Прирачник за сопственик на апликацијата Gemini Google Cloud

Gemini е моќна алатка за вештачка интелигенција која може да се користи за да им помогне на безбедносните операции на Google и на корисниците на Google Threat Intelligence. Овој водич ќе ви ги обезбеди информациите што ви се потребни за да започнете со Близнаци и да креирате ефективни упатства.

Создавање потсетници со Близнаци

Кога креирате потсетник, ќе треба да му ги дадете на Близнаците следниве информации:

1. Типот на потсетник што сакате да го креирате, доколку е применливо (на пр
   „Креирај правило“)
2. Контекстот за промптот
3. Посакуваниот излез

Корисниците можат да креираат различни потсетници, вклучувајќи прашања, команди и резимеа.

Најдобри практики за креирање потсетници

Кога креирате потсетници, важно е да ги имате на ум следните најдобри практики:

Користете природен јазик: Пишувајте како да зборувате заповед и искажете ги целосните мисли во цели реченици.

Обезбедете контекст: Вклучете релевантни детали за да му помогнете на Близнаците да го разберат вашето барање, како што се временски рамки, специфични извори на дневници или кориснички информации. Колку повеќе контекст давате, толку порелевантни и покорисни ќе бидат резултатите.

Бидете конкретни и концизни: Јасно наведете ги информациите што ги барате или задачата што сакате да ја изврши Близнаците. Детали за целта, активирањето, дејството и условите.
За прampле, прашај го асистентот: „Дали е ова (file име, итн.) за кое се знае дека е злонамерно?“ и ако е познато дека е, можете да побарате да „Пребарај за ова (file) во мојата околина“.

Вклучете јасни цели: Започнете со јасна цел и наведете предизвикувачи кои ќе активираат одговор.

Искористете ги сите модалитети: Користете функционалност за пребарување во линија, помошник за разговор и генератор на книги за репродукција за вашите различни потреби.

Референтни интеграции (само за создавање книги за игри): Побарајте и наведете интеграции што веќе сте ги инсталирале и конфигурирале во вашата околина бидејќи се однесуваат на следните чекори во книгата за игри.

Повторување: Ако првичните резултати не се задоволителни, пречистете го вашето барање, обезбедете дополнителни информации и поставете дополнителни прашања за да ги водите Близнаците кон подобар одговор.

Вклучете услови за акција (само за креирање книги за игри): Можете да ја подобрите ефективноста на известувањето кога креирате книга за игри со барање дополнителни чекори како што е збогатување податоци.

Потврдете ја точноста: Запомнете дека Gemini е алатка за вештачка интелигенција и нејзините одговори секогаш треба да бидат потврдени според вашето знаење и други достапни извори.

Користење на потсетници во безбедносните операции

Близнаците може да се користат на различни начини во безбедносните операции, вклучувајќи пребарување во линија, помош за разговор и генерирање книги за игри. По добивањето резимеа на случаи генерирани од вештачка интелигенција, Gemini може да им помогне на практичарите со:

1. Откривање и истрага на закани
2. Прашања и одговори поврзани со безбедноста
3. Генерирање на Playbook
4. Резимирање на разузнавачки информации за закани

Безбедносните операции на Google (SecOps) се збогатени со разузнавачки информации од Mandiant, како и разузнавачки информации од VirusTotal, кои можат да им помогнат на безбедносните тимови:

Брзо пристапете и анализирајте разузнавачки информации за заканите: Поставувајте прашања на природен јазик за актери за закани, семејства на малициозен софтвер, ранливости и МОК.

Забрзување на лов и откривање закани: Генерирајте UDM барања за пребарување и правила за откривање врз основа на податоци за разузнавање за закани.

Дајте приоритет на безбедносните ризици: Разберете кои закани се најрелевантни за нивната организација и фокусирајте се на најкритичните ранливости.

Одговорете поефективно на безбедносни инциденти: Збогатете ги безбедносните предупредувања со контекст на разузнавачки информации за закани и добијте препораки за активности за санација.

Подобрете ја безбедносната свест: Создадете привлечни материјали за обука засновани на разузнавачки информации за закани од реалниот свет.

Користете футроли за безбедносни операции

Откривање и истрага на закани

Креирајте прашања, генерирајте правила, следете настани, истражувајте предупредувања, пребарувајте податоци (генерирајте UDM барања).

Сценарио: Аналитичарот за закани истражува ново предупредување и сака да знае дали има докази во околината за одредена команда што се користи за инфилтрирање во инфраструктурата со додавање во регистарот.

Sample prompt: Направете барање за да најдете какви било настани за модификација на регистарот на [име на домаќин] во изминатиот [временски период].

Промоција за следење: Создадете правило што ќе помогне да се открие тоа однесување во иднина.

Сценарио: На аналитичарот му е кажано дека практикант правел сомнителни „работи“ и сакал подобро да разбере што се случува.

