Manuali i zotëruesit të aplikacionit Gemini Google Cloud

Gemini është një mjet i fuqishëm i AI që mund të përdoret për të ndihmuar Operacionet e Sigurisë së Google dhe përdoruesit e Inteligjencës së Kërcënimeve të Google. Ky udhëzues do t'ju ofrojë informacionin që ju nevojitet për të filluar me Binjakët dhe për të krijuar kërkesa efektive.

Krijimi i kërkesave me Binjakët

Kur krijoni një kërkesë, do t'ju duhet t'i jepni Binjakëve informacionin e mëposhtëm:

1. Lloji i kërkesës që dëshironi të krijoni, nëse është e aplikueshme (p.sh
   "Krijoni një rregull")
2. Konteksti për të shpejtë
3. Prodhimi i dëshiruar

Përdoruesit mund të krijojnë një sërë kërkesash, duke përfshirë pyetje, komanda dhe përmbledhje.

Praktikat më të mira për krijimin e kërkesave

Kur krijoni kërkesa, është e rëndësishme të mbani parasysh praktikat më të mira të mëposhtme:

Përdorni gjuhën natyrore: Shkruani sikur po flisni një urdhër dhe shprehni mendimet e plota me fjali të plota.

Jepni kontekstin: Përfshini detaje përkatëse për të ndihmuar Binjakët të kuptojnë kërkesën tuaj, të tilla si afatet kohore, burimet specifike të regjistrit ose informacionet e përdoruesit. Sa më shumë kontekst të jepni, aq më të rëndësishme dhe të dobishme do të jenë rezultatet.

Jini specifik dhe konciz: Tregoni qartë informacionin që kërkoni ose detyrën që dëshironi të kryejë Binjakët. Detajoni qëllimin, shkasin, veprimin dhe gjendjen(et).
Për shembullample, pyesni asistentin: “A është kjo (file emri, etj.) i njohur si keqdashës?” dhe nëse dihet se është, mund të kërkoni të “Kërko për kjo (file) në mjedisin tim.”

Përfshini objektiva të qarta: Filloni me një objektiv të qartë dhe specifikoni nxitësit që do të aktivizojnë një përgjigje.

Përdorni të gjitha modalitetet: Përdorni funksionalitetin e kërkimit në linjë, asistentin e bisedës dhe gjeneratorin e librit të luajtjes për nevojat tuaja të ndryshme.

Integrimet e referencës (vetëm për krijimin e librave të lojërave): Kërkoni dhe specifikoni integrimet që keni instaluar dhe konfiguruar tashmë në mjedisin tuaj pasi ato lidhen me hapat e ardhshëm në librin e lojërave.

Përsëritja: Nëse rezultatet fillestare nuk janë të kënaqshme, rafinoni kërkesën tuaj, jepni informacion shtesë dhe bëni pyetje vijuese për të udhëhequr Binjakët drejt një përgjigjeje më të mirë.

Përfshi kushtet për veprim (vetëm për krijimin e librit të lojërave): Ju mund të përmirësoni efektivitetin e kërkesës kur krijoni një libër lojërash duke kërkuar hapa shtesë, si p.sh. pasurimi i të dhënave.

Verifikoni saktësinë: Mos harroni se Binjakët është një mjet i AI dhe përgjigjet e tij duhet të vërtetohen gjithmonë kundrejt njohurive tuaja dhe burimeve të tjera të disponueshme.

Përdorimi i kërkesave në Operacionet e Sigurisë

Binjakët mund të përdoren në mënyra të ndryshme në Operacionet e Sigurisë, duke përfshirë kërkimin në linjë, ndihmën e bisedës dhe gjenerimin e librave të lojërave. Pas marrjes së përmbledhjeve të rasteve të krijuara nga AI, Binjakët mund të ndihmojnë praktikuesit me:

1. Zbulimi dhe hetimi i kërcënimit
2. Pyetje dhe përgjigje të lidhura me sigurinë
3. Gjenerimi i librit të lojërave
4. Përmbledhja e inteligjencës së kërcënimit

Operacionet e Sigurisë së Google (SecOps) është pasuruar me inteligjencën e vijës së përparme nga Mandiant dhe inteligjencën e mbledhur nga VirusTotal, e cila mund të ndihmojë ekipet e sigurisë:

Qasni dhe analizoni shpejt inteligjencën e kërcënimit: Bëni pyetje të gjuhës natyrore për aktorët e kërcënimit, familjet e malware, dobësitë dhe IOC-të.

Përshpejtoni gjuetinë dhe zbulimin e kërcënimeve: Gjeneroni pyetje kërkimi UDM dhe rregulla zbulimi bazuar në të dhënat e inteligjencës së kërcënimit.

