Manual do proprietário do aplicativo Gemini Google Cloud

Gemini é uma ferramenta de IA poderosa que pode ser usada para auxiliar usuários do Google Security Operations e do Google Threat Intelligence. Este guia fornecerá as informações necessárias para começar a usar o Gemini e criar prompts eficazes.

Criando prompts com Gemini

Ao criar um prompt, você precisará fornecer à Gemini as seguintes informações:

1. O tipo de prompt que você deseja criar, se aplicável (por exemplo
   “Criar uma regra”)
2. O contexto para o prompt
3. A saída desejada

Os usuários podem criar uma variedade de prompts, incluindo perguntas, comandos e resumos.

Melhores práticas para criar prompts

Ao criar prompts, é importante ter em mente as seguintes práticas recomendadas:

Use linguagem natural: Escreva como se estivesse dando uma ordem e expresse pensamentos completos em frases completas.

Forneça contexto: Inclua detalhes relevantes para ajudar o Gemini a entender sua solicitação, como prazos, fontes de log específicas ou informações do usuário. Quanto mais contexto você fornecer, mais relevantes e úteis serão os resultados.

Seja específico e conciso: Declare claramente a informação que você está procurando ou a tarefa que você quer que Gemini execute. Detalhe o propósito, gatilho, ação e condição(ões).
Por exemploamppergunte ao assistente: "É isto (file nome, etc.) conhecido por ser malicioso?” e se for conhecido, você pode perguntar para “Procurar esse (file) no meu ambiente.”

Inclua objetivos claros: Comece com um objetivo claro e especifique gatilhos que ativarão uma resposta.

Aproveite todas as modalidades: Use a funcionalidade de pesquisa em linha, o assistente de bate-papo e o gerador de playbook para suas diferentes necessidades.

Integrações de referência (somente para criação de playbook): Solicite e especifique integrações que você já instalou e configurou em seu ambiente, conforme elas se relacionam às próximas etapas do manual.

Iterar: Se os resultados iniciais não forem satisfatórios, refine seu prompt, forneça informações adicionais e faça perguntas de acompanhamento para orientar o geminiano a uma resposta melhor.

Incluir condições para ação (somente para criação de manual): Você pode aumentar a eficácia do prompt ao criar um manual solicitando etapas adicionais, como enriquecimento de dados.

Verifique a precisão: Lembre-se de que o Gemini é uma ferramenta de IA e suas respostas devem sempre ser validadas com base em seu próprio conhecimento e outras fontes disponíveis.

Usando prompts em Operações de Segurança

Gemini pode ser usado de várias maneiras em Operações de Segurança, incluindo pesquisa em linha, assistência por chat e geração de playbook. Após receber resumos de casos gerados por IA, Gemini pode ajudar os profissionais com:

1. Detecção e investigação de ameaças
2. Perguntas e respostas relacionadas à segurança
3. Geração de playbook
4. Resumo de inteligência de ameaças

O Google Security Operations (SecOps) é enriquecido com inteligência de linha de frente da Mandiant e inteligência crowdsourced do VirusTotal, que pode ajudar as equipes de segurança a:

Acesse e analise rapidamente informações sobre ameaças: Faça perguntas em linguagem natural sobre agentes de ameaças, famílias de malware, vulnerabilidades e IOCs.

Acelere a busca e detecção de ameaças: Gere consultas de pesquisa UDM e regras de detecção com base em dados de inteligência de ameaças.

Priorize os riscos de segurança: Entenda quais ameaças são mais relevantes para sua organização e concentre-se nas vulnerabilidades mais críticas.

Responda de forma mais eficaz a incidentes de segurança: Enriqueça os alertas de segurança com contexto de inteligência de ameaças e obtenha recomendações para ações de correção.

Melhore a conscientização sobre segurança: Crie materiais de treinamento envolventes com base em inteligência de ameaças do mundo real.

Casos de uso para operações de segurança

Detecção e investigação de ameaças

Crie consultas, gere regras, monitore eventos, investigue alertas, pesquise dados (gere consultas UDM).

Cenário: Um analista de ameaças está investigando um novo alerta e quer saber se há alguma evidência no ambiente de um comando específico usado para infiltrar a infraestrutura adicionando-se ao registro.

Sampo prompt: Crie uma consulta para encontrar quaisquer eventos de modificação de registro em [nome do host] nos últimos [período de tempo].

Prompt de acompanhamento: Gere uma regra para ajudar a detectar esse comportamento no futuro.

Cenário: Um analista é informado de que um estagiário estava fazendo “coisas” suspeitas e queria entender melhor o que estava ocorrendo.

Sampo prompt: Mostre-me eventos de conexão de rede para o ID de usuário começando com tim. smith (sem distinção entre maiúsculas e minúsculas) nos últimos 3 dias.

Prompt de acompanhamento: Gere uma regra YARA-L para detectar essa atividade no futuro.

