Manual Pemilik Apl Awan Google Gemini

Gemini ialah alat AI berkuasa yang boleh digunakan untuk membantu Operasi Keselamatan Google dan pengguna Perisikan Ancaman Google. Panduan ini akan memberikan anda maklumat yang anda perlukan untuk bermula dengan Gemini dan membuat gesaan yang berkesan.

Mencipta gesaan dengan Gemini

Apabila membuat gesaan, anda perlu memberikan Gemini maklumat berikut:

1. Jenis gesaan yang ingin anda buat, jika berkenaan (cth
   “Buat peraturan”)
2. Konteks untuk gesaan
3. Keluaran yang dikehendaki

Pengguna boleh membuat pelbagai gesaan, termasuk soalan, arahan dan ringkasan.

Amalan terbaik untuk membuat gesaan

Apabila membuat gesaan, adalah penting untuk mengingati amalan terbaik berikut:

Gunakan bahasa semula jadi: Tulis seolah-olah anda sedang menuturkan perintah dan nyatakan fikiran yang lengkap dalam ayat penuh.

Sediakan konteks: Sertakan butiran yang berkaitan untuk membantu Gemini memahami permintaan anda, seperti rangka masa, sumber log tertentu atau maklumat pengguna. Lebih banyak konteks yang anda berikan, lebih relevan dan membantu hasilnya.

Jadi khusus dan ringkas: Nyatakan dengan jelas maklumat yang anda cari atau tugas yang anda mahu Gemini lakukan. Perincikan tujuan, pencetus, tindakan dan keadaan.
Untuk example, tanya pembantu: “Adakah ini (file nama, dsb.) yang diketahui berniat jahat?” dan jika diketahui, anda boleh meminta "Cari untuk ini (file) dalam persekitaran saya.”

Sertakan objektif yang jelas: Mulakan dengan objektif yang jelas dan nyatakan pencetus yang akan mengaktifkan respons.

Manfaatkan semua modaliti: Gunakan fungsi carian dalam talian, pembantu sembang dan penjana buku permainan untuk keperluan anda yang berbeza.

Penyepaduan rujukan (untuk penciptaan buku main sahaja): Minta dan nyatakan penyepaduan yang telah anda pasang dan konfigurasikan dalam persekitaran anda kerana ia berkaitan dengan langkah seterusnya dalam buku main.

Lelaran: Jika keputusan awal tidak memuaskan, perhalusi gesaan anda, berikan maklumat tambahan dan tanya soalan susulan untuk membimbing Gemini ke arah respons yang lebih baik.

Sertakan syarat untuk tindakan (untuk penciptaan buku main sahaja): Anda boleh meningkatkan keberkesanan gesaan semasa membuat buku main dengan meminta langkah tambahan seperti memperkaya data.

Sahkan ketepatan: Ingat bahawa Gemini ialah alat AI, dan responsnya hendaklah sentiasa disahkan berdasarkan pengetahuan anda sendiri dan sumber lain yang tersedia.

Menggunakan gesaan dalam Operasi Keselamatan

Gemini boleh digunakan dalam pelbagai cara dalam Operasi Keselamatan, termasuk carian dalam talian, bantuan sembang dan penjanaan buku permainan. Selepas menerima ringkasan kes yang dijana AI, Gemini boleh membantu pengamal dengan:

1. Pengesanan dan penyiasatan ancaman
2. Soal Jawab berkaitan keselamatan
3. Penjanaan buku permainan
4. Ringkasan perisikan ancaman

Operasi Keselamatan Google (SecOps) diperkaya dengan risikan barisan hadapan daripada Mandiant dan risikan sumber ramai daripada VirusTotal yang boleh membantu pasukan keselamatan:

Akses dan analisa perisikan ancaman dengan pantas: Tanya soalan bahasa semula jadi tentang pelaku ancaman, keluarga perisian hasad, kelemahan dan IOC.

Mempercepatkan pemburuan dan pengesanan ancaman: Hasilkan pertanyaan carian dan peraturan pengesanan UDM berdasarkan data risikan ancaman.

Utamakan risiko keselamatan: Fahami ancaman yang paling berkaitan dengan organisasi mereka dan fokus pada kelemahan yang paling kritikal.

