Гемини Гоогле Цлоуд АПП упутство за употребу

Гемини Гоогле Цлоуд АПП упутство за употребу

Гемини је моћна АИ алатка која се може користити за помоћ корисницима Гоогле безбедносних операција и Гоогле обавештајних података о претњи. Овај водич ће вам пружити информације које су вам потребне да бисте започели са Близанцима и креирали ефикасне упите.

Креирање упита са Близанцима

Када креирате упит, Близанцима ћете морати да дате следеће информације:

1. Тип упита који желите да креирате, ако је применљиво (нпр
   „Креирај правило“)
2. Контекст за промпт
3. Жељени излаз

Корисници могу креирати различите упите, укључујући питања, команде и сажетке.

Најбоље праксе за креирање упита

Када креирате упите, важно је да имате на уму следеће најбоље праксе:

Користите природни језик: Пишите као да изговарате наредбу и изразите потпуне мисли пуним реченицама.

Наведите контекст: Укључите релевантне детаље како бисте помогли Близанцима да разумеју ваш захтев, као што су временски оквири, одређени извори евиденције или информације о кориснику. Што више контекста пружите, резултати ће бити релевантнији и кориснији.

Будите конкретни и концизни: Јасно наведите информације које тражите или задатак који желите да Близанци обаве. Детаљно опишите сврху, покретач, радњу и услове.
Фор екampле, питај асистента: „Да ли је ово (file име, итд.) познато као злонамерно?“ и ако је познато да јесте, можете питати „Тражи ово (file) у мом окружењу.”

Укључите јасне циљеве: Почните са јасним циљем и одредите покретаче који ће активирати одговор.

Искористите све модалитете: Користите функцију претраживања у линији, помоћника за ћаскање и генератора свезака за различите потребе.

Референтне интеграције (само за прављење свезака): Затражите и наведите интеграције које сте већ инсталирали и конфигурисали у свом окружењу како се односе на следеће кораке у приручнику.

поновити: Ако почетни резултати нису задовољавајући, прецизирајте свој упит, пружите додатне информације и поставите додатна питања како бисте Близанца упутили ка бољем одговору.

Укључите услове за акцију (само за прављење свеске): Можете да побољшате ефикасност упита када креирате свеску тако што ћете захтевати додатне кораке као што је обогаћивање података.

Проверите тачност: Запамтите да је Гемини алатка вештачке интелигенције и да њене одговоре увек треба потврдити на основу вашег знања и других доступних извора.

Коришћење упита у безбедносним операцијама

Близанци се могу користити на различите начине у безбедносним операцијама, укључујући претрагу на линији, помоћ у ћаскању и генерисање приручника. Након што добије резиме случајева генерисаних од вештачке интелигенције, Гемини може помоћи практичарима у:

1. Откривање и истрага претњи
2. Питања и одговори везани за безбедност
3. Генерација Плаибоок
4. Сажетак обавештајних података о претњи

Гоогле безбедносне операције (СецОпс) је обогаћен обавештајним подацима из прве руке компаније Мандиант и обавештајним подацима из групе ВирусТотал који могу помоћи безбедносним тимовима:

Брзо приступите и анализирајте обавештајне податке о претњама: Постављајте питања на природном језику о актерима претњи, породицама малвера, рањивостима и МОК-овима.

Убрзајте лов на претње и откривање: Генеришите УДМ упите за претрагу и правила детекције на основу података обавештајних података о претњама.

Дајте приоритет безбедносним ризицима: Схватите које су претње најрелевантније за њихову организацију и усредсредите се на најкритичније рањивости.

Ефикасније реагујте на безбедносне инциденте: Обогатите безбедносна упозорења контекстом обавештајних података о претњама и добијте препоруке за акције санације.

Побољшајте свест о безбедности: Креирајте занимљиве материјале за обуку засноване на обавештајним подацима о претњама у стварном свету.

Случајеви коришћења за безбедносне операције

Откривање и истрага претњи

Креирајте упите, генеришите правила, надгледајте догађаје, истражујте упозорења, претражујте податке (генеришите УДМ упите).

Сценарио: Аналитичар претњи истражује ново упозорење и жели да зна да ли постоје докази у окружењу одређене команде која се користи за инфилтрирање у инфраструктуру додавањем у регистар.

Sampле промпт: Направите упит да бисте пронашли све догађаје измене регистра на [име хоста] у протеклом [временском периоду].

Упозорење за праћење: Генеришите правило које ће вам помоћи да откријете то понашање у будућности.

Сценарио: Аналитичару је речено да је приправник радио сумњиве „ствари“ и да је желео да боље разуме шта се дешава.

Sampле промпт: Покажи ми догађаје мрежне везе за кориснички ИД који почиње са тим. смитх (не разликује велика и мала слова) у последња 3 дана.

