Кіраўніцтва па эксплуатацыі Gemini Google Cloud APP

Кіраўніцтва па эксплуатацыі Gemini Google Cloud APP

Gemini - гэта магутны інструмент штучнага інтэлекту, які можна выкарыстоўваць для дапамогі карыстальнікам Google Security Operations і Google Threat Intelligence. У гэтым кіраўніцтве вы атрымаеце інфармацыю, неабходную для пачатку работы з Gemini, і створыце эфектыўныя падказкі.

Стварэнне падказак з Gemini

Пры стварэнні падказкі вам трэба будзе прадаставіць Gemini наступную інфармацыю:

1. Тып падказкі, які вы хочаце стварыць, калі дастасавальна (напрыклад,
   «Ствары правіла»)
2. Кантэкст для падказкі
3. Жаданы выхад

Карыстальнікі могуць ствараць розныя падказкі, у тым ліку пытанні, каманды і зводкі.

Лепшыя практыкі для стварэння падказак

Пры стварэнні падказак важна мець на ўвазе наступныя лепшыя практыкі:

Выкарыстоўвайце натуральную мову: Пішыце так, быццам вы прамаўляеце каманду, і выказвайце поўныя думкі поўнымі сказамі.

Дайце кантэкст: Уключыце адпаведныя звесткі, якія дапамогуць Gemini зразумець ваш запыт, такія як часовыя рамкі, пэўныя крыніцы часопісаў або інфармацыя пра карыстальніка. Чым больш кантэксту вы дасце, тым больш актуальнымі і карыснымі будуць вынікі.

Будзьце канкрэтнымі і кароткімі: Ясна сфармулюйце інфармацыю, якую вы шукаеце, або задачу, якую вы хочаце выканаць Блізняты. Дэталізуйце мэту, трыгер, дзеянне і ўмовы.
Напрыкладample, спытаеце памочніка: «Гэта (file імя і г.д.), вядомае як шкоднаснае?”, і калі вядома, што яно шкоднаснае, вы можаце папрасіць “Пошук гэта (file) у маім асяроддзі».

Уключыце дакладныя мэты: Пачніце з дакладнай мэты і ўкажыце трыгеры, якія будуць актываваць адказ.

Выкарыстоўвайце ўсе спосабы: Выкарыстоўвайце функцыю ўбудаванага пошуку, памочніка ў чаце і генератар падручнікаў для розных патрэб.

Даведачныя інтэграцыі (толькі для стварэння п'ес): Запытвайце і ўказвайце інтэграцыі, якія вы ўжо ўсталявалі і сканфігуравалі ў вашым асяроддзі, як яны звязаны з наступнымі крокамі ў падручніку.

Ітэрацыя: Калі першапачатковыя вынікі не задавальняюць, удакладніце сваё падказку, дайце дадатковую інфармацыю і задайце дадатковыя пытанні, каб накіраваць Блізнят да лепшага адказу.

Уключыце ўмовы для дзеяння (толькі для стварэння падручніка): Вы можаце павысіць эфектыўнасць падказкі пры стварэнні падручніка, запытаўшы дадатковыя крокі, такія як узбагачэнне даных.

Праверце дакладнасць: Памятайце, што Gemini - гэта інструмент штучнага інтэлекту, і яго адказы заўсёды павінны пацвярджацца вашымі ўласнымі ведамі і іншымі даступнымі крыніцамі.

Выкарыстанне падказак у Security Operations

Gemini можа выкарыстоўвацца рознымі спосабамі ў Security Operations, у тым ліку для ўбудаванага пошуку, дапамогі ў чаце і стварэння падручнікаў. Пасля атрымання зводак па выпадках, створаных AI, Gemini можа дапамагчы практыкам у:

1. Выяўленне і расследаванне пагроз
2. Пытанні і адказы, звязаныя з бяспекай
3. Пакаленне Playbook
4. Абагульненне выведкі пагроз

Google Security Operations (SecOps) узбагачаецца франтавымі данымі ад Mandiant і краўдсорсінгавымі данымі ад VirusTotal, якія могуць дапамагчы камандам бяспекі:

Хуткі доступ і аналіз пагроз: Задавайце пытанні на натуральнай мове аб суб'ектах пагроз, сем'ях шкоднасных праграм, уразлівасцях і IOC.

Паскорыць пошук і выяўленне пагроз: Стварайце пошукавыя запыты UDM і правілы выяўлення на аснове дадзеных выведкі пагроз.

