Manuel d'utilisation de l'application Gemini Google Cloud

Gemini est un puissant outil d'IA qui peut être utilisé pour aider les utilisateurs de Google Security Operations et de Google Threat Intelligence. Ce guide vous fournira les informations dont vous avez besoin pour démarrer avec Gemini et créer des invites efficaces.

Créer des invites avec Gemini

Lors de la création d'une invite, vous devrez fournir à Gemini les informations suivantes :

1. Le type d'invite que vous souhaitez créer, le cas échéant (par exemple
   « Créer une règle »)
2. Le contexte de l'invite
3. Le résultat souhaité

Les utilisateurs peuvent créer une variété d’invites, notamment des questions, des commandes et des résumés.

Bonnes pratiques pour créer des invites

Lors de la création d'invites, il est important de garder à l'esprit les bonnes pratiques suivantes :

Utiliser le langage naturel : Écrivez comme si vous prononciez un ordre et exprimez vos pensées complètes dans des phrases complètes.

Fournir un contexte : Incluez des détails pertinents pour aider Gemini à comprendre votre demande, tels que des délais, des sources de journaux spécifiques ou des informations sur l'utilisateur. Plus vous fournissez de contexte, plus les résultats seront pertinents et utiles.

Soyez précis et concis : Indiquez clairement les informations que vous recherchez ou la tâche que vous souhaitez que Gemini accomplisse. Détaillez le but, le déclencheur, l'action et la ou les conditions.
Par exempleample, demande à l'assistant : "Est-ce (file nom, etc.) connu pour être malveillant ? » et si c'est connu, vous pouvez demander à « Rechercher ce (file) dans mon environnement.

Inclure des objectifs clairs : Commencez par un objectif clair et spécifiez les déclencheurs qui activeront une réponse.

Tirer parti de toutes les modalités : Utilisez la fonctionnalité de recherche en ligne, l'assistant de chat et le générateur de playbook pour vos différents besoins.

Intégrations de référence (pour la création de playbook uniquement) : Demandez et spécifiez les intégrations que vous avez déjà installées et configurées dans votre environnement en fonction des étapes suivantes du playbook.

Répéter: Si les résultats initiaux ne sont pas satisfaisants, affinez votre invite, fournissez des informations supplémentaires et posez des questions de suivi pour guider Gemini vers une meilleure réponse.

Inclure les conditions d’action (pour la création d’un playbook uniquement) : Vous pouvez améliorer l'efficacité de l'invite lors de la création d'un playbook en demandant des étapes supplémentaires telles que l'enrichissement des données.

Vérifier l'exactitude : N'oubliez pas que Gemini est un outil d'IA et que ses réponses doivent toujours être validées par rapport à vos propres connaissances et à d'autres sources disponibles.

Utilisation des invites dans les opérations de sécurité

Gemini peut être utilisé de diverses manières dans les opérations de sécurité, notamment pour la recherche en ligne, l'assistance par chat et la génération de manuels. Après avoir reçu des résumés de cas générés par l'IA, Gemini peut aider les praticiens avec :

1. Détection et enquête sur les menaces
2. Questions et réponses liées à la sécurité
3. Génération de manuels de jeu
4. Résumé des renseignements sur les menaces

Google Security Operations (SecOps) s'enrichit des renseignements de première ligne de Mandiant et des renseignements participatifs de VirusTotal qui peuvent aider les équipes de sécurité :

Accédez rapidement aux renseignements sur les menaces et analysez-les : Posez des questions en langage naturel sur les acteurs de la menace, les familles de logiciels malveillants, les vulnérabilités et les IOC.

Accélérez la recherche et la détection des menaces : Générez des requêtes de recherche UDM et des règles de détection basées sur des données de renseignement sur les menaces.

Prioriser les risques de sécurité : Comprendre quelles menaces sont les plus pertinentes pour votre organisation et se concentrer sur les vulnérabilités les plus critiques.

