Llawlyfr Perchennog APP Gemini Google Cloud

Llawlyfr Perchennog APP Gemini Google Cloud

Mae Gemini yn offeryn AI pwerus y gellir ei ddefnyddio i gynorthwyo defnyddwyr Gweithrediadau Diogelwch Google a Google Threat Intelligence. Bydd y canllaw hwn yn rhoi'r wybodaeth sydd ei hangen arnoch i ddechrau gyda Gemini a chreu awgrymiadau effeithiol.

Creu awgrymiadau gyda Gemini

Wrth greu anogwr, bydd angen i chi ddarparu'r wybodaeth ganlynol i Gemini:

1. Y math o anogwr rydych chi am ei greu, os yw'n berthnasol (ee
   “Creu rheol”)
2. Y cyd-destun ar gyfer yr anogwr
3. Yr allbwn a ddymunir

Gall defnyddwyr greu amrywiaeth o anogwyr, gan gynnwys cwestiynau, gorchmynion a chrynodebau.

Arferion gorau ar gyfer creu anogwyr

Wrth greu anogwyr, mae'n bwysig cadw'r arferion gorau canlynol mewn cof:

Defnyddiwch iaith naturiol: Ysgrifennwch fel petaech chi'n siarad gorchymyn a mynegwch feddyliau cyflawn mewn brawddegau llawn.

Darparu cyd-destun: Cynhwyswch fanylion perthnasol i helpu Gemini i ddeall eich cais, megis amserlenni, ffynonellau log penodol, neu wybodaeth defnyddiwr. Po fwyaf o gyd-destun a roddwch, y mwyaf perthnasol a defnyddiol fydd y canlyniadau.

Byddwch yn benodol ac yn gryno: Nodwch yn glir y wybodaeth rydych chi'n chwilio amdani neu'r dasg rydych chi am i Gemini ei chyflawni. Rhowch fanylion y pwrpas, y sbardun, y camau gweithredu a'r cyflwr(au).
Am gynample, gofynnwch i'r cynorthwyydd: “A yw hyn (file enw, ac ati) yn hysbys i fod yn faleisus?” ac os yw’n hysbys ei fod, gallwch ofyn i “Chwiliwch am hwn (file) yn fy amgylchedd.”

Cynhwyswch amcanion clir: Dechreuwch gydag amcan clir a nodwch sbardunau a fydd yn ysgogi ymateb.

Trosoledd pob dull: Defnyddiwch ymarferoldeb chwilio mewn-lein, cynorthwyydd sgwrsio, a'r generadur llyfrau chwarae ar gyfer eich gwahanol anghenion.

Integreiddiadau cyfeirio (ar gyfer creu llyfr chwarae yn unig): Gofyn a nodi integreiddiadau rydych chi eisoes wedi'u gosod a'u ffurfweddu yn eich amgylchedd fel y maent yn berthnasol i'r camau nesaf yn y llyfr chwarae.

Iteru: Os nad yw'r canlyniadau cychwynnol yn foddhaol, mireinio'ch ysgogiad, darparu gwybodaeth ychwanegol, a gofyn cwestiynau dilynol i arwain Gemini tuag at ymateb gwell.

Cynhwyswch amodau gweithredu (ar gyfer creu llyfr chwarae yn unig): Gallwch wella effeithiolrwydd yr anogwr wrth greu llyfr chwarae trwy ofyn am gamau ychwanegol fel cyfoethogi data.

Gwirio cywirdeb: Cofiwch fod Gemini yn offeryn AI, a dylai ei ymatebion bob amser gael eu dilysu yn erbyn eich gwybodaeth eich hun a ffynonellau eraill sydd ar gael.