Расстаўце прыярытэты для рызык бяспекі: Зразумець, якія пагрозы найбольш актуальныя для іх арганізацыі, і засяродзіць увагу на найбольш крытычных уразлівасцях.

Больш эфектыўна рэагуйце на інцыдэнты бяспекі: Узбагаціце абвесткі бяспекі кантэкстам выведкі пагроз і атрымлівайце рэкамендацыі па выпраўленні.

Палепшыць дасведчанасць аб бяспецы: Стварайце прывабныя навучальныя матэрыялы на аснове выведкі рэальных пагроз.

Прыклады выкарыстання для аперацый бяспекі

Выяўленне і расследаванне пагроз

Стварэнне запытаў, стварэнне правілаў, маніторынг падзей, даследаванне папярэджанняў, пошук дадзеных (генерацыя запытаў UDM).

Сцэнар: Аналітык пагроз вывучае новае папярэджанне і хоча ведаць, ці ёсць у асяроддзі доказы таго, што пэўная каманда выкарыстоўвалася для пранікнення ў інфраструктуру шляхам дадання сябе ў рэестр.

Sampпадказка: Стварыце запыт, каб знайсці падзеі мадыфікацыі рэестра на [імя хаста] за апошні [перыяд часу].

Дадатковая падказка: Стварыце правіла, якое дапаможа выявіць такія паводзіны ў будучыні.

Сцэнар: Аналітыку сказалі, што стажор рабіў падазроныя «рэчы» і хацеў лепш зразумець, што адбываецца.

Sampпадказка: Паказаць падзеі сеткавага злучэння для ідэнтыфікатара карыстальніка, які пачынаецца з tim. сміт (без уліку рэгістра) за апошнія 3 дні.

Дадатковая падказка: Стварыце правіла YARA-L для выяўлення гэтай дзейнасці ў будучыні.

Сцэнар: Аналітык бяспекі атрымлівае апавяшчэнне аб падазронай актыўнасці ва ўліковым запісе карыстальніка.

Sampпадказка: Паказаць заблакіраваныя падзеі ўваходу карыстальнікаў з кодам падзеі 4625, дзе src.
імя хоста не з'яўляецца нулявым.

Дадатковая падказка: Колькі карыстальнікаў уключана ў выніковы набор?

Пытанні і адказы, звязаныя з бяспекай

Сцэнар: Аналітык па бяспецы ўладкоўваецца на новую працу і заўважае, што Блізняты абагульнілі справу з рэкамендаванымі крокамі для расследавання і рэагавання. Яны хочуць даведацца больш аб шкоднасных праграмах, выяўленых у зводцы справы.

Sampпадказка: Што такое [назва шкоднаснага ПЗ]?

Дадатковая падказка: Як [імя шкоднаснага ПЗ] захоўваецца?

Сцэнар: Аналітык бяспекі атрымлівае папярэджанне аб патэнцыйна шкоднасным file хэш.

Sampпадказка: Хіба гэта file хэш [уставіць хэш], як вядома, шкоднасны?

Дадатковая падказка: Якая яшчэ інфармацыя даступная на гэты конт file?

Сцэнар: Спецыялісту па ліквідацыі інцыдэнтаў неабходна вызначыць крыніцу шкоднаснай праграмы file.

Sampпадказка: Што такое file хэш выкананага файла «[malware.exe]»?

Наступныя падказкі:

• Узбагаціцеся інфармацыяй аб пагрозах ад VirusTotal file хэш; вядома, што гэта шкодна?
• Ці назіраўся гэты хэш у маім асяроддзі?
• Якія рэкамендаваныя дзеянні па стрымліванні і ліквідацыі гэтай шкоднаснай праграмы?

Пакаленне Playbook

Дзейнічайце і стварайце падручнікі.

Сцэнар: Інжынер па бяспецы хоча аўтаматызаваць працэс адказу на фішынгавыя лісты.

Sampпадказка: Стварыце падручнік, які спрацоўвае пры атрыманні электроннага ліста ад вядомага адпраўніка фішынгу. Падручнік павінен змясціць электронны ліст у каранцін і паведаміць камандзе бяспекі.

Сцэнар: Член каманды SOC хоча аўтаматычна змясціць шкоднаснага ў каранцін files.

Sampпадказка: Напішыце падручнік па абвестках аб шкоднасных праграмах. П'еса павінна прыняць file хэш з папярэджання і ўзбагаціць яго інфармацыяй ад VirusTotal. Калі file hash з'яўляецца шкоднасным, змясціць у каранцін file.

