Gemini Google Cloud APP kasutusjuhend
Gemini Google Cloud APP

Gemini on võimas AI tööriist, mida saab kasutada Google'i turvaoperatsioonide ja Google Threat Intelligence'i kasutajate abistamiseks. See juhend annab teile teavet, mida vajate Kaksikute kasutamise alustamiseks ja tõhusate juhiste loomiseks.

Sisu peita
1 Viipade loomine Kaksikutega
2 Viipade kasutamine turvatoimingutes
3 Kasutusjuhtumid turvatoimingute jaoks
4 Ohtude avastamine ja uurimine
5 Turvalisusega seotud küsimused ja vastused
6 Mänguraamatu põlvkond
7 Ohu luureandmete kokkuvõte
8 Viipade kasutamine ohuluures
9 Ohutuure kasutamise juhtumid
10 Ohu luureanalüüs
11 Ennetav ohujaht
12 Ohtnäitleja profileerimine
13 Haavatavuse prioritiseerimine
14 Rikastavad turvahoiatused
15 MITER ATT&CK võimendamine
16 Dokumendid / Ressursid
16.1 Viited
17 Seotud postitused

Viipade loomine Kaksikutega

Viipa loomisel peate Geminile esitama järgmise teabe:

  1. Loodava viipa tüüp (nt
    "Loo reegel"
  2. Viipa kontekst
  3. Soovitud väljund

Kasutajad saavad luua mitmesuguseid viipasid, sealhulgas küsimusi, käske ja kokkuvõtteid.

Viipade loomise parimad tavad

Viipade loomisel on oluline meeles pidada järgmisi parimaid tavasid.

Ikoon Kasutage loomulikku keelt: Kirjutage nii, nagu räägiksite käsku ja väljendage terviklikke mõtteid täislausetega.

Ikoon Esitage kontekst: Lisage asjakohased üksikasjad, mis aitavad Kaksikutel teie taotlust mõista, näiteks ajaraamid, konkreetsed logiallikad või kasutajateave. Mida rohkem konteksti esitate, seda asjakohasemad ja kasulikumad on tulemused.

Ikoon Olge konkreetne ja lühike: Esitage selgelt teave, mida otsite, või ülesanne, mida soovite, et Kaksikud täidaksid. Täpsustage eesmärki, päästikut, tegevust ja tingimusi.
Näiteksample, küsi assistendilt: "Kas see (file nimi jne) on teadaolevalt pahatahtlik?” ja kui on teadaolevalt pahatahtlik, võite küsida „Otsi see (file) minu keskkonnas.

Ikoon Lisage selged eesmärgid: Alustage selge eesmärgiga ja määrake käivitajad, mis reageerivad.

Ikoon Kasutage kõiki viise: Kasutage oma erinevate vajaduste jaoks siseotsingu funktsioone, vestlusabilist ja käsiraamatu generaatorit.

Ikoon Viiteintegratsioonid (ainult käsiraamatu loomiseks): Taotlege ja täpsustage integratsioone, mille olete oma keskkonda juba installinud ja konfigureerinud, kuna need on seotud mänguraamatu järgmiste sammudega.

Ikoon Korda: Kui esialgsed tulemused ei ole rahuldavad, täpsustage oma viipa, andke lisateavet ja esitage täiendavaid küsimusi, et suunata Kaksikud paremini reageerima.

Ikoon Kaasake tegevustingimused (ainult mänguraamatu loomisel): Saate parandada viipa tõhusust mänguraamatu loomisel, taotledes täiendavaid samme, näiteks andmete rikastamist.

Ikoon Kontrollige täpsust: Pidage meeles, et Gemini on AI tööriist ja selle vastuseid tuleks alati teie enda teadmiste ja muude saadaolevate allikate põhjal kontrollida.

Viipade kasutamine turvatoimingutes

Kaksikuid saab turvatoimingutes kasutada mitmel viisil, sealhulgas reaotsing, vestlusabi ja mänguraamatu loomine. Pärast tehisintellekti loodud juhtumite kokkuvõtete saamist saavad Kaksikud aidata praktikutel:

  1. Ohtude avastamine ja uurimine
  2. Turvalisusega seotud küsimused ja vastused
  3. Mänguraamatu põlvkond
  4. Ohu luureandmete kokkuvõte

Google Security Operations (SecOps) on rikastatud Mandianti esiliini luureandmetega ja VirusTotali rahvapõhise luureandmetega, mis võivad aidata turvameeskondadel:

Ikoon Kiire juurdepääs ohuluurele ja seda analüüsida: Esitage loomulikus keeles küsimusi ohus osalejate, pahavaraperekondade, haavatavuste ja IOC-de kohta.