Sample prompt: Покажи ми настани за мрежна конекција за корисникот почнувајќи со tim. smith (нечувствителни на букви) во изминатите 3 дена.

Промоција за следење: Создадете правило YARA-L за откривање за оваа активност во иднина.

Сценарио: Безбедносен аналитичар добива предупредување за сомнителна активност на корисничка сметка.

Sample prompt: Покажи ми блокирани настани за најавување на корисникот со код за настан од 4625 каде што src.
името на домаќинот не е нула.

Промоција за следење: Колку корисници се вклучени во сетот на резултати?

Прашања и одговори поврзани со безбедноста

Сценарио: Безбедносен аналитичар влегува на ново работно место и забележува дека Близнаците сумирале случај со препорачани чекори за истрага и одговор. Тие сакаат да дознаат повеќе за малициозниот софтвер идентификуван во резимето на случајот.

Sample prompt: Што е [име на малициозен софтвер]?

Промоција за следење: Како опстојува [име на малициозен софтвер]?

Сценарио: Безбедносен аналитичар добива предупредување за потенцијално злонамерен file хаш.

Sample prompt: Дали е ова file хаш [внеси хаш] се знае дека е злонамерен?

Промоција за следење: Кои други информации се достапни за ова file?

Сценарио: Инцидентот треба да го идентификува изворот на злонамерниот file.

Sample prompt: Што е file хаш на извршната датотека „[malware.exe]“?

Следни предупредувања:

• Збогатете се со разузнавачки информации за закани од VirusTotal за информации за ова file хаш; дали е познато дека е злонамерно?
• Дали овој хаш е забележан во мојата околина?
• Кои се препорачаните дејства за задржување и санација за овој малициозен софтвер?

Генерирање на Playbook

Преземете акција и изградете книги за игри.

Сценарио: Безбедносен инженер сака да го автоматизира процесот на одговарање на е-пошта за фишинг.

Sample prompt: Создадете книга за игри што се активира кога ќе се прими е-пошта од познат испраќач на фишинг. Книгата за игри треба да ја стави во карантин е-поштата и да го извести безбедносниот тим.

Сценарио: Член на тимот на СПЦ сака автоматски да стави во карантин злонамерен files.

Sample prompt: Напишете книга за предупредувања за малициозен софтвер. Играчката треба да го земе file хаширај од предупредувањето и збогати го со интелигенција од VirusTotal. Ако на file хашот е злонамерен, ставете го во карантин file.

Сценарио: Аналитичарот за закани сака да создаде нова книга за игри што може да помогне да се одговори на идните предупредувања поврзани со промените на клучот во регистарот.

Sample prompt: Изградете книга за игри за предупредувањата за промени на клучот во регистарот. Сакам таа книга за игри збогатена со сите типови ентитети, вклучително и VirusTotal и Mandiant закана од првите редови. Ако се открие нешто сомнително, креирајте случај tags а потоа соодветно да се даде приоритет на случајот.

Резимирање на разузнавачки информации за закани

Добијте увид за заканите и заканите.

Сценарио: Менаџерот за безбедносни операции сака да ги разбере шемите на напад на специфичен актер за закана.

Sample prompt: Кои се познатите тактики, техники и процедури (TTP) што ги користи APT29?

Промоција за следење: Дали има курирани откривања во Google SecOps што можат да помогнат да се идентификува активноста поврзана со овие TTP?

Сценарио: Разузнавачки аналитичар за закани дознава за нов вид на малициозен софтвер („emotet“) и споделува извештај од нивното истражување со тимот на SOC.

Sample prompt: Кои се показателите за компромис (IOC) поврзани со малициозен софтвер емотет?

Следни предупредувања:

• Генерирајте барање за пребарување UDM за да ги побарате овие МОК во дневниците на мојата организација.
• Создадете правило за откривање што ќе ме предупреди ако некој од овие МОК се почитува во иднина.

Сценарио: Истражувач за безбедност ги идентификуваше домаќините во нивната околина кои комуницираат со познати сервери за команда и контрола (C2) поврзани со одредена закана.

Sample prompt: Генерирајте барање за да ми ги прикажете сите излезни мрежни врски со IP адреси и домени поврзани со: [име на актерот за закана].

Со ефективно користење на Близнаци, безбедносните тимови можат да ги подобрат своите можности за разузнавање за закани и да ја подобрат нивната севкупна безбедносна положба. Ова се само неколку бившиampинформации за тоа како Близнаците може да се користат за подобрување на безбедносните операции.
Како што се повеќе се запознавате со алатката, ќе најдете многу други начини да ја користите за вашиот адванtagд. Дополнителни детали може да се најдат во документацијата за производот на Google SecOps страница.

