Gemini Google Cloud APP Kullanım Kılavuzu

Gemini, Google Güvenlik Operasyonları ve Google Tehdit İstihbaratı kullanıcılarına yardımcı olmak için kullanılabilen güçlü bir AI aracıdır. Bu kılavuz, Gemini'yi kullanmaya başlamanız ve etkili istemler oluşturmanız için ihtiyaç duyduğunuz bilgileri sağlayacaktır.

Gemini ile istemler oluşturma

Bir istem oluştururken Gemini'ye aşağıdaki bilgileri sağlamanız gerekecektir:

1. Oluşturmak istediğiniz istemin türü (eğer varsa) (örn.
   “Bir kural oluştur”)
2. İstemin bağlamı
3. İstenilen çıktı

Kullanıcılar sorular, komutlar ve özetler de dahil olmak üzere çeşitli istemler oluşturabilirler.

İstemler oluşturmak için en iyi uygulamalar

İstemler oluştururken aşağıdaki en iyi uygulamaları akılda tutmak önemlidir:

Doğal dil kullanın: Sanki bir emir veriyormuş gibi yazın ve düşüncelerinizi tam cümlelerle ifade edin.

Bağlam sağlayın: Gemini'nin isteğinizi anlamasına yardımcı olmak için zaman dilimleri, belirli günlük kaynakları veya kullanıcı bilgileri gibi ilgili ayrıntıları ekleyin. Ne kadar fazla bağlam sağlarsanız sonuçlar o kadar alakalı ve yararlı olacaktır.

Belirli ve öz olun: Aradığınız bilgiyi veya Gemini'nin gerçekleştirmesini istediğiniz görevi açıkça belirtin. Amacı, tetikleyiciyi, eylemi ve koşulu(ları) ayrıntılı olarak belirtin.
ÖrneğinampPeki, asistana soralım: "Bu (file (isim vb.) kötü niyetli olduğu biliniyor mu?” ve eğer biliniyorsa “Arama Bu (file) çevremde.”

Net hedefler ekleyin: Net bir hedefle başlayın ve yanıtı harekete geçirecek tetikleyicileri belirleyin.

Tüm yöntemleri kullanın: Farklı ihtiyaçlarınız için satır içi arama işlevini, sohbet asistanını ve oyun kitabı oluşturucuyu kullanın.

Referans entegrasyonları (sadece oyun kitabı oluşturma için): Oyun kitabındaki sonraki adımlarla ilgili olarak ortamınıza zaten yüklediğiniz ve yapılandırdığınız entegrasyonları isteyin ve belirtin.

Tekrarla: İlk sonuçlar tatmin edici değilse, isteminizi geliştirin, ek bilgiler sağlayın ve Gemini'yi daha iyi bir yanıta yönlendirmek için takip soruları sorun.

Eylem koşullarını ekleyin (sadece oyun kitabı oluşturma için): Bir oyun kitabı oluştururken, veri zenginleştirme gibi ek adımlar talep ederek istemin etkinliğini artırabilirsiniz.

Doğruluğunu teyit edin: Gemini'nin bir yapay zeka aracı olduğunu ve verdiği yanıtların her zaman kendi bilginiz ve diğer mevcut kaynaklarla doğrulanması gerektiğini unutmayın.

Güvenlik İşlemlerinde istemleri kullanma

Gemini, satır içi arama, sohbet yardımı ve oyun kitabı oluşturma dahil olmak üzere Güvenlik Operasyonlarında çeşitli şekillerde kullanılabilir. AI tarafından oluşturulan vaka özetlerini aldıktan sonra, Gemini uygulayıcılara şu konularda yardımcı olabilir:

1. Tehdit tespiti ve soruşturması
2. Güvenlikle ilgili soru-cevap
3. Oyun kitabı üretimi
4. Tehdit istihbarat özeti

Google Güvenlik Operasyonları (SecOps), Mandiant'ın ön cephe istihbaratı ve VirusTotal'ın kitle kaynaklı istihbaratıyla zenginleştirilmiştir ve güvenlik ekiplerine şu konularda yardımcı olabilir:

Tehdit istihbaratına hızla erişin ve analiz edin: Tehdit aktörleri, kötü amaçlı yazılım aileleri, güvenlik açıkları ve IOC'ler hakkında doğal dil soruları sorun.

Tehdit avını ve tespitini hızlandırın: Tehdit istihbarat verilerine dayalı UDM arama sorguları ve algılama kuralları oluşturun.

Güvenlik risklerini önceliklendirin: Kuruluşunuz için hangi tehditlerin en önemli olduğunu anlayın ve en kritik güvenlik açıklarına odaklanın.

Güvenlik olaylarına daha etkili bir şekilde yanıt verin: Güvenlik uyarılarını tehdit istihbaratı bağlamıyla zenginleştirin ve düzeltme eylemleri için öneriler alın.

Güvenlik farkındalığını artırın: Gerçek dünya tehdit istihbaratına dayalı ilgi çekici eğitim materyalleri oluşturun.