Сцэнар: Аналітык пагроз хоча стварыць новы падручнік, які дапаможа рэагаваць на будучыя абвесткі, звязаныя са зменамі ключоў рэестра.

Sampпадказка: Стварыце падручнік для гэтых абвестак аб змене ключа рэестра. Я хачу, каб гэты падручнік быў узбагачаны ўсімі тыпамі аб'ектаў, уключаючы VirusTotal і Mandiant. Калі будзе выяўлена нешта падазронае, стварыце справу tags а затым расставіць прыярытэты справы адпаведна.

Абагульненне выведкі пагроз

Атрымлівайце інфармацыю пра пагрозы і іх удзельнікаў.

Сцэнар: Менеджэр аперацый па бяспецы хоча зразумець схемы нападаў канкрэтнага ўдзельніка пагрозы.

Sampпадказка: Якія вядомыя тактыкі, прыёмы і працэдуры (TTP) выкарыстоўваюцца APT29?

Дадатковая падказка: Ці ёсць у Google SecOps якія-небудзь куратарскія выяўлення, якія могуць дапамагчы ідэнтыфікаваць дзейнасць, звязаную з гэтымі TTP?

Сцэнар: Аналітык выведкі пагроз даведваецца пра новы від шкоднасных праграм («emotet») і дзеліцца справаздачай аб сваім даследаванні з камандай SOC.

Sampпадказка: Якія індыкатары ўзлому (IOC), звязаныя са шкоднасным ПЗ emotet?

Наступныя падказкі:

• Стварыце пошукавы запыт UDM для пошуку гэтых IOC у журналах маёй арганізацыі.
• Стварыце правіла выяўлення, якое будзе папярэджваць мяне, калі якія-небудзь з гэтых IOC будуць назірацца ў будучыні.

Сцэнар: Даследчык бяспекі ідэнтыфікаваў хасты ў сваім асяроддзі, якія звязваюцца з вядомымі серверамі кіравання (C2), звязанымі з пэўным удзельнікам пагрозы.

Sampпадказка: Стварыце запыт, каб паказаць мне ўсе выходныя сеткавыя злучэнні з IP-адрасамі і даменамі, звязанымі з: [імя ўдзельніка пагрозы].

Эфектыўна выкарыстоўваючы Gemini, каманды бяспекі могуць павысіць свае магчымасці выведкі пагроз і палепшыць агульны стан бяспекі. Гэта толькі некалькі былыхampпадрабязна пра тое, як можна выкарыстоўваць Gemini для паляпшэння бяспекі.
Па меры таго, як вы бліжэй пазнаёміцеся з інструментам, вы знойдзеце шмат іншых спосабаў выкарыстоўваць яго ў сваіх мэтахtagд. Дадатковую інфармацыю можна знайсці ў дакументацыі прадукту Google SecOps старонка.

Выкарыстанне падказак у Threat Intelligence

У той час як Google Threat Intelligence можа выкарыстоўвацца аналагічна традыцыйнай пошукавай сістэме толькі з дапамогай тэрмінаў, карыстальнікі таксама могуць дасягнуць жаданых вынікаў, стварыўшы спецыяльныя падказкі.
Падказкі Gemini могуць выкарыстоўвацца рознымі спосабамі ў Threat Intelligence, ад пошуку агульных тэндэнцый да разумення канкрэтных пагроз і частак шкоднасных праграм, у тым ліку:

1. Аналіз выведкі пагроз
2. Актыўны пошук пагроз
3. Прафіляванне акцёра пагрозы
4. Расстаноўка прыярытэтаў уразлівасцяў
5. Пашырэнне абвестак бяспекі
6. Выкарыстанне MITRE ATT&CK

Прыклады выкарыстання для выведкі пагроз

Аналіз выведкі пагроз

Сцэнар: Аналітык выведкі пагроз хоча даведацца больш пра нядаўна выяўленае сямейства шкоднасных праграм.

Sampпадказка: Што вядома аб шкоднаснай праграме «Emotet»? Якія ў яго магчымасці і як ён распаўсюджваецца?

Звязаная падказка: Якія індыкатары ўзлому (IOC), звязаныя са шкоднасным ПЗ emotet?

Сцэнар: Аналітык расследуе новую групу праграм-вымагальнікаў і хоча хутка зразумець іх тактыку, метады і працэдуры (TTP).

Sampпадказка: Абагульніце вядомыя TTP групы праграм-вымагальнікаў «LockBit 3.0». Уключыце інфармацыю аб іх першапачатковых метадах доступу, метадах бакавога руху і пераважнай тактыцы вымагальніцтва.

