Mwongozo wa Mmiliki wa APP ya Gemini Google Cloud

Gemini ni zana madhubuti ya AI ambayo inaweza kutumika kusaidia Uendeshaji wa Usalama wa Google na watumiaji wa Ujasusi wa Google Threat. Mwongozo huu utakupatia maelezo unayohitaji ili kuanza kutumia Gemini na kuunda vidokezo vinavyofaa.

Kuunda vidokezo na Gemini

Wakati wa kuunda kidokezo, utahitaji kumpa Gemini habari ifuatayo:

1. Aina ya kidokezo unachotaka kuunda, ikiwa inatumika (km
   "Tengeneza sheria")
2. Muktadha wa arifa
3. Pato linalohitajika

Watumiaji wanaweza kuunda vidokezo mbalimbali, ikiwa ni pamoja na maswali, amri na muhtasari.

Mbinu bora za kuunda vidokezo

Wakati wa kuunda vidokezo, ni muhimu kuzingatia mazoea bora yafuatayo:

Tumia lugha asilia: Andika kana kwamba unazungumza amri na eleza mawazo kamili katika sentensi kamili.

Toa muktadha: Jumuisha maelezo muhimu ili kusaidia Gemini kuelewa ombi lako, kama vile muda, vyanzo mahususi vya kumbukumbu au maelezo ya mtumiaji. Kadiri unavyotoa muktadha zaidi, ndivyo matokeo yatakavyokuwa muhimu na yenye manufaa.

Kuwa mahususi na mafupi: Taja maelezo unayotafuta au kazi unayotaka Gemini ifanye. Eleza madhumuni, kichochezi, kitendo, na hali/masharti.
Kwa mfanoample, muulize msaidizi: “Hii ni (file jina, n.k.) inayojulikana kuwa yenye nia mbaya?” na ikiwa inajulikana, unaweza kuuliza "Tafuta hii (file) katika mazingira yangu.”

Jumuisha malengo wazi: Anza na lengo lililo wazi na ubainishe vichochezi ambavyo vitawezesha jibu.

Tumia mbinu zote: Tumia utendakazi wa utafutaji wa mtandaoni, msaidizi wa gumzo, na jenereta ya kitabu cha kucheza kwa mahitaji yako tofauti.

Viunganishi vya marejeleo (kwa uundaji wa vitabu vya kucheza pekee): Omba na ubainishe miunganisho ambayo tayari umesakinisha na kusanidi katika mazingira yako jinsi yanavyohusiana na hatua zinazofuata kwenye kitabu cha kucheza.

Rudia: Ikiwa matokeo ya awali hayaridhishi, boresha kidokezo chako, toa maelezo ya ziada, na uulize maswali ya kufuatilia ili kuelekeza Gemini kuelekea jibu bora.

Jumuisha masharti ya hatua (kwa uundaji wa kitabu cha kucheza pekee): Unaweza kuboresha ufanisi wa kidokezo unapounda kitabu cha kucheza kwa kuomba hatua za ziada kama vile kuboresha data.

Thibitisha usahihi: Kumbuka kwamba Gemini ni chombo cha AI, na majibu yake yanapaswa kuthibitishwa dhidi ya ujuzi wako mwenyewe na vyanzo vingine vinavyopatikana.

Kutumia vidokezo katika Operesheni za Usalama

Gemini inaweza kutumika kwa njia mbalimbali katika Operesheni za Usalama, ikijumuisha utafutaji wa mtandaoni, usaidizi wa gumzo na kutengeneza vitabu vya kucheza. Baada ya kupokea muhtasari wa kesi zinazozalishwa na AI, Gemini inaweza kuwasaidia watendaji na:

1. Utambuzi na uchunguzi wa tishio
2. Maswali na Majibu yanayohusiana na usalama
3. Uzalishaji wa kitabu cha kucheza
4. Muhtasari wa upelelezi wa vitisho

Operesheni za Usalama za Google (SecOps) zimeboreshwa na ujasusi wa mstari wa mbele kutoka Mandiant, na ujasusi kutoka kwa VirusTotal ambao unaweza kusaidia timu za usalama:

Fikia na uchanganue akili tishio kwa haraka: Uliza maswali ya lugha asilia kuhusu waigizaji tishio, familia zisizo na virusi, udhaifu na IOC.

Kuharakisha uwindaji na ugunduzi wa vitisho: Tengeneza hoja za utafutaji za UDM na sheria za utambuzi kulingana na data ya kijasusi ya vitisho.

Tanguliza hatari za usalama: Elewa ni matishio gani yanafaa zaidi kwa shirika lao na uzingatie udhaifu mkubwa zaidi.

Jibu kwa ufanisi zaidi matukio ya usalama: Boresha arifa za usalama kwa muktadha wa kijasusi wa vitisho na upate mapendekezo ya hatua za kurekebisha.