Користење на потсетници во разузнавањето за закани

Додека Google Threat Intelligence може да се користи слично како и традиционалниот пребарувач само со термини, корисниците исто така можат да ги постигнат предвидените резултати со креирање специфични потсетници.
Информациите за Близнаци може да се користат на различни начини во разузнавањето за закани, од пребарување на широки трендови, до разбирање конкретни закани и делови од малициозен софтвер, вклучувајќи:

1. Разузнавачка анализа на закани
2. Проактивен лов на закани
3. Профилирање на актерот за закана
4. Приоритизација на ранливоста
5. Збогатување на безбедносните предупредувања
6. Искористување на MITER ATT&CK

Користете случаи за разузнавање за закани

Разузнавачка анализа на закани

Сценарио: Аналитичар за разузнавање за закани сака да дознае повеќе за новооткриеното семејство на малициозен софтвер.

Sample prompt: Што се знае за малициозниот софтвер „Emotet“? Кои се неговите способности и како се шири?

Поврзано известување: Кои се показателите за компромис (IOC) поврзани со малициозен софтвер емотет?

Сценарио: Аналитичарот истражува нова група за откупни софтвери и сака брзо да ги разбере нивните тактики, техники и процедури (TTP).

Sample prompt: Сумирајте ги познатите TTP на групата за откупни софтвер „LockBit 3.0“. Вклучете информации за нивните почетни методи на пристап, техники на странично движење и претпочитани тактики за изнуда.

Поврзани инструкции:

• Кои се вообичаените индикатори за компромис (IOC) поврзани со LockBit 3.0?
• Дали имало неодамнешни јавни извештаи или анализи за нападите на LockBit 3.0?

Проактивен лов на закани

Сценарио: Разузнавачки аналитичар за закани сака проактивно да бара знаци на специфично семејство на малициозен софтвер познато дека ја таргетира нивната индустрија.

Sample prompt: Кои се вообичаените индикатори за компромис (IOC) поврзани со малициозен софтвер „Trickbot“?

Сценарио: Истражувач за безбедност сака да ги идентификува сите хостови во нивната околина кои комуницираат со познати сервери за команда и контрола (C2) поврзани со одредена закана.

Sample prompt: Кои се познатите C2 IP адреси и домени што ги користи актерот за закана „[Име]“?

Профилирање на актерот за закана

Сценарио: Тим за разузнавање за закани ги следи активностите на осомничената група APT и сака да развие сеопфатен професионалецfile.

Sample prompt: Создадете професионалецfile на актерот за закана „APT29“. Вклучете ги нивните познати псевдоними, сомнителна земја на потекло, мотивации, типични цели и претпочитани ТТП.

Поврзано известување: Покажете ми временска рамка за најзначајните напади на APT29 вampпоставете и временска рамка.

Приоритизација на ранливоста

Сценарио: Тимот за управување со ранливост сака да им даде приоритет на напорите за санација врз основа на пејзажот на заканата.

Sample prompt: Кои ранливости на Palo Alto Networks се активно искористени од заканите во дивината?

Поврзано известување: Сумирајте ги познатите експлоатирања за CVE-2024-3400 и CVE-2024-0012.

Сценарио: Тимот за безбедност е преоптоварен со резултатите од скенирањето на ранливоста и сака да им даде приоритет на напорите за санација врз основа на разузнавачките информации за заканите.

Sample prompt: Која од следниве ранливости се споменати во неодамнешните извештаи за разузнавањето за закани: [наведете ги идентификуваните пропусти]?

Поврзани инструкции:

• Дали има некои познати експлоатирања достапни за следните пропусти: [наведете ги идентификуваните пропусти]?
• Која од следните пропусти најверојатно ќе биде искористена од заканите: [наведете ги идентификуваните пропусти]? Дајте им приоритет врз основа на нивната сериозност, искористливост и релевантност за нашата индустрија.

Збогатување на безбедносните предупредувања

Сценарио: Безбедносен аналитичар добива предупредување за сомнителен обид за најава од непозната IP адреса.

Sample prompt: Што се знае за IP адресата [обезбеди IP]?

Искористување на MITER ATT&CK

Сценарио: Безбедносен тим сака да ја користи рамката MITER ATT&CK за да разбере како конкретна закана може да ја таргетира нивната организација.

Sample prompt: Покажете ми ги техниките на MITER ATT&CK поврзани со актерот за закана APT38.

Близнаците се моќна алатка која може да се користи за подобрување на безбедносните операции и разузнавањето за закани. Следејќи ги најдобрите практики наведени во овој водич, можете да креирате ефективни предупредувања кои ќе ви помогнат да го извлечете максимумот од Близнаците.

Забелешка: Овој водич дава предлози за користење на Gemini во Google SecOps и Gemini во разузнавањето за закани. Тоа не е исцрпна листа на сите можни случаи на употреба, а специфичните можности на Gemini може да варираат во зависност од изданието на вашиот производ. Треба да се консултирате со официјалната документација за најсовремени информации.

Близнаци
во безбедносните операции

Близнаци
во разузнавањето за закани

Документи / ресурси

Gemini Google Cloud APP [pdf] Упатство за сопственикот Google Cloud APP, Google, Cloud APP, APP

Референци

• Упатство за употреба