Répondez plus efficacement aux incidents de sécurité : Enrichissez les alertes de sécurité avec le contexte des renseignements sur les menaces et obtenez des recommandations pour les mesures correctives.

Améliorer la sensibilisation à la sécurité : Créez des supports de formation attrayants basés sur des informations sur les menaces du monde réel.

Cas d'utilisation pour les opérations de sécurité

Détection et enquête sur les menaces

Créer des requêtes, générer des règles, surveiller les événements, étudier les alertes, rechercher des données (générer des requêtes UDM).

Scénario: Un analyste des menaces enquête sur une nouvelle alerte et souhaite savoir s'il existe des preuves dans l'environnement d'une commande particulière utilisée pour infiltrer l'infrastructure en s'ajoutant au registre.

Sampl'invite : Créez une requête pour rechercher tous les événements de modification de registre sur [nom d'hôte] au cours des [périodes] passées.

Demande de suivi : Générez une règle pour aider à détecter ce comportement à l’avenir.

Scénario: On dit à un analyste qu’un stagiaire faisait des « choses » suspectes et il souhaite mieux comprendre ce qui se passe.

Sampl'invite : Affichez-moi les événements de connexion réseau pour l'ID utilisateur commençant par tim. smith (insensible à la casse) au cours des 3 derniers jours.

Demande de suivi : Générez une règle YARA-L pour détecter cette activité à l’avenir.

Scénario: Un analyste de sécurité reçoit une alerte concernant une activité suspecte sur un compte utilisateur.

Sampl'invite : Affichez-moi les événements de connexion utilisateur bloqués avec un code d'événement de 4625 où src.
le nom d'hôte n'est pas nul.

Demande de suivi : Combien d'utilisateurs sont inclus dans l'ensemble de résultats ?

Questions et réponses liées à la sécurité

Scénario: Un analyste de sécurité est en train de prendre ses nouvelles fonctions et remarque que Gemini a résumé un cas avec des recommandations d'étapes d'enquête et de réponse. Il souhaite en savoir plus sur le logiciel malveillant identifié dans le résumé du cas.

Sampl'invite : Qu'est-ce que [nom du malware] ?

Demande de suivi : Comment [nom du malware] persiste-t-il ?

Scénario: Un analyste de sécurité reçoit une alerte concernant un fichier potentiellement malveillant file hacher.

Sampl'invite : Est-ce file hash [insérer le hachage] connu pour être malveillant ?

Demande de suivi : Quelles autres informations sont disponibles à ce sujet file?

Scénario: Un intervenant en cas d'incident doit identifier la source d'un acte malveillant. file.

Sampl'invite : Qu'est-ce que le file hachage de l'exécutable « [malware.exe] » ?

Questions de suivi :

• Enrichissez votre recherche avec les renseignements sur les menaces de VirusTotal pour obtenir des informations à ce sujet file hachage ; est-il connu pour être malveillant ?
• Ce hachage a-t-il été observé dans mon environnement ?
• Quelles sont les actions de confinement et de correction recommandées pour ce malware ?

Génération de manuels de jeu

Agissez et élaborez des manuels de jeu.

Scénario: Un ingénieur en sécurité souhaite automatiser le processus de réponse aux e-mails de phishing.

Sampl'invite : Créez un manuel qui se déclenche lorsqu'un e-mail est reçu d'un expéditeur de phishing connu. Le manuel doit mettre l'e-mail en quarantaine et avertir l'équipe de sécurité.

Scénario: Un membre de l'équipe SOC souhaite mettre automatiquement en quarantaine les logiciels malveillants files.

Sampl'invite : Rédigez un manuel de jeu pour les alertes de logiciels malveillants. Le manuel doit prendre en compte file hachage de l'alerte et l'enrichir avec les renseignements de VirusTotal. Si le file le hachage est malveillant, mettez-le en quarantaine file.

Scénario: Un analyste des menaces souhaite créer un nouveau playbook qui peut aider à répondre aux futures alertes liées aux modifications de clés de registre.

