Hướng dẫn sử dụng Gemini Google Cloud APP

Gemini là một công cụ AI mạnh mẽ có thể được sử dụng để hỗ trợ người dùng Google Security Operations và Google Threat Intelligence. Hướng dẫn này sẽ cung cấp cho bạn thông tin cần thiết để bắt đầu sử dụng Gemini và tạo lời nhắc hiệu quả.

Tạo lời nhắc với Gemini

Khi tạo lời nhắc, bạn sẽ cần cung cấp cho Gemini những thông tin sau:

1. Loại lời nhắc bạn muốn tạo, nếu có thể (ví dụ:
   “Tạo một quy tắc”)
2. Bối cảnh cho lời nhắc
3. Đầu ra mong muốn

Người dùng có thể tạo nhiều lời nhắc khác nhau, bao gồm câu hỏi, lệnh và tóm tắt.

Thực hành tốt nhất để tạo lời nhắc

Khi tạo lời nhắc, điều quan trọng là phải ghi nhớ các biện pháp tốt nhất sau đây:

Sử dụng ngôn ngữ tự nhiên: Viết như thể bạn đang ra lệnh và diễn đạt toàn bộ suy nghĩ bằng câu hoàn chỉnh.

Cung cấp bối cảnh: Bao gồm các chi tiết có liên quan để giúp Gemini hiểu yêu cầu của bạn, chẳng hạn như khung thời gian, nguồn nhật ký cụ thể hoặc thông tin người dùng. Bạn cung cấp càng nhiều ngữ cảnh thì kết quả sẽ càng có liên quan và hữu ích.

Hãy cụ thể và súc tích: Nêu rõ thông tin bạn đang tìm kiếm hoặc nhiệm vụ bạn muốn Gemini thực hiện. Nêu chi tiết mục đích, tác nhân, hành động và điều kiện.
Ví dụample, hãy hỏi trợ lý: “Đây có phải là (file tên, v.v.) được biết là có hại không?” và nếu được biết là như vậy, bạn có thể yêu cầu “Tìm kiếm cái này (file) trong môi trường của tôi.”

Bao gồm các mục tiêu rõ ràng: Bắt đầu bằng một mục tiêu rõ ràng và chỉ định các yếu tố kích hoạt phản ứng.

Tận dụng mọi phương thức: Sử dụng chức năng tìm kiếm nội tuyến, trợ lý trò chuyện và trình tạo sổ tay hướng dẫn cho các nhu cầu khác nhau của bạn.

Tích hợp tham chiếu (chỉ dành cho việc tạo sổ tay hướng dẫn): Yêu cầu và chỉ định các tích hợp bạn đã cài đặt và cấu hình trong môi trường của mình vì chúng liên quan đến các bước tiếp theo trong sổ tay hướng dẫn.

Lặp lại: Nếu kết quả ban đầu không như mong đợi, hãy tinh chỉnh lời nhắc, cung cấp thêm thông tin và đặt câu hỏi tiếp theo để hướng dẫn Song Tử đưa ra phản hồi tốt hơn.

Bao gồm các điều kiện hành động (chỉ dành cho việc tạo sổ tay hướng dẫn): Bạn có thể tăng cường hiệu quả của lời nhắc khi tạo sổ tay hướng dẫn bằng cách yêu cầu thực hiện các bước bổ sung như làm giàu dữ liệu.

Xác minh độ chính xác: Hãy nhớ rằng Gemini là một công cụ AI và phản hồi của nó phải luôn được xác thực dựa trên kiến ​​thức của bạn và các nguồn có sẵn khác.