Güvenlik Operasyonları için Kullanım Örnekleri

Tehdit tespiti ve soruşturması

Sorgular oluşturun, kurallar üretin, olayları izleyin, uyarıları araştırın, veri arayın (UDM sorguları oluşturun).

Senaryo: Bir tehdit analisti yeni bir uyarıyı araştırıyor ve altyapıya sızmak için kayıt defterine eklenen belirli bir komuta dair ortamda herhangi bir kanıt olup olmadığını bilmek istiyor.

Sampİstem: Geçtiğimiz [zaman dilimi] boyunca [ana bilgisayar adı] üzerinde gerçekleşen kayıt defteri değişikliği olaylarını bulmak için bir sorgu oluşturun.

Takip istemi: Gelecekte bu davranışın tespit edilmesine yardımcı olacak bir kural oluşturun.

Senaryo: Bir analiste, bir stajyerin şüpheli "şeyler" yaptığı ve olup biteni daha iyi anlamak istediği söylenir.

Sampİstem: Bana tim.smith ile başlayan kullanıcı kimliği için son 3 güne ait ağ bağlantısı olaylarını göster (büyük/küçük harf duyarlı değil).

Takip istemi: Gelecekte bu aktiviteyi tespit etmek için bir YARA-L kuralı oluşturun.

Senaryo: Bir güvenlik analisti, bir kullanıcı hesabında şüpheli bir etkinlik olduğuna dair bir uyarı alır.

Sampİstem: Bana src'nin 4625 olay koduna sahip engellenen kullanıcı oturum açma olaylarını göster.
hostname boş değil.

Takip istemi: Sonuç kümesinde kaç kullanıcı yer alıyor?

Güvenlikle ilgili soru-cevap

Senaryo: Bir güvenlik analisti yeni bir işe başlıyor ve Gemini'nin soruşturma ve yanıt için önerilen adımlarla bir vakayı özetlediğini fark ediyor. Vaka özetinde tanımlanan kötü amaçlı yazılım hakkında daha fazla bilgi edinmek istiyorlar.

Sampİstem: [Kötü amaçlı yazılımın adı] nedir?

Takip istemi: [Kötü amaçlı yazılımın adı] nasıl varlığını sürdürüyor?

Senaryo: Bir güvenlik analisti potansiyel olarak kötü amaçlı bir yazılım hakkında bir uyarı alır file doğramak.

Sampİstem: Bu mu? file hash [karma ekle]'in kötü amaçlı olduğu biliniyor mu?

Takip istemi: Bu konuda başka hangi bilgiler mevcuttur? file?

Senaryo: Bir olay müdahale görevlisinin kötü amaçlı bir saldırının kaynağını belirlemesi gerekir file.

Sampİstem: Nedir? file “[malware.exe]” çalıştırılabilir dosyasının karması?

Takip istemleri:

• Bu konuda bilgi edinmek için VirusTotal'dan gelen tehdit istihbaratıyla zenginleştirin file hash; kötü niyetli olduğu biliniyor mu?
• Bu hash benim çevremde gözlemlendi mi?
• Bu kötü amaçlı yazılım için önerilen önleme ve düzeltme eylemleri nelerdir?

Oyun kitabı üretimi

Harekete geçin ve stratejiler oluşturun.

Senaryo: Bir güvenlik mühendisi, kimlik avı e-postalarına yanıt verme sürecini otomatikleştirmek istiyor.

Sampİstem: Bilinen bir kimlik avı göndericisinden bir e-posta alındığında tetiklenen bir oyun kitabı oluşturun. Oyun kitabı e-postayı karantinaya almalı ve güvenlik ekibine bildirmelidir.

Senaryo: SOC ekibinin bir üyesi kötü amaçlı yazılımları otomatik olarak karantinaya almak istiyor files.

Sampİstem: Kötü amaçlı yazılım uyarıları için bir oyun kitabı yazın. Oyun kitabı şunları almalıdır: file uyarıdan hash alın ve VirusTotal'dan gelen istihbaratla zenginleştirin. Eğer file karma kötü amaçlıdır, karantinaya alın file.

Senaryo: Bir tehdit analisti, kayıt defteri anahtarı değişiklikleriyle ilgili gelecekteki uyarılara yanıt vermeye yardımcı olabilecek yeni bir oyun planı oluşturmak istiyor.

Sampİstem: Bu kayıt defteri anahtar değişiklikleri uyarıları için bir oyun kitabı oluşturun. Bu oyun kitabının VirusTotal ve Mandiant tehdit ön cephe istihbaratı dahil tüm varlık türleriyle zenginleştirilmesini istiyorum. Şüpheli bir şey belirlenirse, vaka oluşturun tags ve ardından vakayı buna göre önceliklendirin.

Tehdit istihbarat özeti

Tehditler ve tehdit aktörleri hakkında bilgi edinin.

Senaryo: Bir güvenlik operasyonları yöneticisi, belirli bir tehdit aktörünün saldırı modellerini anlamak ister.

Sampİstem: APT29 tarafından kullanılan bilinen taktikler, teknikler ve prosedürler (TTP'ler) nelerdir?

Takip istemi: Google SecOps'ta bu TTP'lerle ilişkili etkinlikleri belirlemeye yardımcı olabilecek düzenlenmiş tespitler var mı?