Jepni përparësi rreziqeve të sigurisë: Kuptoni se cilat kërcënime janë më të rëndësishme për organizatën e tyre dhe përqendrohuni në dobësitë më kritike.

Përgjigjuni në mënyrë më efektive ndaj incidenteve të sigurisë: Pasuroni alarmet e sigurisë me kontekstin e inteligjencës së kërcënimeve dhe merrni rekomandime për veprime korrigjuese.

Përmirësoni ndërgjegjësimin për sigurinë: Krijoni materiale trajnimi tërheqëse bazuar në inteligjencën e kërcënimeve të botës reale.

Përdorni rastet për operacionet e sigurisë

Zbulimi dhe hetimi i kërcënimit

Krijoni pyetje, gjeneroni rregulla, monitoroni ngjarjet, hetoni sinjalizimet, kërkoni të dhëna (gjeneroni pyetje UDM).

Skenari: Një analist kërcënimi po heton një alarm të ri dhe dëshiron të dijë nëse ka ndonjë provë në mjedisin e një komande të veçantë të përdorur për të depërtuar në infrastrukturë duke e shtuar veten në regjistër.

Sample prompt: Krijo një pyetje për të gjetur ndonjë ngjarje të modifikimit të regjistrit në [hostname] gjatë [periudhës kohore] të kaluar.

Kërkesa përcjellëse: Krijo një rregull për të ndihmuar në zbulimin e asaj sjelljeje në të ardhmen.

Skenari: Një analisti i thuhet se një praktikant po bënte "gjëra" të dyshimta dhe donte të kuptonte më mirë atë që po ndodhte.

Sample prompt: Më trego ngjarjet e lidhjes së rrjetit për userid duke filluar me tim. smith (i pandjeshëm ndaj rasteve) për 3 ditët e fundit.

Kërkesa përcjellëse: Krijo një rregull YARA-L për të zbuluar për këtë aktivitet në të ardhmen.

Skenari: Një analist i sigurisë merr një sinjalizim në lidhje me aktivitetin e dyshimtë në një llogari përdoruesi.

Sample prompt: Më trego ngjarjet e identifikimit të përdoruesve të bllokuar me një kod ngjarjeje prej 4625 ku src.
emri i hostit nuk është null.

Kërkesa përcjellëse: Sa përdorues janë përfshirë në grupin e rezultateve?

Pyetje dhe përgjigje të lidhura me sigurinë

Skenari: Një analist sigurie po futet në një punë të re dhe vëren se Binjakët ka përmbledhur një rast me hapat e rekomanduar për hetim dhe përgjigje. Ata duan të mësojnë më shumë rreth malware të identifikuar në përmbledhjen e rastit.

Sample prompt: Çfarë është [emri i malware]?

Kërkesa përcjellëse: Si vazhdon [emri i malware]?

Skenari: Një analist i sigurisë merr një sinjalizim në lidhje me një dëmtim të mundshëm file hash.

Sample prompt: A është kjo file hash [fut hash] i njohur si keqdashës?

Kërkesa përcjellëse: Çfarë informacioni tjetër është në dispozicion për këtë file?

Skenari: Një reagues incidenti duhet të identifikojë burimin e një keqdashjeje file.

Sample prompt: Çfarë është file hash i "[malware.exe]" të ekzekutueshëm?

Kërkesat vijuese:

• Pasurohuni me inteligjencën e kërcënimit nga VirusTotal për informacion në lidhje me këtë file hash; dihet se është keqdashëse?
• A është vërejtur ky hash në mjedisin tim?
• Cilat janë veprimet e rekomanduara të kontrollit dhe korrigjimit për këtë malware?

Gjenerimi i librit të lojërave

Merrni veprime dhe ndërtoni libra lojërash.

Skenari: Një inxhinier sigurie dëshiron të automatizojë procesin e përgjigjes ndaj emaileve phishing.

Sample prompt: Krijo një libër lojërash që aktivizohet kur merret një email nga një dërgues i njohur phishing. Libri i lojës duhet të karantinojë emailin dhe të njoftojë ekipin e sigurisë.

Skenari: Një anëtar i ekipit të KOS-it dëshiron të karantinojë automatikisht keqdashësit files.

Sample prompt: Shkruani një libër luajtjeje për alarmet e malware. Libri i lojërave duhet të marrë file hash nga alarmi dhe pasurojeni me inteligjencë nga VirusTotal. Nëse file hash është keqdashës, karantinoje file.

Skenari: Një analist kërcënimi dëshiron të krijojë një libër të ri lojërash që mund të ndihmojë në përgjigjen ndaj sinjalizimeve të ardhshme në lidhje me ndryshimet e çelësave të regjistrit.