Sử dụng lời nhắc trong Hoạt động bảo mật

Gemini có thể được sử dụng theo nhiều cách khác nhau trong Hoạt động bảo mật, bao gồm tìm kiếm trực tuyến, hỗ trợ trò chuyện và tạo sổ tay hướng dẫn. Sau khi nhận được tóm tắt trường hợp do AI tạo ra, Gemini có thể giúp các học viên:

1. Phát hiện và điều tra mối đe dọa
2. Hỏi & Đáp liên quan đến bảo mật
3. Thế hệ playbook
4. Tóm tắt thông tin tình báo về mối đe dọa

Google Security Operations (SecOps) được tăng cường thông tin tình báo tuyến đầu từ Mandiant và thông tin tình báo cộng đồng từ VirusTotal có thể giúp các nhóm bảo mật:

Truy cập và phân tích thông tin tình báo về mối đe dọa một cách nhanh chóng: Đặt câu hỏi bằng ngôn ngữ tự nhiên về tác nhân đe dọa, nhóm phần mềm độc hại, lỗ hổng bảo mật và IOC.

Tăng tốc việc săn tìm và phát hiện mối đe dọa: Tạo truy vấn tìm kiếm UDM và các quy tắc phát hiện dựa trên dữ liệu tình báo về mối đe dọa.

Ưu tiên các rủi ro bảo mật: Hiểu mối đe dọa nào có liên quan nhất đến tổ chức của mình và tập trung vào các lỗ hổng quan trọng nhất.

Phản ứng hiệu quả hơn với các sự cố an ninh: Tăng cường cảnh báo bảo mật với bối cảnh thông tin tình báo về mối đe dọa và nhận khuyến nghị về hành động khắc phục.

Nâng cao nhận thức về an ninh: Tạo tài liệu đào tạo hấp dẫn dựa trên thông tin tình báo về mối đe dọa trong thế giới thực.

Các trường hợp sử dụng cho Hoạt động bảo mật

Phát hiện và điều tra mối đe dọa

Tạo truy vấn, tạo quy tắc, theo dõi sự kiện, điều tra cảnh báo, tìm kiếm dữ liệu (tạo truy vấn UDM).

Kịch bản: Một nhà phân tích mối đe dọa đang điều tra một cảnh báo mới và muốn biết liệu có bằng chứng nào trong môi trường cho thấy một lệnh cụ thể được sử dụng để xâm nhập vào cơ sở hạ tầng bằng cách tự thêm vào sổ đăng ký hay không.

Samplời nhắc: Tạo truy vấn để tìm bất kỳ sự kiện sửa đổi sổ đăng ký nào trên [tên máy chủ] trong [khoảng thời gian] vừa qua.

Lời nhắc tiếp theo: Tạo quy tắc để giúp phát hiện hành vi đó trong tương lai.

Kịch bản: Một nhà phân tích được thông báo rằng một thực tập sinh đang làm những "điều" đáng ngờ và muốn hiểu rõ hơn về những gì đang xảy ra.

Samplời nhắc: Hiển thị cho tôi các sự kiện kết nối mạng cho userid bắt đầu bằng tim. smith (không phân biệt chữ hoa chữ thường) trong 3 ngày qua.

Lời nhắc tiếp theo: Tạo quy tắc YARA-L để phát hiện hoạt động này trong tương lai.

Kịch bản: Một nhà phân tích bảo mật nhận được cảnh báo về hoạt động đáng ngờ trên tài khoản người dùng.

Samplời nhắc: Hiển thị cho tôi các sự kiện đăng nhập của người dùng bị chặn có mã sự kiện là 4625 trong đó src.
tên máy chủ không phải là null.

Lời nhắc tiếp theo: Có bao nhiêu người dùng được đưa vào tập kết quả?

Hỏi & Đáp liên quan đến bảo mật

Kịch bản: Một nhà phân tích bảo mật đang tham gia một công việc mới và nhận thấy Gemini đã tóm tắt một trường hợp với các bước được khuyến nghị để điều tra và phản hồi. Họ muốn tìm hiểu thêm về phần mềm độc hại được xác định trong bản tóm tắt trường hợp.

Samplời nhắc: [tên phần mềm độc hại] là gì?