Bertindak balas dengan lebih berkesan kepada insiden keselamatan: Perkaya makluman keselamatan dengan konteks risikan ancaman dan dapatkan cadangan untuk tindakan pemulihan.

Meningkatkan kesedaran keselamatan: Cipta bahan latihan yang menarik berdasarkan perisikan ancaman dunia sebenar.

Gunakan kes untuk Operasi Keselamatan

Pengesanan dan penyiasatan ancaman

Buat pertanyaan, jana peraturan, pantau acara, siasat makluman, cari data (jana pertanyaan UDM).

Senario: Seorang penganalisis ancaman sedang menyiasat amaran baharu dan ingin mengetahui sama ada terdapat sebarang bukti dalam persekitaran arahan tertentu yang digunakan untuk menyusup infrastruktur dengan menambahkan dirinya pada pendaftaran.

Sample prompt: Buat pertanyaan untuk mencari sebarang peristiwa pengubahsuaian pendaftaran pada [hostname] sepanjang [tempoh masa] yang lalu.

Gesaan susulan: Hasilkan peraturan untuk membantu mengesan tingkah laku itu pada masa hadapan.

Senario: Seorang penganalisis diberitahu bahawa seorang pelatih melakukan "perkara" yang mencurigakan dan ingin mendapatkan pemahaman yang lebih baik tentang perkara yang berlaku.

Sample prompt: Tunjukkan saya acara sambungan rangkaian untuk userid bermula dengan tim. smith (tidak peka huruf besar-besaran) selama 3 hari yang lalu.

Gesaan susulan: Hasilkan peraturan YARA-L untuk mengesan aktiviti ini pada masa hadapan.

Senario: Seorang penganalisis keselamatan menerima makluman tentang aktiviti yang mencurigakan pada akaun pengguna.

Sample prompt: Tunjukkan kepada saya acara log masuk pengguna yang disekat dengan kod acara 4625 di mana src.
nama hos bukan nol.

Gesaan susulan: Berapa ramai pengguna termasuk dalam set hasil?

Soal Jawab berkaitan keselamatan

Senario: Seorang penganalisis keselamatan sedang memasuki pekerjaan baharu dan mendapati Gemini telah meringkaskan satu kes dengan langkah yang disyorkan untuk penyiasatan dan tindak balas. Mereka ingin mengetahui lebih lanjut tentang perisian hasad yang dikenal pasti dalam ringkasan kes.

Sample prompt: Apakah [nama perisian hasad]?

Gesaan susulan: Bagaimanakah [nama perisian hasad] berterusan?

Senario: Penganalisis keselamatan menerima makluman tentang kemungkinan berniat jahat file hash.

Sample prompt: Adakah ini file hash [masukkan cincang] diketahui berniat jahat?

Gesaan susulan: Apakah maklumat lain yang tersedia mengenai perkara ini file?

Senario: Pihak yang bertindak balas insiden perlu mengenal pasti punca yang berniat jahat file.

Sample prompt: Apa itu file cincangan "[malware.exe]" boleh laku?

Gesaan susulan:

• Perkaya dengan perisikan ancaman daripada VirusTotal untuk mendapatkan maklumat tentang perkara ini file hash; adakah ia diketahui berniat jahat?
• Adakah hash ini diperhatikan dalam persekitaran saya?
• Apakah tindakan pembendungan dan pemulihan yang disyorkan untuk perisian hasad ini?

Penjanaan buku permainan

Ambil tindakan dan bina buku permainan.

Senario: Seorang jurutera keselamatan ingin mengautomasikan proses membalas e-mel pancingan data.

Sample prompt: Buat buku main yang mencetuskan apabila e-mel diterima daripada penghantar pancingan data yang diketahui. Buku permainan hendaklah mengkuarantin e-mel dan memberitahu pasukan keselamatan.

Senario: Seorang ahli pasukan SOC mahu mengkuarantin secara automatik berniat jahat files.

Sample prompt: Tulis buku main untuk makluman perisian hasad. Buku permainan harus mengambil file hash daripada amaran dan memperkayakannya dengan kecerdasan daripada VirusTotal. Sekiranya file hash berniat jahat, kuarantin file.

Senario: Seorang penganalisis ancaman ingin mencipta buku main baharu yang boleh membantu membalas makluman masa hadapan yang berkaitan dengan perubahan kunci pendaftaran.