Sampl'invite : Créez un manuel de jeu pour ces alertes de modification de clé de registre. Je souhaite que ce manuel soit enrichi de tous les types d'entités, y compris VirusTotal et Mandiant Threat Frontline Intelligence. Si quelque chose de suspect est identifié, créez un dossier tags et ensuite hiérarchiser le cas en conséquence.

Résumé des renseignements sur les menaces

Obtenez des informations sur les menaces et les acteurs de la menace.

Scénario: Un responsable des opérations de sécurité souhaite comprendre les modèles d’attaque d’un acteur de menace spécifique.

Sampl'invite : Quelles sont les tactiques, techniques et procédures (TTP) connues utilisées par APT29 ?

Demande de suivi : Existe-t-il des détections organisées dans Google SecOps qui peuvent aider à identifier l’activité associée à ces TTP ?

Scénario: Un analyste du renseignement sur les menaces découvre un nouveau type de malware (« emotet ») et partage un rapport de ses recherches avec l'équipe SOC.

Sampl'invite : Quels sont les indicateurs de compromission (IOC) associés au malware emotet ?

Questions de suivi :

• Générer une requête de recherche UDM pour rechercher ces IOC dans les journaux de mon organisation.
• Créez une règle de détection qui m’alertera si l’un de ces IOC est observé à l’avenir.

Scénario: Un chercheur en sécurité a identifié des hôtes dans son environnement communiquant avec des serveurs de commande et de contrôle (C2) connus associés à un acteur de menace particulier.

Sampl'invite : Générer une requête pour m'afficher toutes les connexions réseau sortantes vers les adresses IP et les domaines associés à : [nom de l'acteur de la menace].

En utilisant Gemini de manière efficace, les équipes de sécurité peuvent améliorer leurs capacités de renseignement sur les menaces et améliorer leur posture de sécurité globale. Ce ne sont là que quelques exemplesamples moyens par lesquels Gemini peut être utilisé pour améliorer les opérations de sécurité.
Au fur et à mesure que vous vous familiariserez avec l'outil, vous découvrirez de nombreuses autres façons de l'utiliser à votre avantage.tage. Des informations supplémentaires peuvent être trouvées dans la documentation du produit Google SecOps page.

Utilisation des invites dans Threat Intelligence

Bien que Google Threat Intelligence puisse être utilisé de la même manière qu'un moteur de recherche traditionnel avec des termes seuls, les utilisateurs peuvent également obtenir les résultats souhaités en créant des invites spécifiques.
Les invites Gemini peuvent être utilisées de diverses manières dans Threat Intelligence, de la recherche de tendances générales à la compréhension de menaces et de programmes malveillants spécifiques, notamment :

1. Analyse des renseignements sur les menaces
2. Chasse proactive aux menaces
3. Profilage des acteurs de la menace
4. Priorisation des vulnérabilités
5. Enrichir les alertes de sécurité
6. Tirer parti de MITRE ATT&CK

Cas d'utilisation de Threat Intelligence

Analyse des renseignements sur les menaces

Scénario: Un analyste du renseignement sur les menaces souhaite en savoir plus sur une famille de logiciels malveillants récemment découverte.

Sampl'invite : Que sait-on du malware « Emotet » ? Quelles sont ses capacités et comment se propage-t-il ?

Invite connexe : Quels sont les indicateurs de compromission (IOC) associés au malware emotet ?

Scénario: Un analyste enquête sur un nouveau groupe de ransomware et souhaite comprendre rapidement ses tactiques, techniques et procédures (TTP).

Sampl'invite : Résumez les TTP connus du groupe de ransomware « LockBit 3.0 ». Incluez des informations sur leurs méthodes d’accès initiales, leurs techniques de déplacement latéral et leurs tactiques d’extorsion préférées.

Questions connexes :

• Quels sont les indicateurs de compromission (IOC) courants associés à LockBit 3.0 ?
• Y a-t-il eu des rapports publics ou des analyses récents sur les attaques LockBit 3.0 ?