Defnyddio anogwyr mewn Gweithrediadau Diogelwch

Gellir defnyddio Gemini mewn amrywiaeth o ffyrdd mewn Gweithrediadau Diogelwch, gan gynnwys chwilio mewn-lein, cymorth sgwrsio, a chynhyrchu llyfrau chwarae. Ar ôl derbyn crynodebau achos a gynhyrchir gan AI, gall Gemini helpu ymarferwyr gyda:

1. Canfod bygythiadau ac ymchwilio iddynt
2. Holi ac Ateb yn ymwneud â diogelwch
3. Cenhedlaeth Playbook
4. Crynhoi cudd-wybodaeth bygythiad

Mae Google Security Operations (SecOps) wedi'i gyfoethogi â gwybodaeth rheng flaen gan Mandiant, a chudd-wybodaeth torfol gan VirusTotal a all helpu timau diogelwch:

Cyrchu a dadansoddi gwybodaeth am fygythiadau yn gyflym: Gofynnwch gwestiynau iaith naturiol am actorion bygythiad, teuluoedd malware, gwendidau, ac IOCs.

Cyflymu hela a chanfod bygythiadau: Cynhyrchu ymholiadau chwilio UDM a rheolau canfod yn seiliedig ar ddata cudd-wybodaeth bygythiadau.

Blaenoriaethu risgiau diogelwch: Deall pa fygythiadau sydd fwyaf perthnasol i'w sefydliad a chanolbwyntio ar y gwendidau mwyaf hanfodol.

Ymateb yn fwy effeithiol i ddigwyddiadau diogelwch: Cyfoethogi rhybuddion diogelwch gyda chyd-destun cudd-wybodaeth bygythiadau a chael argymhellion ar gyfer camau adfer.

Gwella ymwybyddiaeth o ddiogelwch: Creu deunyddiau hyfforddi deniadol yn seiliedig ar wybodaeth am fygythiadau yn y byd go iawn.

Defnyddio achosion ar gyfer Gweithrediadau Diogelwch

Canfod bygythiadau ac ymchwilio iddynt

Creu ymholiadau, cynhyrchu rheolau, monitro digwyddiadau, ymchwilio i rybuddion, chwilio am ddata (cynhyrchu ymholiadau UDM).

Senario: Mae dadansoddwr bygythiadau yn ymchwilio i rybudd newydd ac eisiau gwybod a oes unrhyw dystiolaeth yn yr amgylchedd o orchymyn penodol a ddefnyddir i ymdreiddio i seilwaith trwy ychwanegu ei hun at y gofrestrfa.

Sampanogwr: Crëwch ymholiad i ddod o hyd i unrhyw ddigwyddiadau addasu cofrestrfa ar [enw gwesteiwr] dros y [cyfnod amser] diwethaf.

Anogwr dilynol: Cynhyrchu rheol i helpu i ganfod yr ymddygiad hwnnw yn y dyfodol.

Senario: Dywed dadansoddwr fod intern yn gwneud “pethau” amheus a'i fod am gael gwell dealltwriaeth o'r hyn oedd yn digwydd.

Sampanogwr: Dangoswch i mi ddigwyddiadau cysylltiad rhwydwaith ar gyfer y defnyddiwr gan ddechrau gyda tim. smith (ansensitif achos) am y 3 diwrnod diwethaf.

Anogwr dilynol: Cynhyrchu rheol YARA-L i ganfod ar gyfer y gweithgaredd hwn yn y dyfodol.

Senario: Mae dadansoddwr diogelwch yn derbyn rhybudd am weithgarwch amheus ar gyfrif defnyddiwr.

Sampanogwr: Dangoswch i mi ddigwyddiadau mewngofnodi defnyddiwr sydd wedi'u blocio gyda chod digwyddiad o 4625 lle src.
nid yw enw gwesteiwr yn null.

Anogwr dilynol: Faint o ddefnyddwyr sydd wedi'u cynnwys yn y set canlyniadau?

Holi ac Ateb yn ymwneud â diogelwch

Senario: Mae dadansoddwr diogelwch yn ymuno â swydd newydd ac yn sylwi bod Gemini wedi crynhoi achos gyda chamau argymelledig ar gyfer ymchwilio ac ymateb. Maen nhw eisiau dysgu mwy am y drwgwedd a nodwyd yn y crynodeb achos.