Boresha ufahamu wa usalama: Unda nyenzo za mafunzo zinazohusisha kulingana na akili tishio la ulimwengu halisi.

Tumia kesi kwa Operesheni za Usalama

Utambuzi na uchunguzi wa tishio

Unda maswali, toa sheria, fuatilia matukio, chunguza arifa, tafuta data (toa hoja za UDM).

Mazingira: Mchambuzi wa vitisho anachunguza tahadhari mpya na anataka kujua ikiwa kuna ushahidi wowote katika mazingira ya amri fulani inayotumiwa kupenyeza miundombinu kwa kujiongeza kwenye sajili.

Sampna haraka: Unda swali ili kupata matukio yoyote ya urekebishaji wa sajili kwenye [jina la mwenyeji] katika muda uliopita [muda].

Agizo la ufuatiliaji: Tengeneza sheria ili kusaidia kugundua tabia hiyo katika siku zijazo.

Mazingira: Mchanganuzi anaambiwa kwamba mwanafunzi wa ndani alikuwa akifanya "vitu" vya kutiliwa shaka na alitaka kupata ufahamu bora wa kile kilichokuwa kikitokea.

Sampna haraka: Nionyeshe matukio ya muunganisho wa mtandao kwa mtumiajiid kuanzia na time. smith (haijalishi kesi) kwa siku 3 zilizopita.

Agizo la ufuatiliaji: Tengeneza sheria ya YARA-L ili kugundua shughuli hii katika siku zijazo.

Mazingira: Mchanganuzi wa usalama hupokea arifa kuhusu shughuli za kutiliwa shaka kwenye akaunti ya mtumiaji.

Sampna haraka: Nionyeshe matukio ya kuingia kwa mtumiaji yaliyozuiwa na msimbo wa tukio wa 4625 ambapo src.
jina la mwenyeji sio batili.

Agizo la ufuatiliaji: Je, watumiaji wangapi wamejumuishwa kwenye seti ya matokeo?

Maswali na Majibu yanayohusiana na usalama

Mazingira: Mchanganuzi wa masuala ya usalama anaingia kwenye kazi mpya na anaarifu kwamba Gemini amefanya muhtasari wa kesi na hatua zinazopendekezwa za uchunguzi na majibu. Wanataka kujifunza zaidi kuhusu programu hasidi iliyotambuliwa katika muhtasari wa kesi.

Sampna haraka: [jina la programu hasidi] ni nini?

Agizo la ufuatiliaji: [jina la programu hasidi] huendelea vipi?

Mazingira: Mchanganuzi wa usalama anapokea arifa kuhusu mtu anayeweza kuwa mbaya file hashi.

Sampna haraka: Je! file hash [weka hash] inayojulikana kuwa mbaya?

Agizo la ufuatiliaji: Ni habari gani nyingine inayopatikana kuhusu hii file?

Mazingira: Mjibu wa tukio anahitaji kutambua chanzo cha uovu file.

Sampna haraka: Ni nini file heshi ya inayoweza kutekelezwa “[malware.exe]”?

Maagizo ya kufuata:

• Boresha na ujasusi wa tishio kutoka kwa VirusTotal kwa habari kuhusu hili file heshi; inajulikana kuwa ni mbaya?
• Je, hii imezingatiwa katika mazingira yangu?
• Je, ni hatua gani zinazopendekezwa za kuzuia na kurekebisha programu hasidi hii?

Uzalishaji wa kitabu cha kucheza

Chukua hatua na uunde vitabu vya kucheza.

Mazingira: Mhandisi wa usalama anataka kubadilisha mchakato wa kujibu barua pepe za kuhadaa kiotomatiki.

Sampna haraka: Unda kitabu cha kucheza ambacho huanzisha barua pepe inapopokelewa kutoka kwa mtumaji wa hadaa anayejulikana. Kitabu cha kucheza kinapaswa kuweka barua pepe karantini na kuarifu timu ya usalama.

Mazingira: Mwanachama wa timu ya SOC anataka kuweka karantini kiotomatiki kwa nia mbaya files.

Sampna haraka: Andika kitabu cha kucheza kwa arifa za programu hasidi. Kitabu cha kucheza kinapaswa kuchukua file heshi kutoka kwa tahadhari na kuiboresha kwa akili kutoka VirusTotal. Ikiwa file hash ni mbaya, karantini file.

Mazingira: Mchanganuzi wa vitisho anataka kuunda kitabu kipya cha kucheza ambacho kinaweza kusaidia kujibu arifa za siku zijazo zinazohusiana na mabadiliko muhimu ya usajili.

