie kompromisa (IOC) rādītāji, kas saistīti ar LockBit 3.0?
• Vai nesen ir bijuši publiski ziņojumi vai analīze par LockBit 3.0 uzbrukumiem?

Proaktīvas draudu medības

Scenārijs: Draudu izlūkošanas analītiķis vēlas proaktīvi meklēt pazīmes, kas liecina par konkrētu ļaunprātīgu programmatūru saimi, kuras mērķauditorija ir viņu nozare.

Sample prompt: Kādi ir izplatītākie kompromisa (IOC) rādītāji, kas saistīti ar “Trickbot” ļaunprogrammatūru?

Scenārijs: Drošības pētnieks vēlas identificēt visus savā vidē esošos saimniekdatorus, kas sazinās ar zināmiem komandu un kontroles (C2) serveriem, kas saistīti ar konkrētu apdraudējuma dalībnieku.

Sample prompt: Kādas ir zināmās C2 IP adreses un domēni, ko izmanto apdraudējuma persona “[Nosaukums]”?

Draudi aktieru profilēšana

Scenārijs: Draudu izlūkošanas komanda izseko aizdomās turētas APT grupas darbībām un vēlas izstrādāt visaptverošu speciālistufile.

Sample prompt: Ģenerējiet profesionālifile draudu aktieris “APT29”. Iekļaujiet viņu zināmos aizstājvārdus, iespējamo izcelsmes valsti, motivāciju, tipiskos mērķus un vēlamos TTP.

Saistītā uzvedne: Parādiet man APT29 ievērojamāko uzbrukumu laika skalu campAign un laika skala.

Ievainojamības prioritāšu noteikšana

Scenārijs: Ievainojamības pārvaldības komanda vēlas noteikt prioritāti novēršanas pasākumiem, pamatojoties uz draudu ainavu.

Sample prompt: Kuras Palo Alto Networks ievainojamības tiek aktīvi izmantotas savvaļā?

Saistītā uzvedne: Apkopojiet CVE-2024-3400 un CVE-2024-0012 zināmos ekspluatācijas veidus.

Scenārijs: Drošības komanda ir pārņemta ar ievainojamības skenēšanas rezultātiem, un tā vēlas noteikt prioritāti novēršanas pasākumiem, pamatojoties uz draudu izlūkošanas informāciju.

Sample prompt: Kura no šīm ievainojamībām ir minēta nesenajos draudu izlūkošanas ziņojumos: [norādīts ievainojamību saraksts]?

Saistītie norādījumi:

• Vai ir pieejami kādi zināmi ekspluatācijas veidi šādām ievainojamībām: [konstatēto ievainojamību saraksts]?
• Kuru no šīm ievainojamībām, visticamāk, izmantos apdraudējuma dalībnieki: [norādiet identificētās ievainojamības]? Piešķiriet tiem prioritāti, pamatojoties uz to nopietnību, izmantojamību un atbilstību mūsu nozarei.

Bagātināt drošības brīdinājumus

Scenārijs: Drošības analītiķis saņem brīdinājumu par aizdomīgu pieteikšanās mēģinājumu no nepazīstamas IP adreses.

Sample prompt: Kas ir zināms par IP adresi [norādīt IP]?

Izmantojot MITER ATT&CK

Scenārijs: Drošības komanda vēlas izmantot MITER ATT&CK ietvaru, lai saprastu, kā konkrēts apdraudējuma dalībnieks var mērķēt uz viņu organizāciju.

Sample prompt: Parādiet man MITER ATT&CK paņēmienus, kas saistīti ar apdraudējumu APT38.

Gemini ir spēcīgs rīks, ko var izmantot drošības operāciju un draudu izlūkošanas uzlabošanai. Ievērojot šajā rokasgrāmatā izklāstīto paraugpraksi, jūs varat izveidot efektīvus norādījumus, kas palīdzēs jums maksimāli izmantot Dvīņus.

Piezīme: Šajā rokasgrāmatā ir sniegti ieteikumi Gemini lietošanai pakalpojumā Google SecOps un Gemini izmantošanai draudu izlūkošanā. Tas nav pilnīgs visu iespējamo lietošanas gadījumu saraksts, un Gemini īpašās iespējas var atšķirties atkarībā no jūsu produkta izdevuma. Lai iegūtu visjaunāko informāciju, skatiet oficiālo dokumentāciju.

Dvīņi
sadaļā Drošības operācijas

Dvīņi
Drudu izlūkošanā

Dokumenti / Resursi

Gemini Google Cloud APP [pdfLietotāja rokasgrāmata Google Cloud APP, Google, Cloud APP, APP

Atsauces

• Lietotāja rokasgrāmata