Sampanogwr: Beth yw [enw'r drwgwedd]?

Anogwr dilynol: Sut mae [enw'r malware] yn parhau?

Senario: Mae dadansoddwr diogelwch yn derbyn rhybudd am rywun a allai fod yn faleisus file stwnsh.

Sampanogwr: Ai hwn file hash [rhowch yr hash] y gwyddys ei fod yn faleisus?

Anogwr dilynol: Pa wybodaeth arall sydd ar gael am hyn file?

Senario: Mae angen i ymatebwr digwyddiad nodi ffynhonnell y maleisus file.

Sampanogwr: Beth yw'r file hash o'r gweithredadwy “[malware.exe]”?

Anogwyr dilynol:

• Cyfoethogwch gyda chudd-wybodaeth bygythiad gan VirusTotal i gael gwybodaeth am hyn file stwnsh; a yw'n hysbys ei fod yn faleisus?
• A welwyd y hash hwn yn fy amgylchedd?
• Beth yw'r camau cyfyngu ac adfer a argymhellir ar gyfer y drwgwedd hwn?

Cenhedlaeth Playbook

Gweithredwch ac adeiladu llyfrau chwarae.

Senario: Mae peiriannydd diogelwch eisiau awtomeiddio'r broses o ymateb i e-byst gwe-rwydo.

Sampanogwr: Creu llyfr chwarae sy'n sbarduno pan fydd e-bost yn cael ei dderbyn gan anfonwr gwe-rwydo hysbys. Dylai'r llyfr chwarae roi'r e-bost mewn cwarantîn a hysbysu'r tîm diogelwch.

Senario: Mae aelod o'r tîm SOC eisiau rhoi cwarantin maleisus yn awtomatig files.

Sampanogwr: Ysgrifennwch lyfr chwarae ar gyfer rhybuddion malware. Dylai'r llyfr chwarae gymryd y file hash o'r rhybudd a'i gyfoethogi â gwybodaeth gan VirusTotal. Os bydd y file hash yn faleisus, cwarantin y file.

Senario: Mae dadansoddwr bygythiad eisiau creu llyfr chwarae newydd a all helpu i ymateb i rybuddion yn y dyfodol sy'n ymwneud â newidiadau allweddol y gofrestrfa.

Sampanogwr: Adeiladu llyfr chwarae ar gyfer y rhybuddion newidiadau allwedd cofrestrfa hynny. Rwyf am i'r llyfr chwarae hwnnw gael ei gyfoethogi â phob math o endid gan gynnwys cudd-wybodaeth rheng flaen bygythiad VirusTotal a Mandiant. Os canfyddir unrhyw beth amheus, crëwch achos tags ac yna blaenoriaethu'r achos yn unol â hynny.

Crynhoi cudd-wybodaeth bygythiad

Cael mewnwelediad am fygythiadau ac actorion bygythiadau.

Senario: Mae rheolwr gweithrediadau diogelwch eisiau deall patrymau ymosod actor bygythiad penodol.

Sampanogwr: Beth yw'r tactegau, technegau a gweithdrefnau hysbys (TTPs) a ddefnyddir gan APT29?

Anogwr dilynol: A oes unrhyw ddarganfyddiadau wedi'u curadu yn Google SecOps a all helpu i nodi gweithgarwch sy'n gysylltiedig â'r TTPs hyn?

Senario: Mae dadansoddwr cudd-wybodaeth bygythiad yn dysgu am fath newydd o faleiswedd (“emotet”) ac yn rhannu adroddiad o’u hymchwil gyda’r tîm SOC.

Sampanogwr: Beth yw'r dangosyddion cyfaddawd (IOCs) sy'n gysylltiedig â'r malware emotet?

Anogwyr dilynol:

• Cynhyrchu ymholiad chwilio UDM i chwilio am yr IOCs hyn yn logiau fy sefydliad.
• Creu rheol ganfod a fydd yn fy rhybuddio os bydd unrhyw un o'r IOCs hyn yn cael eu harsylwi yn y dyfodol.