Ikoon Kiirendage ohu otsimist ja tuvastamist: Looge ohu luureandmete põhjal UDM-i otsingupäringuid ja tuvastamisreegleid.

Ikoon Eelistage turvariske: Saate aru, millised ohud on nende organisatsiooni jaoks kõige olulisemad, ja keskenduge kõige kriitilisematele haavatavustele.

Ikoon Turvaintsidentidele tõhusamalt reageerida: Rikastage turvahoiatusi ohuluure kontekstiga ja hankige soovitusi parandusmeetmeteks.

Ikoon Turvateadlikkuse parandamine: Looge kaasahaaravaid koolitusmaterjale, mis põhinevad tegelikul ohuteabel.

Kasutusjuhtumid turvatoimingute jaoks

Turvatoimingud

Ohtude avastamine ja uurimine

Looge päringuid, genereerige reegleid, jälgige sündmusi, uurige hoiatusi, otsige andmeid (genereerige UDM-päringuid).
Avastamise uurimine

Ikoon Stsenaarium: Ohuanalüütik uurib uut hoiatust ja soovib teada, kas keskkonnas on tõendeid konkreetse käsu kohta, mida kasutatakse infrastruktuuri sissetungimiseks, lisades end registrisse.

Ikoon Sample prompt: Looge päring, et leida kõik registri muutmise sündmused saidil [hostinimi] viimase [ajaperioodi] jooksul.

Ikoon Järeltegevuse viip: Looge reegel, mis aitab seda käitumist tulevikus tuvastada.
Avastamise uurimine

Ikoon Stsenaarium: Analüütikule öeldakse, et praktikant tegi kahtlaseid "asju" ja soovis toimuvast paremini aru saada.

Ikoon Sample prompt: Kuva mulle võrguühenduse sündmused kasutajatunnuse jaoks, mis algab tähega tim. smith (tähetundlik) viimase 3 päeva jooksul.

Ikoon Järeltegevuse viip: Looge YARA-L reegel, et seda tegevust tulevikus tuvastada.
Avastamise uurimine

Stsenaarium: Turvaanalüütik saab hoiatuse kasutajakontol toimuva kahtlase tegevuse kohta.

Sample prompt: Kuva mulle blokeeritud kasutaja sisselogimissündmused sündmuse koodiga 4625, kus src.
hostinimi ei ole null.

Järeltegevuse viip: Kui palju kasutajaid on tulemuste komplektis?

Turvalisusega seotud küsimused ja vastused

Turvalisusega seotud küsimused ja vastused

Ikoon Stsenaarium: Turvaanalüütik on asumas uuele tööle ja märkab, et Kaksikud on juhtumist kokkuvõtte koos soovitatud sammudega uurimiseks ja reageerimiseks. Nad soovivad rohkem teada juhtumi kokkuvõttes tuvastatud pahavara kohta.

Ikoon Sample prompt: Mis on [pahavara nimi]?

Ikoon Järeltegevuse viip: Kuidas [pahavara nimi] püsib?
Turvalisusega seotud küsimused ja vastused

Ikoon Stsenaarium: Turvaanalüütik saab hoiatuse võimaliku pahatahtliku kohta file räsi.

Ikoon Sample prompt: Kas see file hash [insert hash] on teadaolevalt pahatahtlik?

Ikoon Järeltegevuse viip: Millist muud teavet selle kohta on saadaval file?

Ikoon Stsenaarium: Juhtumile reageerija peab tuvastama pahatahtliku allika file.

Ikoon Sample prompt: Mis on file käivitatava faili „[malware.exe]” räsi?

Ikoon Järeltegevuse juhised:

  • Selle kohta teabe saamiseks rikastage VirusTotali ohuluurega file räsi; kas see on teadaolevalt pahatahtlik?
  • Kas seda on minu keskkonnas täheldatud?
  • Millised on selle pahavara ohjeldamise ja parandamise toimingud?

Mänguraamatu põlvkond

Tegutsege ja koostage mänguraamatuid.
Mänguraamatu põlvkond

Ikoon Stsenaarium: Turvainsener soovib andmepüügimeilidele vastamise protsessi automatiseerida.

Ikoon Sample prompt: Looge mänguraamat, mis käivitub, kui teadaolevalt andmepüügisaatjalt saabub meilisõnum. Mänguraamat peaks meili karantiini panema ja teavitama turvameeskonda.
Mänguraamatu põlvkond

Ikoon Stsenaarium: SOC-i meeskonna liige soovib pahatahtlikud asjad automaatselt karantiini panna files.

