Manual del propietario de la aplicación Gemini Google Cloud

Gemini es una potente herramienta de inteligencia artificial que se puede utilizar para ayudar a los usuarios de Google Security Operations y Google Threat Intelligence. Esta guía le proporcionará la información que necesita para comenzar a utilizar Gemini y crear avisos eficaces.

Creando indicaciones con Gemini

Al crear un mensaje, deberá proporcionarle a Gemini la siguiente información:

1. El tipo de mensaje que desea crear, si corresponde (por ejemplo,
   “Crear una regla”)
2. El contexto del mensaje
3. El resultado deseado

Los usuarios pueden crear una variedad de indicaciones, incluidas preguntas, comandos y resúmenes.

Mejores prácticas para crear indicaciones

Al crear indicaciones, es importante tener en cuenta las siguientes prácticas recomendadas:

Utilice lenguaje natural: Escriba como si estuviera dando una orden y exprese pensamientos completos en oraciones completas.

Proporcionar contexto: Incluya detalles relevantes para ayudar a Gemini a comprender su solicitud, como plazos, fuentes de registro específicas o información del usuario. Cuanto más contexto proporcione, más relevantes y útiles serán los resultados.

Sea específico y conciso: Expresa claramente la información que buscas o la tarea que quieres que Gemini realice. Detalla el propósito, el detonante, la acción y la(s) condición(es).
Por ejemploample, pregúntale al asistente: "Es esto (file nombre, etc.) que se sabe que es malicioso?” y si se sabe que lo es, puede solicitar “Buscar este (file) en mi entorno.”

Incluya objetivos claros: Comience con un objetivo claro y especifique los factores desencadenantes que activarán una respuesta.

Aproveche todas las modalidades: Utilice la función de búsqueda en línea, el asistente de chat y el generador de manuales de estrategias para sus diferentes necesidades.

Integraciones de referencia (solo para la creación de manuales de estrategias): Solicite y especifique las integraciones que ya ha instalado y configurado en su entorno en relación con los próximos pasos del manual.

Iterar: Si los resultados iniciales no son satisfactorios, refine su mensaje, proporcione información adicional y haga preguntas de seguimiento para guiar a Géminis hacia una mejor respuesta.

Incluir condiciones para la acción (solo para la creación de manuales de estrategias): Puede mejorar la eficacia de la indicación al crear un manual solicitando pasos adicionales, como enriquecer los datos.

Verificar precisión: Recuerde que Gemini es una herramienta de IA y sus respuestas siempre deben validarse con su propio conocimiento y otras fuentes disponibles.

Uso de indicaciones en operaciones de seguridad

Gemini se puede utilizar de diversas formas en las operaciones de seguridad, como la búsqueda en línea, la asistencia por chat y la generación de manuales de estrategias. Después de recibir resúmenes de casos generados por IA, Gemini puede ayudar a los profesionales con lo siguiente:

1. Detección e investigación de amenazas
2. Preguntas y respuestas relacionadas con la seguridad
3. Generación de libros de jugadas
4. Resumen de inteligencia sobre amenazas

Google Security Operations (SecOps) se enriquece con inteligencia de primera línea de Mandiant e inteligencia colaborativa de VirusTotal que puede ayudar a los equipos de seguridad a:

Acceda y analice rápidamente información sobre amenazas: Haga preguntas en lenguaje natural sobre actores de amenazas, familias de malware, vulnerabilidades e IOC.

Acelere la búsqueda y detección de amenazas: Genere consultas de búsqueda UDM y reglas de detección basadas en datos de inteligencia de amenazas.

Priorizar los riesgos de seguridad: Comprenda qué amenazas son más relevantes para su organización y concéntrese en las vulnerabilidades más críticas.

Responder de manera más eficaz a los incidentes de seguridad: Enriquezca las alertas de seguridad con el contexto de inteligencia sobre amenazas y obtenga recomendaciones para acciones de solución.

Mejorar la conciencia de seguridad: Cree materiales de capacitación atractivos basados ​​en información sobre amenazas del mundo real.

Casos de uso para operaciones de seguridad

Detección e investigación de amenazas

Crear consultas, generar reglas, monitorear eventos, investigar alertas, buscar datos (generar consultas UDM).

Guión: Un analista de amenazas está investigando una nueva alerta y quiere saber si hay alguna evidencia en el entorno de un comando particular utilizado para infiltrarse en la infraestructura agregándose al registro.

SampEl mensaje: Cree una consulta para encontrar cualquier evento de modificación de registro en [nombre de host] durante el último [período de tiempo].

Aviso de seguimiento: Genere una regla para ayudar a detectar ese comportamiento en el futuro.

Guión: A un analista le dicen que un pasante estaba haciendo “cosas” sospechosas y quería comprender mejor lo que estaba ocurriendo.

SampEl mensaje: Muéstrame los eventos de conexión de red para el ID de usuario que comienza con tim. smith (sin distinguir entre mayúsculas y minúsculas) durante los últimos 3 días.

Aviso de seguimiento: Genere una regla YARA-L para detectar esta actividad en el futuro.