Звязаныя падказкі:

• Якія агульныя індыкатары ўзлому (IOC), звязаныя з LockBit 3.0?
• Ці былі ў апошні час публічныя справаздачы або аналіз нападаў LockBit 3.0?

Актыўны пошук пагроз

Сцэнар: Аналітык па выведцы пагроз хоча актыўна шукаць прыкметы пэўнага сямейства шкоднасных праграм, якія, як вядома, накіраваны на іх галіну.

Sampпадказка: Якія агульныя індыкатары ўзлому (IOC), звязаныя са шкоднасным ПЗ «Trickbot»?

Сцэнар: Даследчык бяспекі хоча ідэнтыфікаваць любыя хасты ў сваім асяроддзі, якія звязваюцца з вядомымі серверамі кіравання (C2), звязанымі з канкрэтным удзельнікам пагрозы.

Sampпадказка: Якія вядомыя IP-адрасы і дамены C2 выкарыстоўваюцца суб'ектам пагрозы «[Імя]»?

Прафіляванне акцёра пагрозы

Сцэнар: Каманда выведкі пагроз адсочвае дзейнасць падазраванай групы APT і хоча распрацаваць комплексную праfile.

Sampпадказка: Стварыце профіfile акцёра пагрозы «APT29». Уключыце іх вядомыя псеўданімы, меркаваную краіну паходжання, матывацыю, тыповыя мэты і пераважныя TTP.

Звязаная падказка: Пакажыце мне графік найбольш прыкметных нападаў APT29 campaign і шкала часу.

Расстаноўка прыярытэтаў уразлівасцяў

Сцэнар: Каманда па кіраванні ўразлівасцямі хоча расставіць прыярытэты для выпраўлення ў залежнасці ад ландшафту пагроз.

Sampпадказка: Якія ўразлівасці Palo Alto Networks актыўна выкарыстоўваюцца суб'ектамі пагрозы?

Звязаная падказка: Абагульніце вядомыя эксплойты для CVE-2024-3400 і CVE-2024-0012.

Сцэнар: Каманда бяспекі перапоўнена вынікамі сканавання ўразлівасцяў і хоча расставіць прыярытэты для выпраўлення на аснове выведкі пагроз.

Sampпадказка: Якія з наступных уразлівасцяў згадваліся ў нядаўніх справаздачах аб пагрозах: [спіс выяўленых уразлівасцей]?

Звязаныя падказкі:

• Ці даступныя якія-небудзь вядомыя эксплойты для наступных уразлівасцей: [спіс выяўленых уразлівасцей]?
• Якія з наступных уразлівасцяў, хутчэй за ўсё, будуць выкарыстоўвацца суб'ектамі пагрозы: [спіс выяўленых уразлівасцей]? Расстаўце іх прыярытэты ў залежнасці ад іх сур'ёзнасці, магчымасці выкарыстання і значнасці для нашай галіны.

Пашырэнне абвестак бяспекі

Сцэнар: Аналітык бяспекі атрымлівае апавяшчэнне аб падазронай спробе ўваходу з незнаёмага IP-адраса.

Sampпадказка: Што вядома пра IP-адрас [укажыце IP]?

Выкарыстанне MITRE ATT&CK

Сцэнар: Каманда бяспекі хоча выкарыстаць структуру MITER ATT&CK, каб зразумець, як асобная пагроза можа нацэліцца на іх арганізацыю.

Sampпадказка: Пакажыце мне метады MITRE ATT&CK, звязаныя з пагрозай APT38.

Gemini - гэта магутны інструмент, які можна выкарыстоўваць для паляпшэння аперацый бяспекі і выведкі пагроз. Прытрымліваючыся лепшых практык, выкладзеных у гэтым кіраўніцтве, вы можаце стварыць эфектыўныя падказкі, якія дапамогуць вам атрымаць максімальную карысць ад Gemini.

Заўвага: Гэта кіраўніцтва змяшчае прапановы па выкарыстанні Gemini у Google SecOps і Gemini ў Threat Intelligence. Гэта не поўны спіс усіх магчымых варыянтаў выкарыстання, і канкрэтныя магчымасці Gemini могуць адрознівацца ў залежнасці ад версіі вашага прадукту. Вы павінны пракансультавацца з афіцыйнай дакументацыяй, каб атрымаць самую свежую інфармацыю.

Двайняты
у аперацыях бяспекі

Двайняты
у галіне выведкі пагроз