Sampna haraka: Unda kitabu cha kucheza kwa arifa hizo za mabadiliko ya vitufe vya usajili. Ninataka kitabu hicho cha kucheza kiboreshwe kwa aina zote za huluki ikijumuisha VirusTotal na ujasusi wa mstari wa mbele wa tishio wa Mandiant. Ikiwa kitu chochote cha kutiliwa shaka kitatambuliwa, tengeneza kesi tags na kisha kuipa kipaumbele kesi ipasavyo.

Muhtasari wa upelelezi wa vitisho

Pata maarifa kuhusu vitisho na watendaji tishio.

Mazingira: Msimamizi wa shughuli za usalama anataka kuelewa mifumo ya mashambulizi ya mwigizaji tishio mahususi.

Sampna haraka: Je, ni mbinu, mbinu na taratibu (TTPs) zinazojulikana zinazotumiwa na APT29?

Agizo la ufuatiliaji: Je, kuna ugunduzi wowote ulioratibiwa katika Google SecOps ambao unaweza kusaidia kutambua shughuli zinazohusiana na TTP hizi?

Mazingira: Mchambuzi wa masuala ya kijasusi tishio hujifunza kuhusu aina mpya ya programu hasidi ("emotet") na kushiriki ripoti kutoka kwa utafiti wao na timu ya SOC.

Sampna haraka: Je, ni viashirio gani vya maelewano (IOCs) vinavyohusishwa na programu hasidi ya emotet?

Maagizo ya kufuata:

• Tengeneza hoja ya utafutaji ya UDM ili kutafuta IOC hizi kwenye kumbukumbu za shirika langu.
• Unda sheria ya ugunduzi ambayo itaniarifu ikiwa mojawapo ya IOC hizi itazingatiwa katika siku zijazo.

Mazingira: Mtafiti wa usalama ametambua wapangishi katika mazingira yao wanaowasiliana na seva za amri na udhibiti (C2) zinazojulikana zinazohusishwa na mwigizaji tishio fulani.

Sampna haraka: Tengeneza swali ili kunionyesha miunganisho yote ya mtandao inayotoka kwa anwani za IP na vikoa vinavyohusishwa na: [jina la mwigizaji tishio].

Kwa kutumia Gemini ipasavyo, timu za usalama zinaweza kuimarisha uwezo wao wa kijasusi wa vitisho na kuboresha mkao wao wa usalama kwa ujumla. Hawa ni wa zamani wachache tuampmaelezo ya jinsi Gemini inaweza kutumika kuboresha shughuli za usalama.
Unapofahamiana zaidi na zana, utapata njia zingine nyingi za kuitumia kwa advan yakotage. Maelezo ya ziada yanaweza kupatikana kwenye hati za bidhaa za Google SecOps ukurasa.

Kutumia vidokezo katika Ujasusi wa Tishio

Ingawa Google Threat Intelligence inaweza kutumika sawa na injini ya utafutaji ya kitamaduni yenye maneno pekee, watumiaji wanaweza pia kupata matokeo yaliyokusudiwa kwa kuunda vidokezo maalum.
Vidokezo vya Gemini vinaweza kutumika kwa njia mbalimbali katika Ujasusi wa Tishio, kutoka kwa kutafuta mitindo pana, hadi kuelewa vitisho mahususi na vipande vya programu hasidi, ikijumuisha:

1. Uchambuzi wa ujasusi wa vitisho
2. Uwindaji wa tishio thabiti
3. Uwekaji wasifu wa mwigizaji tishio
4. Uwekaji kipaumbele wa mazingira magumu
5. Kuboresha arifa za usalama
6. Kutumia MITER ATT&CK

Tumia kesi kwa Intelligence ya Tishio

Uchambuzi wa ujasusi wa vitisho

Mazingira: Mchambuzi wa masuala ya kijasusi tishio anataka kujifunza zaidi kuhusu familia iliyogunduliwa hivi karibuni ya programu hasidi.

Sampna haraka: Ni nini kinachojulikana kuhusu programu hasidi "Emotet"? Je, uwezo wake ni nini na unaeneaje?

Mwongozo unaohusiana: Je, ni viashirio gani vya maelewano (IOCs) vinavyohusishwa na programu hasidi ya emotet?

Mazingira: Mchanganuzi anachunguza kikundi kipya cha programu ya ukombozi na anataka kuelewa kwa haraka mbinu, mbinu na taratibu zao (TTPs).

Sampna haraka: Fanya muhtasari wa TTP zinazojulikana za kikundi cha programu ya ukombozi "LockBit 3.0." Jumuisha maelezo kuhusu mbinu zao za awali za ufikiaji, mbinu za harakati za kando, na mbinu za ulafi zinazopendekezwa.