Guión: Un analista de seguridad recibe una alerta sobre actividad sospechosa en una cuenta de usuario.

SampEl mensaje: Muéstrame eventos de inicio de sesión de usuarios bloqueados con un código de evento de 4625 donde src.
El nombre de host no es nulo.

Aviso de seguimiento: ¿Cuántos usuarios están incluidos en el conjunto de resultados?

Preguntas y respuestas relacionadas con la seguridad

Guión: Un analista de seguridad se incorpora a un nuevo puesto de trabajo y se da cuenta de que Gemini ha resumido un caso con los pasos recomendados para la investigación y la respuesta. Quiere obtener más información sobre el malware identificado en el resumen del caso.

SampEl mensaje: ¿Qué es [nombre del malware]?

Aviso de seguimiento: ¿Cómo persiste [nombre del malware]?

Guión: Un analista de seguridad recibe una alerta sobre un ataque potencialmente malicioso. file picadillo.

SampEl mensaje: Es esto file ¿Se sabe que el hash [insertar hash] es malicioso?

Aviso de seguimiento: ¿Qué otra información hay disponible sobre esto? file?

Guión: Un equipo de respuesta a incidentes debe identificar la fuente de un ataque malicioso. file.

SampEl mensaje: ¿Qué es el? file ¿hash del ejecutable “[malware.exe]”?

Indicaciones de seguimiento:

• Enriquezca la información sobre amenazas de VirusTotal para obtener información sobre esto file hash; ¿se sabe que es malicioso?
• ¿Se ha observado este hash en mi entorno?
• ¿Cuáles son las acciones de contención y remediación recomendadas para este malware?

Generación de libros de jugadas

Tome acción y elabore manuales.

Guión: Un ingeniero de seguridad quiere automatizar el proceso de respuesta a correos electrónicos de phishing.

SampEl mensaje: Cree un manual que se active cuando se reciba un correo electrónico de un remitente de phishing conocido. El manual debe poner en cuarentena el correo electrónico y notificar al equipo de seguridad.

Guión: Un miembro del equipo SOC quiere poner en cuarentena automáticamente el correo malicioso. files.

SampEl mensaje: Escriba un manual de estrategias para alertas de malware. El manual de estrategias debe tener en cuenta las siguientes cuestiones: file hash de la alerta y enriquecerlo con información de VirusTotal. Si el file El hash es malicioso, ponlo en cuarentena file.

Guión: Un analista de amenazas desea crear un nuevo manual que pueda ayudar a responder a futuras alertas relacionadas con cambios en las claves de registro.

SampEl mensaje: Cree un manual de estrategias para esas alertas de cambios de claves de registro. Quiero que ese manual de estrategias se enriquezca con todos los tipos de entidades, incluidos VirusTotal y Mandiant Threat Frontline Intelligence. Si se identifica algo sospechoso, cree un caso tags y luego priorizar el caso en consecuencia.

Resumen de inteligencia sobre amenazas

Obtenga información sobre las amenazas y los actores de amenazas.

Guión: Un gerente de operaciones de seguridad quiere comprender los patrones de ataque de un actor de amenaza específico.

SampEl mensaje: ¿Cuáles son las tácticas, técnicas y procedimientos (TTP) conocidos que utiliza APT29?

Aviso de seguimiento: ¿Existen detecciones seleccionadas en Google SecOps que puedan ayudar a identificar la actividad asociada con estas TTP?

Guión: Un analista de inteligencia de amenazas descubre un nuevo tipo de malware (“emotet”) y comparte un informe de su investigación con el equipo SOC.

SampEl mensaje: ¿Cuáles son los indicadores de compromiso (IOC) asociados con el malware emotet?

Indicaciones de seguimiento:

• Generar una consulta de búsqueda UDM para buscar estos IOC en los registros de mi organización.
• Crear una regla de detección que me avisará si se observa alguno de estos IOC en el futuro.

Guión: Un investigador de seguridad ha identificado hosts en su entorno que se comunican con servidores de comando y control (C2) conocidos asociados con un actor de amenaza en particular.

SampEl mensaje: Generar una consulta para mostrarme todas las conexiones de red salientes a direcciones IP y dominios asociados con: [nombre del actor de amenaza].

Al utilizar Gemini de manera eficaz, los equipos de seguridad pueden mejorar sus capacidades de inteligencia de amenazas y mejorar su postura de seguridad general. Estos son solo algunos ejemplosampEjemplos de cómo se puede utilizar Gemini para mejorar las operaciones de seguridad.
A medida que se familiarice más con la herramienta, encontrará muchas otras formas de usarla para su beneficio.tage. Puede encontrar detalles adicionales en la documentación del producto Google SecOps. página.

Uso de indicaciones en Threat Intelligence

Si bien Google Threat Intelligence se puede utilizar de manera similar a un motor de búsqueda tradicional con solo términos, los usuarios también pueden lograr los resultados previstos creando indicaciones específicas.
Los avisos de Gemini se pueden utilizar de diversas maneras en inteligencia de amenazas, desde la búsqueda de tendencias generales hasta la comprensión de amenazas específicas y piezas de malware, que incluyen:

1. Análisis de inteligencia de amenazas
2. Búsqueda proactiva de amenazas
3. Perfiles de actores amenazantes
4. Priorización de vulnerabilidades
5. Enriquecimiento de alertas de seguridad
6. Aprovechamiento de MITRE ATT&CK

Casos de uso de inteligencia de amenazas

Análisis de inteligencia de amenazas

Guión: Un analista de inteligencia de amenazas quiere saber más sobre una familia de malware recién descubierta.