Cenário: Um analista de segurança recebe um alerta sobre atividade suspeita em uma conta de usuário.

Sampo prompt: Mostre-me eventos de login de usuários bloqueados com um código de evento 4625 onde src.
hostname não é nulo.

Prompt de acompanhamento: Quantos usuários estão incluídos no conjunto de resultados?

Perguntas e respostas relacionadas à segurança

Cenário: Um analista de segurança está sendo integrado a um novo trabalho e percebe que a Gemini resumiu um caso com etapas recomendadas para investigação e resposta. Eles querem saber mais sobre o malware identificado no resumo do caso.

Sampo prompt: O que é [nome do malware]?

Prompt de acompanhamento: Como [nome do malware] persiste?

Cenário: Um analista de segurança recebe um alerta sobre um ataque potencialmente malicioso file haxixe.

Sampo prompt: É isto file hash [inserir hash] conhecido por ser malicioso?

Prompt de acompanhamento: Que outras informações estão disponíveis sobre isso file?

Cenário: Um respondente a incidentes precisa identificar a origem de um ataque malicioso file.

Sampo prompt: O que é o file hash do executável “[malware.exe]”?

Instruções de acompanhamento:

• Enriqueça com inteligência de ameaças do VirusTotal para obter informações sobre isso file hash; é conhecido por ser malicioso?
• Esse hash foi observado no meu ambiente?
• Quais são as ações recomendadas de contenção e correção para esse malware?

Geração de playbook

Tome medidas e crie manuais.

Cenário: Um engenheiro de segurança quer automatizar o processo de resposta a e-mails de phishing.

Sampo prompt: Crie um playbook que seja acionado quando um e-mail for recebido de um remetente de phishing conhecido. O playbook deve colocar o e-mail em quarentena e notificar a equipe de segurança.

Cenário: Um membro da equipe SOC deseja colocar em quarentena automaticamente arquivos maliciosos files.

Sampo prompt: Escreva um manual para alertas de malware. O manual deve levar em conta file hash do alerta e enriquecê-lo com inteligência do VirusTotal. Se o file hash é malicioso, coloque em quarentena file.

Cenário: Um analista de ameaças deseja criar um novo manual que possa ajudar a responder a alertas futuros relacionados a alterações na chave de registro.

Sampo prompt: Crie um playbook para esses alertas de alterações de chave de registro. Quero que esse playbook seja enriquecido com todos os tipos de entidade, incluindo VirusTotal e inteligência de linha de frente de ameaças da Mandiant. Se algo suspeito for identificado, crie um caso tags e então priorizar o caso adequadamente.

Resumo de inteligência de ameaças

Obtenha insights sobre ameaças e agentes de ameaças.

Cenário: Um gerente de operações de segurança quer entender os padrões de ataque de um agente de ameaça específico.

Sampo prompt: Quais são as táticas, técnicas e procedimentos (TTPs) conhecidos usados ​​pelo APT29?

Prompt de acompanhamento: Há alguma detecção selecionada no Google SecOps que pode ajudar a identificar atividades associadas a esses TTPs?

Cenário: Um analista de inteligência de ameaças aprende sobre um novo tipo de malware (“emotet”) e compartilha um relatório de sua pesquisa com a equipe do SOC.

Sampo prompt: Quais são os indicadores de comprometimento (IOCs) associados ao malware emotet?

Instruções de acompanhamento:

• Gere uma consulta de pesquisa UDM para procurar esses IOCs nos logs da minha organização.
• Crie uma regra de detecção que me alertará se algum desses IOCs for observado no futuro.

Cenário: Um pesquisador de segurança identificou hosts em seu ambiente se comunicando com servidores de comando e controle (C2) conhecidos associados a um agente de ameaça específico.

Sampo prompt: Gere uma consulta para me mostrar todas as conexões de rede de saída para endereços IP e domínios associados a: [nome do agente da ameaça].

Ao usar o Gemini de forma eficaz, as equipes de segurança podem aprimorar suas capacidades de inteligência de ameaças e melhorar sua postura geral de segurança. Estes são apenas alguns exemplosamplições de como o Gemini pode ser usado para melhorar as operações de segurança.
À medida que você se familiarizar com a ferramenta, você encontrará muitas outras maneiras de usá-la para seu benefício.tage. Detalhes adicionais podem ser encontrados na documentação do produto Google SecOps página.

Usando prompts em Threat Intelligence

Embora o Google Threat Intelligence possa ser usado de forma semelhante a um mecanismo de busca tradicional, apenas com termos, os usuários também podem obter os resultados pretendidos criando prompts específicos.
Os prompts Gemini podem ser usados ​​de várias maneiras na Inteligência de Ameaças, desde a busca por tendências amplas até a compreensão de ameaças específicas e partes de malware, incluindo:

1. Análise de inteligência de ameaças
2. Caça proativa a ameaças
3. Criação de perfil de atores de ameaças
4. Priorização de vulnerabilidades
5. Enriquecendo alertas de segurança
6. Aproveitando o MITRE ATT&CK

Casos de uso para Threat Intelligence

Análise de inteligência de ameaças

Cenário: Um analista de inteligência de ameaças quer aprender mais sobre uma família de malware recém-descoberta.