Sample prompt: Ndërtoni një libër lojërash për ato sinjalizime për ndryshimet e çelësave të regjistrit. Unë dua që ai libër lojërash të pasurohet me të gjitha llojet e entiteteve, duke përfshirë inteligjencën e vijës së parë të kërcënimit VirusTotal dhe Mandiant. Nëse identifikohet ndonjë gjë e dyshimtë, krijoni një rast tags dhe pastaj prioritizoni rastin në përputhje me rrethanat.

Përmbledhja e inteligjencës së kërcënimit

Fitoni njohuri rreth kërcënimeve dhe aktorëve të kërcënimit.

Skenari: Një menaxher i operacioneve të sigurisë dëshiron të kuptojë modelet e sulmit të një aktori specifik kërcënimi.

Sample prompt: Cilat janë taktikat, teknikat dhe procedurat e njohura (TTP) të përdorura nga APT29?

Kërkesa përcjellëse: A ka ndonjë zbulim të kuruar në Google SecOps që mund të ndihmojë në identifikimin e aktivitetit të lidhur me këto TTP?

Skenari: Një analist i inteligjencës së kërcënimeve mëson për një lloj të ri malware ("emotet") dhe ndan një raport nga hulumtimi i tyre me ekipin e SOC.

Sample prompt: Cilët janë treguesit e kompromisit (IOC) të lidhur me malware emotet?

Kërkesat vijuese:

• Krijo një pyetje kërkimi UDM për të kërkuar këto IOC në regjistrat e organizatës sime.
• Krijo një rregull zbulimi që do të më lajmërojë nëse ndonjë nga këto IOC vëzhgohet në të ardhmen.

Skenari: Një studiues sigurie ka identifikuar hostet në mjedisin e tyre që komunikojnë me serverët e njohur të komandës dhe kontrollit (C2) të lidhur me një aktor të veçantë kërcënimi.

Sample prompt: Krijo një pyetje për të më shfaqur të gjitha lidhjet e rrjetit dalës me adresat IP dhe domenet e lidhura me: [emri i aktorit të kërcënimit].

Duke përdorur Gemini në mënyrë efektive, ekipet e sigurisë mund të përmirësojnë aftësitë e tyre të inteligjencës së kërcënimeve dhe të përmirësojnë qëndrimin e tyre të përgjithshëm të sigurisë. Këta janë vetëm disa ishampMësoni se si Binjakët mund të përdoren për të përmirësuar operacionet e sigurisë.
Ndërsa familjarizoheni më shumë me mjetin, do të gjeni shumë mënyra të tjera për ta përdorur atë në advan-in tuajtage. Detaje shtesë mund të gjenden në dokumentacionin e produktit të Google SecOps faqe.

Përdorimi i kërkesave në Inteligjencën e Kërcënimeve

Ndërsa Google Threat Intelligence mund të përdoret në mënyrë të ngjashme me një motor kërkimi tradicional vetëm me terma, përdoruesit mund të arrijnë gjithashtu rezultatet e synuara duke krijuar kërkesa specifike.
Kërkesat e Binjakëve mund të përdoren në mënyra të ndryshme në Inteligjencën e Kërcënimeve, nga kërkimi i tendencave të gjera, deri te të kuptuarit e kërcënimeve specifike dhe pjesëve të malware, duke përfshirë:

1. Analiza e inteligjencës së kërcënimit
2. Gjuetia proaktive e kërcënimeve
3. Profilizim i aktorit të kërcënimit
4. Prioritetizimi i cenueshmërisë
5. Pasurimi i alarmeve të sigurisë
6. Duke përdorur MITER ATT&CK

Përdorni rastet për inteligjencën e kërcënimit

Analiza e inteligjencës së kërcënimit

Skenari: Një analist i inteligjencës së kërcënimeve dëshiron të mësojë më shumë për një familje malware të sapo zbuluar.

Sample prompt: Çfarë dihet për malware "Emotet"? Cilat janë aftësitë e tij dhe si përhapet?

Kërkesa e lidhur: Cilët janë treguesit e kompromisit (IOC) të lidhur me malware emotet?

Skenari: Një analist po heton një grup të ri ransomware dhe dëshiron të kuptojë shpejt taktikat, teknikat dhe procedurat e tyre (TTP).

Sample prompt: Përmblidhni TTP-të e njohura të grupit të ransomware "LockBit 3.0". Përfshini informacion në lidhje me metodat e tyre fillestare të aksesit, teknikat e lëvizjes anësore dhe taktikat e preferuara të zhvatjes.

Kërkesat e lidhura:

• Cilët janë treguesit e zakonshëm të kompromisit (IOC) të lidhur me LockBit 3.0?
• A ka pasur ndonjë raport publik ose analizë të fundit të sulmeve të LockBit 3.0?