Chasse proactive aux menaces

Scénario: Un analyste de renseignement sur les menaces souhaite rechercher de manière proactive des signes d’une famille de logiciels malveillants spécifique connue pour cibler son secteur.

Sampl'invite : Quels sont les indicateurs de compromission courants (IOC) associés au malware « Trickbot » ?

Scénario: Un chercheur en sécurité souhaite identifier tous les hôtes de son environnement communiquant avec des serveurs de commande et de contrôle (C2) connus associés à un acteur de menace particulier.

Sampl'invite : Quelles sont les adresses IP et les domaines C2 connus utilisés par l'acteur malveillant « [Nom] » ?

Profilage des acteurs de la menace

Scénario: Une équipe de renseignement sur les menaces suit les activités d'un groupe suspecté d'APT et souhaite développer une stratégie complète.file.

Sampl'invite : Générer un profile de l'acteur de la menace « APT29 ». Inclure leurs pseudonymes connus, leur pays d'origine présumé, leurs motivations, leurs cibles types et leurs TTP préférés.

Invite connexe : Montrez-moi une chronologie des attaques les plus notables d'APT29 campaign et chronologie.

Priorisation des vulnérabilités

Scénario: Une équipe de gestion des vulnérabilités souhaite hiérarchiser les efforts de correction en fonction du paysage des menaces.

Sampl'invite : Quelles vulnérabilités de Palo Alto Networks sont activement exploitées par les acteurs malveillants dans la nature ?

Invite connexe : Résumez les exploits connus pour CVE-2024-3400 et CVE-2024-0012.

Scénario: Une équipe de sécurité est submergée par les résultats de l’analyse des vulnérabilités et souhaite hiérarchiser les efforts de correction en fonction des renseignements sur les menaces.

Sampl'invite : Laquelle des vulnérabilités suivantes a été mentionnée dans les récents rapports de renseignement sur les menaces : [énumérer les vulnérabilités identifiées] ?

Questions connexes :

• Existe-t-il des exploits connus disponibles pour les vulnérabilités suivantes : [lister les vulnérabilités identifiées] ?
• Parmi les vulnérabilités suivantes, lesquelles sont les plus susceptibles d'être exploitées par des acteurs malveillants : [énumérer les vulnérabilités identifiées] ? Classez-les par ordre de priorité en fonction de leur gravité, de leur exploitabilité et de leur pertinence pour notre secteur.

Enrichir les alertes de sécurité

Scénario: Un analyste de sécurité reçoit une alerte concernant une tentative de connexion suspecte provenant d'une adresse IP inconnue.

Sampl'invite : Que sait-on de l’adresse IP [fournir l’IP] ?

Tirer parti de MITRE ATT&CK

Scénario: Une équipe de sécurité souhaite utiliser le framework MITRE ATT&CK pour comprendre comment un acteur de menace spécifique pourrait cibler son organisation.

Sampl'invite : Montrez-moi les techniques MITRE ATT&CK associées à l'acteur de menace APT38.

Gemini est un outil puissant qui peut être utilisé pour améliorer les opérations de sécurité et la veille sur les menaces. En suivant les bonnes pratiques décrites dans ce guide, vous pouvez créer des invites efficaces qui vous aideront à tirer le meilleur parti de Gemini.

Note: Ce guide fournit des suggestions pour l'utilisation de Gemini dans Google SecOps et Gemini dans Threat Intelligence. Il ne s'agit pas d'une liste exhaustive de tous les cas d'utilisation possibles, et les fonctionnalités spécifiques de Gemini peuvent varier en fonction de l'édition de votre produit. Vous devez consulter la documentation officielle pour obtenir les informations les plus récentes.

Gémeaux
dans les opérations de sécurité

Gémeaux
dans le domaine du renseignement sur les menaces

Documents / Ressources

Application Gemini Google Cloud [pdf] Manuel du propriétaire Application Google Cloud, Google, Application Cloud, Application

Références

• Manuel d'utilisation