Sampo prompt: O que se sabe sobre o malware “Emotet”? Quais são suas capacidades e como ele se espalha?

Prompt relacionado: Quais são os indicadores de comprometimento (IOCs) associados ao malware emotet?

Cenário: Um analista está investigando um novo grupo de ransomware e quer entender rapidamente suas táticas, técnicas e procedimentos (TTPs).

Sampo prompt: Resuma os TTPs conhecidos do grupo de ransomware “LockBit 3.0”. Inclua informações sobre seus métodos de acesso inicial, técnicas de movimentação lateral e táticas de extorsão preferidas.

Avisos relacionados:

• Quais são os indicadores comuns de comprometimento (IOCs) associados ao LockBit 3.0?
• Houve algum relatório ou análise pública recente sobre ataques ao LockBit 3.0?

Caça proativa a ameaças

Cenário: Um analista de inteligência de ameaças deseja procurar proativamente por sinais de uma família específica de malware conhecida por ter como alvo seu setor.

Sampo prompt: Quais são os indicadores comuns de comprometimento (IOCs) associados ao malware “Trickbot”?

Cenário: Um pesquisador de segurança deseja identificar quaisquer hosts em seu ambiente que se comuniquem com servidores de comando e controle (C2) conhecidos associados a um agente de ameaça específico.

Sampo prompt: Quais são os endereços IP C2 e domínios conhecidos usados ​​pelo agente de ameaça “[Nome]”?

Criação de perfil de atores de ameaças

Cenário: Uma equipe de inteligência de ameaças está rastreando as atividades de um grupo APT suspeito e deseja desenvolver um perfil abrangentefile.

Sampo prompt: Gerar um profissionalfile do ator de ameaça “APT29”. Inclua seus aliases conhecidos, país de origem suspeito, motivações, alvos típicos e TTPs preferidos.

Prompt relacionado: Mostre-me uma linha do tempo dos ataques mais notáveis ​​do APT29 campalinhamento e cronograma.

Priorização de vulnerabilidades

Cenário: Uma equipe de gerenciamento de vulnerabilidades deseja priorizar os esforços de correção com base no cenário de ameaças.

Sampo prompt: Quais vulnerabilidades da Palo Alto Networks estão sendo exploradas ativamente por agentes de ameaças?

Prompt relacionado: Resuma os exploits conhecidos para CVE-2024-3400 e CVE-2024-0012.

Cenário: Uma equipe de segurança está sobrecarregada com os resultados da verificação de vulnerabilidades e quer priorizar os esforços de correção com base na inteligência de ameaças.

Sampo prompt: Quais das seguintes vulnerabilidades foram mencionadas em relatórios recentes de inteligência de ameaças: [listar vulnerabilidades identificadas]?

Avisos relacionados:

• Há algum exploit conhecido disponível para as seguintes vulnerabilidades: [listar vulnerabilidades identificadas]?
• Quais das seguintes vulnerabilidades têm mais probabilidade de serem exploradas por agentes de ameaças: [listar vulnerabilidades identificadas]? Priorize-as com base em sua gravidade, explorabilidade e relevância para nosso setor.

Enriquecendo alertas de segurança

Cenário: Um analista de segurança recebe um alerta sobre uma tentativa de login suspeita de um endereço IP desconhecido.

Sampo prompt: O que se sabe sobre o endereço IP [fornecer IP]?

Aproveitando o MITRE ATT&CK

Cenário: Uma equipe de segurança deseja usar a estrutura MITRE ATT&CK para entender como um agente de ameaça específico pode ter como alvo sua organização.

Sampo prompt: Mostre-me as técnicas MITRE ATT&CK associadas ao agente de ameaça APT38.

Gemini é uma ferramenta poderosa que pode ser usada para melhorar as Operações de Segurança e a Inteligência de Ameaças. Ao seguir as melhores práticas descritas neste guia, você pode criar prompts eficazes que ajudarão você a aproveitar ao máximo o Gemini.

Observação: Este guia fornece sugestões para usar o Gemini no Google SecOps e o Gemini no Threat Intelligence. Não é uma lista exaustiva de todos os casos de uso possíveis, e os recursos específicos do Gemini podem variar dependendo da edição do seu produto. Você deve consultar a documentação oficial para obter as informações mais atualizadas.

Gêmeos
em Operações de Segurança

Gêmeos
em Inteligência de Ameaças

Documentos / Recursos

Aplicativo Gemini Google Cloud [pdf] Manual do Proprietário Google Cloud APP, Google, Aplicativo em Nuvem, Aplicativo

Referências

• Manual do usuário