Lời nhắc tiếp theo: [tên phần mềm độc hại] tồn tại như thế nào?

Kịch bản: Một nhà phân tích bảo mật nhận được cảnh báo về một phần mềm độc hại tiềm ẩn file băm.

Samplời nhắc: Đây có phải là file băm [chèn băm] được biết là độc hại?

Lời nhắc tiếp theo: Những thông tin khác có sẵn về điều này là gì? file?

Kịch bản: Người ứng phó sự cố cần xác định nguồn gốc của một hành vi độc hại file.

Samplời nhắc: Cái gì là file băm của tệp thực thi “[malware.exe]”?

Lời nhắc tiếp theo:

• Làm giàu với thông tin tình báo về mối đe dọa từ VirusTotal để biết thông tin về điều này file băm; nó có được biết là độc hại không?
• Có phải băm này được phát hiện trong môi trường của tôi không?
• Các biện pháp ngăn chặn và khắc phục được khuyến nghị cho phần mềm độc hại này là gì?

Thế hệ playbook

Hãy hành động và xây dựng cẩm nang.

Kịch bản: Một kỹ sư bảo mật muốn tự động hóa quy trình trả lời email lừa đảo.

Samplời nhắc: Tạo một playbook kích hoạt khi nhận được email từ người gửi lừa đảo đã biết. Playbook sẽ cách ly email và thông báo cho nhóm bảo mật.

Kịch bản: Một thành viên của nhóm SOC muốn tự động cách ly phần mềm độc hại files.

Samplời nhắc: Viết một sổ tay hướng dẫn cho các cảnh báo phần mềm độc hại. Sổ tay hướng dẫn nên thực hiện file băm từ cảnh báo và làm giàu nó bằng thông tin tình báo từ VirusTotal. Nếu file băm là độc hại, cách ly file.

Kịch bản: Một nhà phân tích mối đe dọa muốn tạo một sổ tay hướng dẫn mới có thể giúp phản hồi các cảnh báo trong tương lai liên quan đến thay đổi khóa sổ đăng ký.

Samplời nhắc: Xây dựng một sổ tay hướng dẫn cho những cảnh báo thay đổi khóa đăng ký đó. Tôi muốn sổ tay hướng dẫn đó được làm giàu với tất cả các loại thực thể bao gồm VirusTotal và Mandiant threat frontline intelligence. Nếu phát hiện bất kỳ điều gì đáng ngờ, hãy tạo trường hợp tags và sau đó ưu tiên trường hợp đó cho phù hợp.

Tóm tắt thông tin tình báo về mối đe dọa

Tìm hiểu sâu hơn về các mối đe dọa và tác nhân đe dọa.

Kịch bản: Người quản lý hoạt động bảo mật muốn hiểu rõ các kiểu tấn công của một tác nhân đe dọa cụ thể.

Samplời nhắc: Những chiến thuật, kỹ thuật và quy trình (TTP) được APT29 sử dụng là gì?

Lời nhắc tiếp theo: Có bất kỳ phát hiện được quản lý nào trong Google SecOps có thể giúp xác định hoạt động liên quan đến các TTP này không?

Kịch bản: Một nhà phân tích tình báo mối đe dọa tìm hiểu về một loại phần mềm độc hại mới (“emotet”) và chia sẻ báo cáo nghiên cứu của họ với nhóm SOC.

Samplời nhắc: Những chỉ số xâm phạm (IOC) nào liên quan đến phần mềm độc hại emotet?

Lời nhắc tiếp theo:

• Tạo truy vấn tìm kiếm UDM để tìm kiếm các IOC này trong nhật ký của tổ chức tôi.
• Tạo quy tắc phát hiện sẽ cảnh báo tôi nếu bất kỳ IOC nào trong số này được phát hiện trong tương lai.

Kịch bản: Một nhà nghiên cứu bảo mật đã xác định các máy chủ trong môi trường của họ đang giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) đã biết có liên quan đến một tác nhân đe dọa cụ thể.