Senario: Mae ymchwilydd diogelwch wedi nodi gwesteiwyr yn eu hamgylchedd sy'n cyfathrebu â gweinyddwyr gorchymyn a rheoli (C2) hysbys sy'n gysylltiedig ag actor bygythiad penodol.

Sampanogwr: Cynhyrchu ymholiad i ddangos i mi yr holl gysylltiadau rhwydwaith allanol i gyfeiriadau IP a pharthau sy'n gysylltiedig â: [enw'r actor bygythiad].

Trwy ddefnyddio Gemini yn effeithiol, gall timau diogelwch wella eu galluoedd cudd-wybodaeth bygythiad a gwella eu hystum diogelwch cyffredinol. Dim ond ychydig o gynampllai o sut y gellir defnyddio Gemini i wella gweithrediadau diogelwch.
Wrth i chi ddod yn fwy cyfarwydd â'r offeryn, fe welwch lawer o ffyrdd eraill o'i ddefnyddio i'ch advantage. Gellir dod o hyd i fanylion ychwanegol ar ddogfennaeth cynnyrch Google SecOps tudalen.

Defnyddio awgrymiadau yn Threat Intelligence

Er y gellir defnyddio Google Threat Intelligence yn yr un modd â pheiriant chwilio traddodiadol gyda thermau yn unig, gall defnyddwyr hefyd gyflawni canlyniadau bwriedig trwy greu anogwyr penodol.
Gellir defnyddio awgrymiadau Gemini mewn amrywiaeth o ffyrdd yn Threat Intelligence, o chwilio am dueddiadau eang, i ddeall bygythiadau penodol a darnau o faleiswedd, gan gynnwys:

1. Dadansoddiad cudd-wybodaeth bygythiad
2. Chwilio am fygythiadau yn rhagweithiol
3. Proffilio actor bygythiad
4. Blaenoriaethu bregusrwydd
5. Cyfoethogi rhybuddion diogelwch
6. Trosoledd MITER ATT&CK

Defnyddio achosion ar gyfer Cudd-wybodaeth Bygythiad

Dadansoddiad cudd-wybodaeth bygythiad

Senario: Mae dadansoddwr cudd-wybodaeth bygythiad eisiau dysgu mwy am deulu malware sydd newydd ei ddarganfod.

Sampanogwr: Beth sy'n hysbys am y malware "Emotet"? Beth yw ei alluoedd a sut mae'n lledaenu?

Anogwr cysylltiedig: Beth yw'r dangosyddion cyfaddawd (IOCs) sy'n gysylltiedig â'r malware emotet?

Senario: Mae dadansoddwr yn ymchwilio i grŵp ransomware newydd ac eisiau deall eu tactegau, technegau a gweithdrefnau (TTPs) yn gyflym.

Sampanogwr: Crynhowch TTPs hysbys y grŵp ransomware “LockBit 3.0.” Cynhwyswch wybodaeth am eu dulliau mynediad cychwynnol, technegau symud ochrol, a thactegau cribddeiliaeth dewisol.

Awgrymiadau cysylltiedig:

• Beth yw'r dangosyddion cyffredin o gyfaddawd (IOCs) sy'n gysylltiedig â LockBit 3.0?
• A fu unrhyw adroddiadau cyhoeddus diweddar neu ddadansoddiad o ymosodiadau LockBit 3.0?

Chwilio am fygythiadau yn rhagweithiol

Senario: Mae dadansoddwr cudd-wybodaeth bygythiad eisiau chwilio'n rhagweithiol am arwyddion o deulu malware penodol y gwyddys ei fod yn targedu eu diwydiant.

Sampanogwr: Beth yw'r dangosyddion cyffredin o gyfaddawd (IOCs) sy'n gysylltiedig â'r meddalwedd maleisus “Trickbot”?

Senario: Mae ymchwilydd diogelwch eisiau nodi unrhyw westeion yn eu hamgylchedd sy'n cyfathrebu â gweinyddwyr gorchymyn a rheoli hysbys (C2) sy'n gysylltiedig ag actor bygythiad penodol.