Sample prompt: Bina buku main untuk makluman perubahan kunci pendaftaran tersebut. Saya mahu buku main itu diperkaya dengan semua jenis entiti termasuk Perisikan barisan hadapan ancaman VirusTotal dan Mandiant. Jika apa-apa yang mencurigakan dikenal pasti, cipta kes tags dan kemudian mengutamakan kes itu dengan sewajarnya.

Ringkasan perisikan ancaman

Dapatkan cerapan tentang ancaman dan pelaku ancaman.

Senario: Seorang pengurus operasi keselamatan ingin memahami corak serangan pelakon ancaman tertentu.

Sample prompt: Apakah taktik, teknik dan prosedur (TTP) yang diketahui digunakan oleh APT29?

Gesaan susulan: Adakah terdapat sebarang pengesanan susun atur dalam Google SecOps yang boleh membantu mengenal pasti aktiviti yang dikaitkan dengan TTP ini?

Senario: Seorang penganalisis perisikan ancaman mengetahui tentang jenis perisian hasad baharu (“emotet”) dan berkongsi laporan daripada penyelidikan mereka dengan pasukan SOC.

Sample prompt: Apakah penunjuk kompromi (IOC) yang dikaitkan dengan perisian hasad emotet?

Gesaan susulan:

• Hasilkan pertanyaan carian UDM untuk mencari IOC ini dalam log organisasi saya.
• Buat peraturan pengesanan yang akan memaklumkan saya jika mana-mana IOC ini diperhatikan pada masa hadapan.

Senario: Seorang penyelidik keselamatan telah mengenal pasti hos dalam persekitaran mereka yang berkomunikasi dengan pelayan arahan dan kawalan (C2) yang diketahui yang dikaitkan dengan aktor ancaman tertentu.

Sample prompt: Hasilkan pertanyaan untuk menunjukkan kepada saya semua sambungan rangkaian keluar ke alamat IP dan domain yang dikaitkan dengan: [nama pelaku ancaman].

Dengan menggunakan Gemini dengan berkesan, pasukan keselamatan boleh meningkatkan keupayaan perisikan ancaman mereka dan meningkatkan postur keselamatan keseluruhan mereka. Ini hanya beberapa bekasamptentang cara Gemini boleh digunakan untuk meningkatkan operasi keselamatan.
Apabila anda semakin mengenali alat tersebut, anda akan menemui banyak cara lain untuk menggunakannya pada advan andatage. Butiran tambahan boleh didapati pada dokumentasi produk Google SecOps muka surat.

Menggunakan gesaan dalam Perisikan Ancaman

Walaupun Perisikan Ancaman Google boleh digunakan sama seperti enjin carian tradisional dengan istilah sahaja, pengguna juga boleh mencapai hasil yang diinginkan dengan membuat gesaan khusus.
Gesaan Gemini boleh digunakan dalam pelbagai cara dalam Perisikan Ancaman, daripada mencari arah aliran yang luas, kepada memahami ancaman dan cebisan perisian hasad tertentu, termasuk:

1. Analisis perisikan ancaman
2. Pemburuan ancaman proaktif
3. Pemprofilan pelakon ancaman
4. Keutamaan kerentanan
5. Memperkayakan amaran keselamatan
6. Memanfaatkan MITRE ATT&CK

Gunakan kes untuk Perisikan Ancaman

Analisis perisikan ancaman

Senario: Penganalisis perisikan ancaman ingin mengetahui lebih lanjut tentang keluarga perisian hasad yang baru ditemui.

Sample prompt: Apakah yang diketahui tentang perisian hasad "Emotet"? Apakah keupayaannya dan bagaimana ia merebak?

Gesaan berkaitan: Apakah penunjuk kompromi (IOC) yang dikaitkan dengan perisian hasad emotet?

Senario: Seorang penganalisis sedang menyiasat kumpulan perisian tebusan baharu dan mahu memahami taktik, teknik dan prosedur (TTP) mereka dengan cepat.

Sample prompt: Ringkaskan TTP yang diketahui kumpulan ransomware "LockBit 3.0." Sertakan maklumat tentang kaedah akses awal mereka, teknik pergerakan sisi, dan taktik peras ugut pilihan.

Gesaan berkaitan:

• Apakah penunjuk kompromi biasa (IOC) yang dikaitkan dengan LockBit 3.0?
• Adakah terdapat sebarang laporan awam atau analisis terbaru mengenai serangan LockBit 3.0?