Упозорење за праћење: Генеришите ИАРА-Л правило за откривање ове активности у будућности.

Сценарио: Безбедносни аналитичар добија упозорење о сумњивој активности на корисничком налогу.

Sampле промпт: Покажи ми блокиране догађаје за пријаву корисника са кодом догађаја 4625 где је срц.
име хоста није нулл.

Упозорење за праћење: Колико корисника је укључено у скуп резултата?

Питања и одговори везани за безбедност

Сценарио: Безбедносни аналитичар се укрштава на нови посао и примећује да је Близанци сажео случај са препорученим корацима за истрагу и реаговање. Желе да сазнају више о малверу идентификованом у резимеу случаја.

Sampле промпт: Шта је [име злонамерног софтвера]?

Упозорење за праћење: Како [назив малвера] опстаје?

Сценарио: Безбедносни аналитичар добија упозорење о потенцијално злонамерном file хасх.

Sampле промпт: Да ли је ово file хеш [убаци хеш] за кога се зна да је злонамеран?

Упозорење за праћење: Које су друге информације доступне о овоме file?

Сценарио: Особа која реагује на инцидент треба да идентификује извор злонамерног file.

Sampле промпт: Шта је file хеш извршног „[малваре.еке]“?

Упутства за праћење:

• Обогатите обавештајним подацима о претњама из ВирусТотал-а за информације о овоме file хасх; да ли је познато да је злонамерно?
• Да ли је овај хеш примећен у мом окружењу?
• Које су препоручене мере сузбијања и санације овог малвера?

Генерација Плаибоок

Предузмите акцију и направите свеске.

Сценарио: Безбедносни инжењер жели да аутоматизује процес одговарања на пхисхинг мејлове.

Sampле промпт: Направите свеску која се покреће када се прими порука е-поште од познатог пошиљаоца „пецања“. Приручник треба да стави у карантин имејл и обавести безбедносни тим.

Сценарио: Члан тима СПЦ жели аутоматски да стави у карантин злонамерне files.

Sampле промпт: Напишите приручник за упозорења о малверу. Свеска би требало да преузме file хеш из упозорења и обогати га обавештајним подацима из ВирусТотал-а. Ако је file хеш је злонамеран, стави у карантин file.

Сценарио: Аналитичар претњи жели да креира нови приручник који може помоћи у одговору на будућа упозорења у вези са променама кључева регистратора.

Sampле промпт: Направите приручник за та упозорења о променама кључева регистратора. Желим да тај приручник обогаћен свим типовима ентитета укључујући ВирусТотал и Мандиант обавештајне податке о претњи. Ако се открије нешто сумњиво, креирајте случај tags а затим у складу са тим одредити приоритет случаја.

Сажетак обавештајних података о претњи

Стекните увид у претње и актере претњи.

Сценарио: Менаџер безбедносних операција жели да разуме обрасце напада одређеног актера претњи.

Sampле промпт: Које су познате тактике, технике и процедуре (ТТП) које користи АПТ29?

Упозорење за праћење: Да ли у Гоогле СецОпс-у постоје одабране детекције које могу помоћи да се идентификују активности повезане са овим ТТП-овима?

Сценарио: Аналитичар обавештајних података о претњама сазнаје за нову врсту малвера („емотет“) и дели извештај о свом истраживању са СОЦ тимом.

Sampле промпт: Који су показатељи компромиса (ИОЦ) повезани са малвером емотет?

Упутства за праћење:

• Генеришите УДМ упит за претрагу да бисте потражили ове МОК у евиденцијама моје организације.
• Направите правило детекције које ће ме упозорити ако се било који од ових МОК-а примети у будућности.

Сценарио: Истраживач безбедности је идентификовао хостове у свом окружењу који комуницирају са познатим серверима за команду и контролу (Ц2) повезаним са одређеним актером претње.

Sampле промпт: Генериши упит да ми покаже све излазне мрежне везе са ИП адресама и доменима повезаним са: [име актера претње].

Ефикасним коришћењем Гемини-а, безбедносни тимови могу да унапреде своје способности обавештавања о претњама и побољшају свој укупни безбедносни положај. Ово је само неколико бившихampо томе како се Близанци могу користити за побољшање безбедносних операција.
Како се боље упознате са алатом, наћи ћете много других начина да га користите на свој начинtagе. Додатне детаље можете пронаћи у документацији Гоогле СецОпс производа страница.