Samplời nhắc: Tạo truy vấn để hiển thị cho tôi tất cả các kết nối mạng đi đến địa chỉ IP và tên miền được liên kết với: [tên tác nhân đe dọa].

Bằng cách sử dụng Gemini hiệu quả, các nhóm bảo mật có thể nâng cao khả năng tình báo mối đe dọa và cải thiện thế trận bảo mật tổng thể của họ. Đây chỉ là một vài ví dụampthông tin về cách Gemini có thể được sử dụng để cải thiện hoạt động bảo mật.
Khi bạn trở nên quen thuộc hơn với công cụ này, bạn sẽ tìm thấy nhiều cách khác để sử dụng nó một cách có lợi cho mình.tage. Có thể tìm thấy thông tin chi tiết bổ sung trên tài liệu sản phẩm Google SecOps trang.

Sử dụng lời nhắc trong Threat Intelligence

Mặc dù Google Threat Intelligence có thể được sử dụng tương tự như công cụ tìm kiếm truyền thống chỉ bằng các thuật ngữ, người dùng cũng có thể đạt được kết quả mong muốn bằng cách tạo lời nhắc cụ thể.
Lời nhắc Gemini có thể được sử dụng theo nhiều cách khác nhau trong Threat Intelligence, từ tìm kiếm xu hướng chung đến hiểu các mối đe dọa và phần mềm độc hại cụ thể, bao gồm:

1. Phân tích tình báo mối đe dọa
2. Săn tìm mối đe dọa chủ động
3. Hồ sơ tác nhân đe dọa
4. Ưu tiên lỗ hổng
5. Làm phong phú thêm cảnh báo bảo mật
6. Tận dụng MITRE ATT&CK

Các trường hợp sử dụng cho Threat Intelligence

Phân tích tình báo mối đe dọa

Kịch bản: Một nhà phân tích tình báo mối đe dọa muốn tìm hiểu thêm về một họ phần mềm độc hại mới được phát hiện.

Samplời nhắc: Người ta biết gì về phần mềm độc hại “Emotet”? Khả năng của nó là gì và nó lây lan như thế nào?

Lời nhắc liên quan: Những chỉ số xâm phạm (IOC) nào liên quan đến phần mềm độc hại emotet?

Kịch bản: Một nhà phân tích đang điều tra một nhóm ransomware mới và muốn nhanh chóng hiểu được chiến thuật, kỹ thuật và quy trình (TTP) của chúng.

Samplời nhắc: Tóm tắt các TTP đã biết của nhóm ransomware “LockBit 3.0”. Bao gồm thông tin về phương pháp truy cập ban đầu, kỹ thuật di chuyển ngang và chiến thuật tống tiền ưa thích của chúng.

Lời nhắc liên quan:

• Những chỉ số xâm phạm (IOC) phổ biến liên quan đến LockBit 3.0 là gì?
• Có bất kỳ báo cáo hoặc phân tích công khai nào gần đây về các cuộc tấn công LockBit 3.0 không?

Săn tìm mối đe dọa chủ động

Kịch bản: Một nhà phân tích tình báo mối đe dọa muốn chủ động tìm kiếm dấu hiệu của một họ phần mềm độc hại cụ thể được biết là nhắm vào ngành của họ.

Samplời nhắc: Những dấu hiệu xâm phạm (IOC) phổ biến liên quan đến phần mềm độc hại “Trickbot” là gì?

Kịch bản: Một nhà nghiên cứu bảo mật muốn xác định bất kỳ máy chủ nào trong môi trường của họ đang giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) đã biết có liên quan đến một tác nhân đe dọa cụ thể.

Samplời nhắc: Địa chỉ IP C2 và tên miền nào được kẻ tấn công “[Tên]” sử dụng?