SampEl mensaje: ¿Qué se sabe sobre el malware “Emotet”? ¿Cuáles son sus capacidades y cómo se propaga?

Indicación relacionada: ¿Cuáles son los indicadores de compromiso (IOC) asociados con el malware emotet?

Guión: Un analista está investigando un nuevo grupo de ransomware y quiere comprender rápidamente sus tácticas, técnicas y procedimientos (TTP).

SampEl mensaje: Resuma las tácticas y procedimientos conocidos del grupo de ransomware “LockBit 3.0”. Incluya información sobre sus métodos de acceso iniciales, técnicas de movimiento lateral y tácticas de extorsión preferidas.

Indicaciones relacionadas:

• ¿Cuáles son los indicadores comunes de compromiso (IOC) asociados con LockBit 3.0?
• ¿Ha habido algún informe o análisis público reciente sobre ataques a LockBit 3.0?

Búsqueda proactiva de amenazas

Guión: Un analista de inteligencia de amenazas desea buscar de forma proactiva señales de una familia de malware específica que se sabe que ataca a su industria.

SampEl mensaje: ¿Cuáles son los indicadores comunes de compromiso (IOC) asociados con el malware “Trickbot”?

Guión: Un investigador de seguridad desea identificar cualquier host en su entorno que se comunique con servidores de comando y control (C2) conocidos asociados con un actor de amenaza en particular.

SampEl mensaje: ¿Cuáles son las direcciones IP y dominios C2 conocidos utilizados por el actor de amenazas “[Nombre]”?

Perfiles de actores amenazantes

Guión: Un equipo de inteligencia de amenazas está rastreando las actividades de un presunto grupo APT y quiere desarrollar un profile.

SampEl mensaje: Generar un profile del actor de amenazas “APT29”. Incluya sus alias conocidos, país de origen sospechoso, motivaciones, objetivos habituales y TTP preferidos.

Indicación relacionada: Muéstrame una cronología de los ataques más notables de APT29.ampAlinear y cronograma.

Priorización de vulnerabilidades

Guión: Un equipo de gestión de vulnerabilidades desea priorizar los esfuerzos de reparación en función del panorama de amenazas.

SampEl mensaje: ¿Qué vulnerabilidades de Palo Alto Networks están siendo explotadas activamente por actores de amenazas?

Indicación relacionada: Resuma los exploits conocidos para CVE-2024-3400 y CVE-2024-0012.

Guión: Un equipo de seguridad está abrumado por los resultados del análisis de vulnerabilidades y desea priorizar los esfuerzos de reparación en función de la inteligencia sobre amenazas.

SampEl mensaje: ¿Cuáles de las siguientes vulnerabilidades se han mencionado en informes de inteligencia de amenazas recientes: [enumere las vulnerabilidades identificadas]?

Indicaciones relacionadas:

• ¿Existen exploits conocidos disponibles para las siguientes vulnerabilidades: [enumere las vulnerabilidades identificadas]?
• ¿Cuáles de las siguientes vulnerabilidades tienen más probabilidades de ser explotadas por actores de amenazas: [enumerar las vulnerabilidades identificadas]? Priorícelas en función de su gravedad, explotabilidad y relevancia para nuestra industria.

Enriquecimiento de alertas de seguridad

Guión: Un analista de seguridad recibe una alerta sobre un intento de inicio de sesión sospechoso desde una dirección IP desconocida.

SampEl mensaje: ¿Qué se sabe de la dirección IP [proporcionar IP]?

Aprovechamiento de MITRE ATT&CK

Guión: Un equipo de seguridad quiere utilizar el marco MITRE ATT&CK para comprender cómo un actor de amenazas específico podría atacar a su organización.

SampEl mensaje: Muéstreme las técnicas MITRE ATT&CK asociadas con el actor de amenazas APT38.

Gemini es una herramienta poderosa que se puede utilizar para mejorar las operaciones de seguridad y la inteligencia sobre amenazas. Si sigue las prácticas recomendadas que se describen en esta guía, podrá crear avisos efectivos que lo ayudarán a aprovechar Gemini al máximo.

Nota: Esta guía ofrece sugerencias para usar Gemini en Google SecOps y Gemini en Threat Intelligence. No es una lista exhaustiva de todos los casos de uso posibles y las capacidades específicas de Gemini pueden variar según la edición de su producto. Debe consultar la documentación oficial para obtener la información más actualizada.

Géminis
en Operaciones de Seguridad

Géminis
en Inteligencia de Amenazas

Documentos / Recursos

Aplicación de Google Cloud Gemini [pdf] Manual del propietario APLICACIÓN Google Cloud, Google, APLICACIÓN Cloud, APLICACIÓN

Referencias

• Manual de usuario