Pemburuan ancaman proaktif

Senario: Penganalisis perisikan ancaman ingin mencari secara proaktif tanda-tanda keluarga perisian hasad tertentu yang diketahui menyasarkan industri mereka.

Sample prompt: Apakah penunjuk kompromi biasa (IOC) yang dikaitkan dengan perisian hasad "Trickbot"?

Senario: Seorang penyelidik keselamatan ingin mengenal pasti mana-mana hos dalam persekitaran mereka yang berkomunikasi dengan pelayan arahan dan kawalan (C2) yang diketahui yang dikaitkan dengan aktor ancaman tertentu.

Sample prompt: Apakah alamat IP dan domain C2 yang diketahui digunakan oleh pelaku ancaman “[Nama]”?

Pemprofilan pelakon ancaman

Senario: Pasukan perisikan ancaman sedang menjejaki aktiviti kumpulan APT yang disyaki dan mahu membangunkan pro komprehensiffile.

Sample prompt: Menjana profile daripada pelakon ancaman "APT29". Sertakan alias mereka yang diketahui, negara asal yang disyaki, motivasi, sasaran biasa dan TTP pilihan.

Gesaan berkaitan: Tunjukkan saya garis masa serangan APT29 yang paling ketara campaign dan garis masa.

Keutamaan kerentanan

Senario: Pasukan pengurusan kerentanan mahu mengutamakan usaha pemulihan berdasarkan landskap ancaman.

Sample prompt: Kelemahan Rangkaian Palo Alto manakah yang sedang dieksploitasi secara aktif oleh pelakon ancaman di alam liar?

Gesaan berkaitan: Ringkaskan eksploitasi yang diketahui untuk CVE-2024-3400 dan CVE-2024-0012.

Senario: Pasukan keselamatan terharu dengan keputusan imbasan kerentanan dan ingin mengutamakan usaha pemulihan berdasarkan risikan ancaman.

Sample prompt: Antara kelemahan berikut, yang manakah telah disebut dalam laporan risikan ancaman baru-baru ini: [senarai kelemahan yang dikenal pasti]?

Gesaan berkaitan:

• Adakah terdapat sebarang eksploitasi yang diketahui tersedia untuk kelemahan berikut: [senarai kelemahan yang dikenal pasti]?
• Antara kelemahan berikut, yang manakah paling mungkin dieksploitasi oleh aktor ancaman: [senarai kelemahan yang dikenal pasti]? Utamakan mereka berdasarkan keterukan, kebolehgunaan dan kaitannya dengan industri kami.

Memperkayakan amaran keselamatan

Senario: Seorang penganalisis keselamatan menerima makluman tentang percubaan log masuk yang mencurigakan daripada alamat IP yang tidak dikenali.

Sample prompt: Apakah yang diketahui tentang alamat IP [provide IP]?

Memanfaatkan MITRE ATT&CK

Senario: Pasukan keselamatan ingin menggunakan rangka kerja MITRE ATT&CK untuk memahami cara pelakon ancaman tertentu mungkin menyasarkan organisasi mereka.

Sample prompt: Tunjukkan saya teknik MITRE ATT&CK yang dikaitkan dengan aktor ancaman APT38.

Gemini ialah alat berkuasa yang boleh digunakan untuk meningkatkan Operasi Keselamatan dan Perisikan Ancaman. Dengan mengikuti amalan terbaik yang digariskan dalam panduan ini, anda boleh membuat gesaan yang berkesan yang akan membantu anda memanfaatkan Gemini sepenuhnya.

Nota: Panduan ini menyediakan cadangan untuk menggunakan Gemini dalam Google SecOps dan Gemini dalam Perisikan Ancaman. Ia bukanlah senarai lengkap semua kemungkinan kes penggunaan, dan keupayaan khusus Gemini mungkin berbeza-beza bergantung pada edisi produk anda. Anda harus merujuk kepada dokumentasi rasmi untuk mendapatkan maklumat yang paling terkini.

Gemini
dalam Operasi Keselamatan

Gemini
dalam Perisikan Ancaman

Dokumen / Sumber

Apl Awan Google Gemini [pdf] Manual Pemilik Google Cloud APP, Google, Cloud APP, APP

Rujukan

• Manual Pengguna