Hồ sơ tác nhân đe dọa

Kịch bản: Một nhóm tình báo về mối đe dọa đang theo dõi các hoạt động của một nhóm APT bị nghi ngờ và muốn phát triển một giải pháp toàn diệnfile.

Samplời nhắc: Tạo ra một profile của tác nhân đe dọa “APT29”. Bao gồm các bí danh đã biết, quốc gia gốc bị nghi ngờ, động cơ, mục tiêu điển hình và TTP ưa thích của chúng.

Lời nhắc liên quan: Hiển thị cho tôi dòng thời gian về các cuộc tấn công đáng chú ý nhất của APT29ampcăn chỉnh và dòng thời gian.

Ưu tiên lỗ hổng

Kịch bản: Nhóm quản lý lỗ hổng muốn ưu tiên các nỗ lực khắc phục dựa trên bối cảnh mối đe dọa.

Samplời nhắc: Lỗ hổng nào của Palo Alto Networks đang bị tin tặc khai thác tích cực?

Lời nhắc liên quan: Tóm tắt các lỗ hổng đã biết đối với CVE-2024-3400 và CVE-2024-0012.

Kịch bản: Một nhóm bảo mật đang quá tải với kết quả quét lỗ hổng và muốn ưu tiên các nỗ lực khắc phục dựa trên thông tin tình báo về mối đe dọa.

Samplời nhắc: Trong các báo cáo tình báo về mối đe dọa gần đây, lỗ hổng nào sau đây được đề cập đến: [liệt kê các lỗ hổng đã xác định]?

Lời nhắc liên quan:

• Có bất kỳ cách khai thác nào được biết đến cho các lỗ hổng sau đây không: [liệt kê các lỗ hổng đã xác định]?
• Trong các lỗ hổng sau đây, lỗ hổng nào có khả năng bị tác nhân đe dọa khai thác nhiều nhất: [liệt kê các lỗ hổng đã xác định]? Ưu tiên chúng dựa trên mức độ nghiêm trọng, khả năng khai thác và mức độ liên quan đến ngành của chúng tôi.

Làm phong phú thêm cảnh báo bảo mật

Kịch bản: Một nhà phân tích bảo mật nhận được cảnh báo về nỗ lực đăng nhập đáng ngờ từ một địa chỉ IP lạ.

Samplời nhắc: Người ta biết gì về địa chỉ IP [cung cấp IP]?

Tận dụng MITRE ATT&CK

Kịch bản: Một nhóm bảo mật muốn sử dụng khuôn khổ MITRE ATT&CK để hiểu cách một tác nhân đe dọa cụ thể có thể nhắm mục tiêu vào tổ chức của họ.

Samplời nhắc: Cho tôi xem các kỹ thuật MITRE ATT&CK liên quan đến tác nhân đe dọa APT38.

Gemini là một công cụ mạnh mẽ có thể được sử dụng để cải thiện Hoạt động bảo mật và Tình báo mối đe dọa. Bằng cách làm theo các biện pháp thực hành tốt nhất được nêu trong hướng dẫn này, bạn có thể tạo ra các lời nhắc hiệu quả giúp bạn tận dụng tối đa Gemini.

Ghi chú: Hướng dẫn này cung cấp các gợi ý về cách sử dụng Gemini trong Google SecOps và Gemini trong Threat Intelligence. Đây không phải là danh sách đầy đủ tất cả các trường hợp sử dụng có thể có và các khả năng cụ thể của Gemini có thể khác nhau tùy thuộc vào phiên bản sản phẩm của bạn. Bạn nên tham khảo tài liệu chính thức để biết thông tin mới nhất.

Song Tử
trong Hoạt động An ninh

Song Tử
trong Tình báo đe dọa

Tài liệu / Tài nguyên

Ứng dụng Gemini Google Cloud [tập tin pdf] Hướng dẫn sử dụng Ứng dụng Google Cloud, Google, Ứng dụng đám mây, Ứng dụng

Tài liệu tham khảo

• Hướng dẫn sử dụng