Ikoon Sample prompt: Kirjutage pahavarahoiatuste juhend. Mänguraamat peaks võtma file räsi hoiatusest ja rikastage seda VirusTotali luureandmetega. Kui file räsi on pahatahtlik, pange karantiini file.
Mänguraamatu põlvkond

Ikoon Stsenaarium: Ohuanalüütik soovib luua uue käsiraamatu, mis aitaks reageerida tulevastele registrivõtme muudatustega seotud hoiatustele.

Ikoon Sample prompt: Koostage nende registrivõtme muudatuste hoiatusteadete käsiraamat. Ma tahan, et see mänguraamat oleks rikastatud kõigi olemitüüpidega, sealhulgas VirusTotali ja Mandianti ohu eesliini luureandmetega. Kui tuvastatakse midagi kahtlast, looge juhtum tags ja seejärel tähtsustage juhtum vastavalt.

Ohu luureandmete kokkuvõte

Saate teavet ohtude ja ohus osalejate kohta.

Ikoon Stsenaarium: Turvaoperatsioonide juht soovib mõista konkreetse ohus osaleja rünnakumustreid.

Ikoon Sample prompt: Millised on tuntud taktikad, tehnikad ja protseduurid (TTP-d), mida APT29 kasutab?

Ikoon Järeltegevuse viip: Kas Google SecOpsis on kureeritud tuvastamisi, mis aitavad tuvastada nende TTP-dega seotud tegevusi?

Ikoon Stsenaarium: Ohuanalüüsi analüütik õpib tundma uut tüüpi pahavara (“emotet”) ja jagab oma uurimistöö aruannet SOC-i meeskonnaga.

Ikoon Sample prompt: Millised on emoteti pahavaraga seotud kompromiteerimisnäitajad (IOC)?

Ikoon Järeltegevuse juhised:

  • Looge UDM-i otsingupäring, et otsida neid IOC-sid minu organisatsiooni logidest.
  • Looge tuvastamisreegel, mis annab mulle märku, kui mõnda neist IOC-dest tulevikus täheldatakse.

Ikoon Stsenaarium: Turvateadlane on tuvastanud oma keskkonnas hostid, mis suhtlevad teadaolevate käsu- ja juhtimisserveritega (C2), mis on seotud konkreetse ohuteguriga.

Ikoon Sample prompt: Genereerige päring, et kuvada mulle kõik väljaminevad võrguühendused IP-aadresside ja domeenidega, mis on seotud: [ohusaatetegija nimi].

Kasutades Gemini tõhusalt, saavad turvameeskonnad suurendada oma ohtude luurevõimet ja parandada üldist turvalisust. Need on vaid mõned endisedampkuidas Geminit saab turvatoimingute parandamiseks kasutada.
Tööriistaga lähemalt tutvudes leiate palju muid võimalusi, kuidas seda oma edasijõudnu jaoks kasutadatage. Lisateavet leiate Google SecOpsi tootedokumentatsioonist lehel.

Viipade kasutamine ohuluures

Kuigi Google Threat Intelligence'i saab kasutada sarnaselt traditsioonilise otsingumootoriga, kasutades ainult termineid, saavad kasutajad soovitud tulemusi saavutada ka konkreetsete viipade loomisega.
Gemini viipasid saab Threat Intelligence'is kasutada mitmel viisil, alates üldiste suundumuste otsimisest kuni konkreetsete ohtude ja pahavara osade mõistmiseni, sealhulgas:

  1. Ohu luureanalüüs
  2. Ennetav ohujaht
  3. Ohtnäitleja profileerimine
  4. Haavatavuse prioritiseerimine
  5. Rikastavad turvahoiatused
  6. MITER ATT&CK võimendamine

Ohutuure kasutamise juhtumid

Ohu luureanalüüs

Ohu luureanalüüs

Ikoon Stsenaarium: Ohuanalüüsi analüütik soovib äsja avastatud pahavaraperekonna kohta rohkem teada saada.

Ikoon Sample prompt: Mida teatakse pahavara Emotet kohta? Millised on selle võimalused ja kuidas see levib?

Ikoon Seotud viip: Millised on emoteti pahavaraga seotud kompromiteerimisnäitajad (IOC)?Ohu luureanalüüs

Ikoon Stsenaarium: Analüütik uurib uut lunavaragruppi ja soovib kiiresti mõista nende taktikat, tehnikaid ja protseduure (TTP).

Ikoon Sample prompt: Tehke kokkuvõte lunavararühma LockBit 3.0 teadaolevatest TTP-dest. Lisage teave nende esialgsete juurdepääsumeetodite, külgsuunas liikumise tehnikate ja eelistatud väljapressimistaktikate kohta.