Gjuetia proaktive e kërcënimeve

Skenari: Një analist i inteligjencës së kërcënimeve dëshiron të kërkojë në mënyrë proaktive për shenja të një familjeje specifike malware të njohur për të synuar industrinë e tyre.

Sample prompt: Cilët janë treguesit e zakonshëm të kompromisit (IOC) të lidhur me malware-in "Trickbot"?

Skenari: Një studiues i sigurisë dëshiron të identifikojë çdo host në mjedisin e tyre që komunikon me serverët e njohur të komandës dhe kontrollit (C2) të lidhur me një aktor të veçantë kërcënimi.

Sample prompt: Cilat janë adresat dhe domenet e njohura IP C2 të përdorura nga aktori i kërcënimit "[Name]"?

Profilizim i aktorit të kërcënimit

Skenari: Një ekip i inteligjencës së kërcënimeve po ndjek aktivitetet e një grupi të dyshuar APT dhe dëshiron të zhvillojë një profesionist gjithëpërfshirësfile.

Sample prompt: Gjeneroni një profesionistfile të aktorit të kërcënimit “APT29”. Përfshini pseudonimet e tyre të njohura, vendin e dyshuar të origjinës, motivimet, objektivat tipike dhe TTP-të e preferuara.

Kërkesa e lidhur: Më trego një afat kohor të sulmeve më të shquara të APT29 campaign dhe afat kohor.

Prioritetizimi i cenueshmërisë

Skenari: Një ekip i menaxhimit të cenueshmërisë dëshiron t'i japë përparësi përpjekjeve për korrigjimin bazuar në peizazhin e kërcënimit.

Sample prompt: Cilat dobësi të Rrjetit Palo Alto po shfrytëzohen në mënyrë aktive nga aktorët e kërcënimit në natyrë?

Kërkesa e lidhur: Përmblidhni shfrytëzimet e njohura për CVE-2024-3400 dhe CVE-2024-0012.

Skenari: Një ekip sigurie është i stërmbushur me rezultatet e skanimit të cenueshmërisë dhe dëshiron t'i japë përparësi përpjekjeve korrigjuese bazuar në inteligjencën e kërcënimeve.

Sample prompt: Cilat nga dobësitë e mëposhtme janë përmendur në raportet e fundit të inteligjencës së kërcënimeve: [listoni dobësitë e identifikuara]?

Kërkesat e lidhura:

• A ka ndonjë shfrytëzim të njohur të disponueshëm për dobësitë e mëposhtme: [listoni dobësitë e identifikuara]?
• Cilat nga dobësitë e mëposhtme kanë më shumë gjasa të shfrytëzohen nga aktorët e kërcënimit: [listoni dobësitë e identifikuara]? Jepini përparësi atyre bazuar në ashpërsinë, shfrytëzimin dhe rëndësinë e tyre për industrinë tonë.

Pasurimi i alarmeve të sigurisë

Skenari: Një analist sigurie merr një alarm për një përpjekje të dyshimtë për hyrje nga një adresë IP e panjohur.

Sample prompt: Çfarë dihet për adresën IP [siguro IP]?

Duke përdorur MITER ATT&CK

Skenari: Një ekip sigurie dëshiron të përdorë kornizën MITER ATT&CK për të kuptuar se si një aktor specifik i kërcënimit mund të synojë organizatën e tyre.

Sample prompt: Më trego teknikat MITER ATT&CK të lidhura me aktorin e kërcënimit APT38.

Binjakët është një mjet i fuqishëm që mund të përdoret për të përmirësuar Operacionet e Sigurisë dhe Inteligjencën e Kërcënimeve. Duke ndjekur praktikat më të mira të përshkruara në këtë udhëzues, ju mund të krijoni kërkesa efektive që do t'ju ndihmojnë të përfitoni sa më shumë nga Binjakët.

Shënim: Ky udhëzues ofron sugjerime për përdorimin e Gemini në Google SecOps dhe Gemini në Inteligjencën e Kërcënimeve. Nuk është një listë shteruese e të gjitha rasteve të mundshme të përdorimit dhe aftësitë specifike të Gemini mund të ndryshojnë në varësi të botimit të produktit tuaj. Ju duhet të konsultoheni me dokumentacionin zyrtar për informacionin më të përditësuar.

Binjakët
në Operacionet e Sigurisë

Binjakët
në Inteligjencën e Kërcënimeve

Dokumentet / Burimet

APP Google Cloud Gemini [pdfManuali i Përdoruesit Google Cloud APP, Google, Cloud APP, APP

Referencat

• Manuali i Përdoruesit