Vidokezo vinavyohusiana:

• Ni viashiria vipi vya kawaida vya maelewano (IOCs) vinavyohusishwa na LockBit 3.0?
• Je! kumekuwa na ripoti za hivi karibuni za umma au uchanganuzi wa shambulio la LockBit 3.0?

Uwindaji wa tishio thabiti

Mazingira: Mchambuzi wa masuala ya kijasusi tishio anataka kutafuta kwa makini ishara za familia mahususi ya programu hasidi inayojulikana kulenga tasnia yao.

Sampna haraka: Je, ni viashirio gani vya kawaida vya maelewano (IOCs) vinavyohusishwa na programu hasidi ya "Trickbot"?

Mazingira: Mtafiti wa usalama anataka kutambua wapangishi wowote katika mazingira yao wanaowasiliana na seva za amri na udhibiti (C2) zinazojulikana zinazohusishwa na mwigizaji tishio fulani.

Sampna haraka: Je, ni anwani zipi za IP za C2 na vikoa vinavyotumiwa na mwigizaji tishio “[Jina]”?

Uwekaji wasifu wa mwigizaji tishio

Mazingira: Timu ya kijasusi tishio inafuatilia shughuli za kundi linaloshukiwa kuwa la APT na inataka kubuni mtaalamu wa kina.file.

Sampna haraka: Tengeneza mtaalamufile ya mwigizaji tishio "APT29". Jumuisha lakabu zao zinazojulikana, nchi zinazoshukiwa asili, vivutio, malengo ya kawaida na TTP zinazopendelewa.

Mwongozo unaohusiana: Nionyeshe ratiba ya mashambulio mashuhuri zaidi ya APT29 campaign na ratiba.

Uwekaji kipaumbele wa mazingira magumu

Mazingira: Timu ya usimamizi wa athari inataka kutanguliza juhudi za urekebishaji kulingana na mazingira ya tishio.

Sampna haraka: Ni udhaifu gani wa Mitandao ya Palo Alto unatumiwa kikamilifu na watendaji tishio porini?

Mwongozo unaohusiana: Fanya muhtasari wa matumizi yanayojulikana ya CVE-2024-3400 na CVE-2024-0012.

Mazingira: Timu ya usalama imelemewa na matokeo ya uchunguzi wa uwezekano wa kuathiriwa na inataka kutanguliza juhudi za urekebishaji kulingana na taarifa za vitisho.

Sampna haraka: Ni udhaifu upi kati ya zifuatazo ambao umetajwa katika ripoti za hivi majuzi za kijasusi za tishio: [orodha ya udhaifu uliotambuliwa]?

Vidokezo vinavyohusiana:

• Je, kuna matumizi yoyote yanayojulikana yanayopatikana kwa udhaifu ufuatao: [orodha ya udhaifu uliotambuliwa]?
• Je, ni udhaifu gani kati ya ufuatao unao uwezekano mkubwa wa kutumiwa na watendaji vitisho: [orodha ya udhaifu uliotambuliwa]? Zipe kipaumbele kulingana na ukali wao, unyonyaji na umuhimu kwa tasnia yetu.

Kuboresha arifa za usalama

Mazingira: Mchanganuzi wa usalama anapokea arifa kuhusu jaribio la kutiliwa shaka la kuingia kutoka kwa anwani ya IP isiyojulikana.

Sampna haraka: Ni nini kinachojulikana kuhusu anwani ya IP [toa IP]?

Kutumia MITER ATT&CK

Mazingira: Timu ya usalama inataka kutumia mfumo wa MITER ATT&CK kuelewa jinsi muigizaji tishio mahususi anaweza kulenga shirika lao.

Sampna haraka: Nionyeshe mbinu za MITER ATT&CK zinazohusiana na mwigizaji tishio APT38.

Gemini ni zana yenye nguvu ambayo inaweza kutumika kuboresha Operesheni za Usalama na Ujasusi wa Tishio. Kwa kufuata mbinu bora zilizoainishwa katika mwongozo huu, unaweza kuunda vidokezo vyema ambavyo vitakusaidia kupata manufaa zaidi kutoka kwa Gemini.

Kumbuka: Mwongozo huu unatoa mapendekezo ya kutumia Gemini kwenye Google SecOps na Gemini in Threat Intelligence. Sio orodha kamili ya matukio yote ya utumiaji yanayowezekana, na uwezo mahususi wa Gemini unaweza kutofautiana kulingana na toleo la bidhaa yako. Unapaswa kushauriana na hati rasmi kwa habari iliyosasishwa zaidi.

Gemini
katika Operesheni za Usalama

Gemini
katika Ujasusi wa Tishio

Nyaraka / Rasilimali

Gemini Google Cloud APP [pdf] Mwongozo wa Mmiliki Google Cloud APP, Google, Cloud APP, APP

Marejeleo

• Mwongozo wa Mtumiaji