Ikoon Seotud juhised:

  • Millised on LockBit 3.0-ga seotud kompromissi (IOC) levinumad näitajad?
  • Kas LockBit 3.0 rünnakute kohta on hiljuti olnud avalikke aruandeid või analüüse?

Ennetav ohujaht

Ennetav ohujaht

Ikoon Stsenaarium: Ohuanalüüsi analüütik soovib ennetavalt otsida märke konkreetse pahavaraperekonna kohta, mis teadaolevalt sihib nende tööstust.

Ikoon Sample prompt: Millised on levinumad kompromiteerimisnäitajad (IOC), mis on seotud pahavaraga "Trickbot"?

Ikoon Stsenaarium: Turvateadlane soovib tuvastada oma keskkonnas kõik hostid, mis suhtlevad konkreetse ohuteguriga seotud teadaolevate käsu- ja juhtimisserveritega (C2).

Ikoon Sample prompt: Milliseid teadaolevaid C2 IP-aadresse ja domeene ohutegur [nimi] kasutab?

Ohtnäitleja profileerimine

Ohunäitleja profileerimine

Ikoon Stsenaarium: Ohu luuremeeskond jälgib kahtlustatava APT grupi tegevust ja soovib välja töötada igakülgse professionaalifile.

Ikoon Sample prompt: Loo profffile ohunäitleja “APT29”. Lisage nende teadaolevad varjunimed, arvatav päritoluriik, motiivid, tüüpilised sihtmärgid ja eelistatud TTP-d.

Ikoon Seotud viip: Näita mulle APT29 kõige tähelepanuväärsemate rünnakute ajaskaala campaign ja ajaskaala.

Haavatavuse prioritiseerimine

Ikoon Stsenaarium: Haavatavuse haldusmeeskond soovib seada prioriteediks parandustööd, lähtudes ohumaastikust.

Ikoon Sample prompt: Milliseid Palo Alto Networksi turvaauke kasutavad ohus osalejad looduses aktiivselt ära?

Ikoon Seotud viip: Tehke kokkuvõte CVE-2024-3400 ja CVE-2024-0012 teadaolevatest ärakasutamistest.

Ikoon Stsenaarium: Turvameeskond on haavatavuse skannimise tulemustega üle koormatud ja soovib seada prioriteediks ohuteabe põhjal tehtavad parandustööd.

Ikoon Sample prompt: Milliseid järgmistest haavatavustest on hiljutistes ohuluurearuannetes mainitud: [loetlege tuvastatud haavatavused]?

Ikoon Seotud juhised:

  • Kas järgmiste haavatavuste jaoks on saadaval teadaolevaid ärakasutusi: [loetlege tuvastatud haavatavused]?
  • Milliseid järgmistest turvaaukudest ohus osalejad kõige tõenäolisemalt ära kasutavad: [loetlege tuvastatud haavatavused]? Seadistage need tähtsuse järjekorda nende tõsiduse, kasutatavuse ja meie valdkonna jaoks asjakohasuse alusel.

Rikastavad turvahoiatused

Ikoon Stsenaarium: Turvaanalüütik saab võõralt IP-aadressilt hoiatuse kahtlase sisselogimiskatse kohta.

Ikoon Sample prompt: Mida teatakse IP-aadressi [provide IP] kohta?

MITER ATT&CK võimendamine

Ikoon Stsenaarium: Turvameeskond soovib kasutada MITER ATT&CK raamistikku, et mõista, kuidas konkreetne ohus osaleja võib nende organisatsiooni sihtida.

Ikoon Sample prompt: Näidake mulle MITER ATT&CK tehnikaid, mis on seotud ohuteguriga APT38.

Gemini on võimas tööriist, mida saab kasutada turvaoperatsioonide ja ohuteabe parandamiseks. Järgides selles juhendis kirjeldatud parimaid tavasid, saate luua tõhusaid vihjeid, mis aitavad teil Kaksikutest maksimumi võtta.

Märkus. See juhend annab soovitusi Gemini kasutamiseks Google SecOpsis ja Gemini kasutamiseks ohuluures. See ei ole ammendav loetelu kõigist võimalikest kasutusjuhtudest ja Gemini konkreetsed võimalused võivad olenevalt teie tooteväljaandest erineda. Kõige värskema teabe saamiseks peaksite tutvuma ametliku dokumentatsiooniga.

Ikoon
Kaksikud
jaotises Turvatoimingud

Ikoon
Kaksikud
aastal Threat Intelligence

Dokumendid / Ressursid

Gemini Google Cloud APP [pdfKasutusjuhend
Google Cloud APP, Google, Cloud APP, APP

Viited

Seotud postitused

Jäta kommentaar

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on märgitud *