Sampanogwr: Beth yw'r cyfeiriadau IP C2 hysbys a'r parthau a ddefnyddir gan yr actor bygythiad “[Enw]”?

Proffilio actor bygythiad

Senario: Mae tîm cudd-wybodaeth bygythiadau yn olrhain gweithgareddau grŵp APT a amheuir ac eisiau datblygu pro cynhwysfawrfile.

Sampanogwr: Cynhyrchu profile yr actor bygythiad “APT29”. Cynhwyswch eu arallenwau hysbys, gwlad tarddiad amheus, cymhellion, targedau nodweddiadol, a TTPs a ffefrir.

Anogwr cysylltiedig: Dangoswch i mi linell amser o ymosodiadau mwyaf nodedig APT29 campaign a llinell amser.

Blaenoriaethu bregusrwydd

Senario: Mae tîm rheoli bregusrwydd eisiau blaenoriaethu ymdrechion adfer yn seiliedig ar y dirwedd fygythiad.

Sampanogwr: Pa wendidau Palo Alto Networks sy'n cael eu hecsbloetio'n weithredol gan actorion bygythiad yn y gwyllt?

Anogwr cysylltiedig: Crynhowch y gorchestion hysbys ar gyfer CVE-2024-3400 a CVE-2024-0012.

Senario: Mae tîm diogelwch wedi'i lethu â chanlyniadau sganiau bregusrwydd ac eisiau blaenoriaethu ymdrechion adfer yn seiliedig ar gudd-wybodaeth bygythiad.

Sampanogwr: Pa rai o'r gwendidau canlynol sydd wedi'u crybwyll mewn adroddiadau cudd-wybodaeth bygythiadau diweddar: [rhestrwch wendidau a nodwyd]?

Awgrymiadau cysylltiedig:

• A oes unrhyw orchestion hysbys ar gael ar gyfer y gwendidau canlynol: [rhestrwch wendidau a nodwyd]?
• Pa rai o'r gwendidau canlynol sydd fwyaf tebygol o gael eu hecsbloetio gan weithredwyr bygythiad: [rhestrwch wendidau a nodwyd]? Rhowch flaenoriaeth iddynt ar sail eu difrifoldeb, eu hecsbloetio a'u perthnasedd i'n diwydiant.

Cyfoethogi rhybuddion diogelwch

Senario: Mae dadansoddwr diogelwch yn derbyn rhybudd am ymgais amheus i fewngofnodi o gyfeiriad IP anghyfarwydd.

Sampanogwr: Beth sy'n hysbys am y cyfeiriad IP [rhowch IP]?

Trosoledd MITER ATT&CK

Senario: Mae tîm diogelwch eisiau defnyddio fframwaith MITER ATT&CK i ddeall sut y gallai actor bygythiad penodol dargedu eu sefydliad.

Sampanogwr: Dangoswch i mi y technegau MITER ATT&CK sy'n gysylltiedig â'r actor bygythiad APT38.

Mae Gemini yn offeryn pwerus y gellir ei ddefnyddio i wella Gweithrediadau Diogelwch a Cudd-wybodaeth Bygythiad. Trwy ddilyn yr arferion gorau a amlinellir yn y canllaw hwn, gallwch greu anogwyr effeithiol a fydd yn eich helpu i gael y gorau o Gemini.

Nodyn: Mae'r canllaw hwn yn darparu awgrymiadau ar gyfer defnyddio Gemini yn Google SecOps a Gemini in Threat Intelligence. Nid yw'n rhestr gynhwysfawr o'r holl achosion defnydd posibl, a gall galluoedd penodol Gemini amrywio yn dibynnu ar rifyn eich cynnyrch. Dylech edrych ar y dogfennau swyddogol i gael y wybodaeth ddiweddaraf.

Gemini
mewn Gweithrediadau Diogelwch

Gemini
mewn Cudd-wybodaeth Bygythiad