Коришћење обавештења о претњама

Док се Гоогле Тхреат Интеллигенце може користити слично традиционалном претраживачу само са терминима, корисници такође могу постићи жељене резултате креирањем специфичних упита.
Гемини упити се могу користити на различите начине у обавештајној служби о претњама, од тражења широких трендова до разумевања специфичних претњи и делова малвера, укључујући:

1. Анализа обавештајних података о претњи
2. Проактивни лов на претње
3. Профилисање актера претње
4. Одређивање приоритета рањивости
5. Обогаћивање безбедносних упозорења
6. Коришћење МИТЕР АТТ&ЦК

Случајеви коришћења за обавештавање претњи

Анализа обавештајних података о претњи

Сценарио: Аналитичар обавештајних података о претњама жели да сазна више о новооткривеној породици малвера.

Sampле промпт: Шта се зна о малверу „Емотет“? Које су његове могућности и како се шири?

Повезани упит: Који су показатељи компромиса (ИОЦ) повезани са малвером емотет?

Сценарио: Аналитичар истражује нову групу рансомваре-а и жели брзо да разуме њихове тактике, технике и процедуре (ТТП).

Sampле промпт: Сумирајте познате ТТП-ове групе рансомваре-а „ЛоцкБит 3.0“. Укључите информације о њиховим почетним методама приступа, техникама бочног кретања и преферираним тактикама изнуђивања.

Повезана упутства:

• Који су уобичајени показатељи компромиса (ИОЦ) повезани са ЛоцкБит-ом 3.0?
• Да ли је било недавних јавних извештаја или анализа ЛоцкБит 3.0 напада?

Проактивни лов на претње

Сценарио: Аналитичар обавештајних података о претњама жели да проактивно тражи знакове одређене породице малвера за које је познато да циљају њихову индустрију.

Sampле промпт: Који су уобичајени показатељи компромиса (ИОЦ) повезани са малвером „Трицкбот“?

Сценарио: Истраживач безбедности жели да идентификује све хостове у свом окружењу који комуницирају са познатим серверима за команду и контролу (Ц2) повезаним са одређеним актером претње.

Sampле промпт: Које су познате Ц2 ИП адресе и домени које користи актер претње „[Име]“?

Профилисање актера претње

Сценарио: Тим за обавештавање претњи прати активности осумњичене АПТ групе и жели да развије свеобухватну проfile.

Sampле промпт: Генеришите професионалцаfile актера претње „АПТ29“. Укључите њихове познате псеудониме, сумњиву земљу порекла, мотивацију, типичне мете и префериране ТТП-ове.

Повезани упит: Покажи ми временску линију најистакнутијих напада АПТ29 цampаигн и временска линија.

Одређивање приоритета рањивости

Сценарио: Тим за управљање рањивостима жели да да приоритет напоре за санацију на основу окружења претњи.

Sampле промпт: Које рањивости Пало Алто Нетворкс активно искоришћавају актери претњи у дивљини?

Повезани упит: Сумирајте познате експлоатације за ЦВЕ-2024-3400 и ЦВЕ-2024-0012.

Сценарио: Безбедносни тим је затрпан резултатима скенирања рањивости и жели да да приоритет напорима за санацију на основу обавештајних података о претњама.

Sampле промпт: Које од следећих рањивости су поменуте у недавним извештајима обавештајних података о претњама: [листа идентификованих рањивости]?

Повезана упутства:

• Да ли су доступни неки познати експлоати за следеће рањивости: [листа идентификованих рањивости]?
• Коју од следећих рањивости ће највероватније искористити актери претњи: [наведите идентификоване рањивости]? Дајте им приоритет на основу њихове озбиљности, могућности искоришћавања и релевантности за нашу индустрију.

Обогаћивање безбедносних упозорења

Сценарио: Безбедносни аналитичар добија упозорење о сумњивом покушају пријављивања са непознате ИП адресе.

Sampле промпт: Шта је познато о ИП адреси [наведите ИП]?

Коришћење МИТЕР АТТ&ЦК

Сценарио: Безбедносни тим жели да користи оквир МИТЕР АТТ&ЦК да би разумео како би одређени актер претње могао да циља њихову организацију.

Sampле промпт: Покажите ми технике МИТЕР АТТ&ЦК повезане са актером претње АПТ38.

Гемини је моћан алат који се може користити за побољшање безбедносних операција и обавештајних података о претњама. Пратећи најбоље праксе наведене у овом водичу, можете креирати ефикасна упутства која ће вам помоћи да извучете максимум из Близанаца.

Напомена: Овај водич пружа предлоге за коришћење Гемини-а у Гоогле СецОпс-у и Гемини-а у обавештајним подацима о претњи. Ово није потпуна листа свих могућих случајева употребе, а специфичне могућности Геминија могу се разликовати у зависности од издања вашег производа. Требало би да консултујете званичну документацију за најажурније информације.

Близанци
у безбедносним операцијама

Близанци
у обавештајној служби о претњи