Senaryo: Bir tehdit istihbarat analisti yeni bir kötü amaçlı yazılım türü ("emotet") hakkında bilgi edinir ve araştırmalarından elde ettiği raporu SOC ekibiyle paylaşır.

Sampİstem: Emotet zararlı yazılımıyla ilişkili tehlike göstergeleri (IOC'ler) nelerdir?

Takip istemleri:

• Kuruluşumun günlüklerinde bu IOC'leri aramak için bir UDM arama sorgusu oluşturun.
• Gelecekte bu IOC'lerden herhangi biri gözlemlenirse beni uyaracak bir algılama kuralı oluşturun.

Senaryo: Bir güvenlik araştırmacısı, ortamlarında belirli bir tehdit aktörüne bağlı bilinen komuta ve kontrol (C2) sunucularıyla iletişim kuran ana bilgisayarlar tespit etti.

Sampİstem: [Tehdit aktörünün adı] ile ilişkili IP adreslerine ve etki alanlarına giden tüm ağ bağlantılarını bana göstermek için bir sorgu oluşturun.

Gemini'yi etkili bir şekilde kullanarak, güvenlik ekipleri tehdit istihbaratı yeteneklerini geliştirebilir ve genel güvenlik duruşlarını iyileştirebilir. Bunlar sadece birkaç örnekampGemini'nin güvenlik operasyonlarını iyileştirmek için nasıl kullanılabileceğine dair örnekler.
Araçla daha fazla tanıştıkça, onu kendi yararınıza kullanmanın birçok başka yolunu bulacaksınız.tage. Ek ayrıntılar Google SecOps ürün belgelerinde bulunabilir sayfa.

Tehdit İstihbaratında istemleri kullanma

Google Tehdit İstihbaratı, yalnızca terimlerle geleneksel bir arama motoruna benzer şekilde kullanılabilirken, kullanıcılar belirli istemler oluşturarak da istedikleri sonuçlara ulaşabilirler.
Gemini komutları, Tehdit İstihbaratında geniş eğilimleri aramaktan, belirli tehditleri ve kötü amaçlı yazılım parçalarını anlamaya kadar çeşitli şekillerde kullanılabilir. Bunlara şunlar dahildir:

1. Tehdit istihbarat analizi
2. Proaktif tehdit avcılığı
3. Tehdit aktörü profili
4. Güvenlik açığı önceliklendirmesi
5. Güvenlik uyarılarını zenginleştirme
6. MITRE ATT&CK'den yararlanma

Tehdit İstihbaratı için kullanım örnekleri

Tehdit istihbarat analizi

Senaryo: Bir tehdit istihbarat analisti, yeni keşfedilen bir kötü amaçlı yazılım ailesi hakkında daha fazla bilgi edinmek istiyor.

Sampİstem: “Emotet” adlı kötü amaçlı yazılım hakkında neler biliniyor? Yetenekleri nelerdir ve nasıl yayılır?

İlgili istem: Emotet zararlı yazılımıyla ilişkili tehlike göstergeleri (IOC'ler) nelerdir?

Senaryo: Bir analist yeni bir fidye yazılımı grubunu araştırıyor ve onların taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) hızla anlamak istiyor.

Sampİstem: “LockBit 3.0” adlı fidye yazılımı grubunun bilinen TTP'lerini özetleyin. İlk erişim yöntemleri, yanal hareket teknikleri ve tercih edilen gasp taktikleri hakkında bilgi ekleyin.

İlgili istemler:

• LockBit 3.0 ile ilişkili yaygın tehlike göstergeleri (IOC'ler) nelerdir?
• LockBit 3.0 saldırılarına ilişkin yakın zamanda herhangi bir kamu raporu veya analizi yapıldı mı?

Proaktif tehdit avcılığı

Senaryo: Bir tehdit istihbarat analisti, kendi sektörlerini hedef aldığı bilinen belirli bir kötü amaçlı yazılım ailesinin belirtilerini proaktif olarak aramak ister.

Sampİstem: “Trickbot” kötü amaçlı yazılımıyla ilişkili yaygın tehlike göstergeleri (IOC'ler) nelerdir?

Senaryo: Bir güvenlik araştırmacısı, belirli bir tehdit aktörüne bağlı bilinen komuta ve kontrol (C2) sunucularıyla iletişim kuran ortamlarındaki tüm ana bilgisayarları belirlemek ister.

Sampİstem: Tehdit aktörü “[Ad]” tarafından kullanılan bilinen C2 IP adresleri ve etki alanları nelerdir?

Tehdit aktörü profili

Senaryo: Bir tehdit istihbarat ekibi, şüpheli bir APT grubunun faaliyetlerini izliyor ve kapsamlı bir güvenlik önlemi geliştirmek istiyor.file.

Sampİstem: Bir profesyonel üretinfile Tehdit aktörü “APT29”un. Bilinen takma adlarını, şüphelenilen menşe ülkesini, motivasyonlarını, tipik hedeflerini ve tercih edilen TTP'lerini ekleyin.

İlgili istem: Bana APT29'un en dikkat çekici saldırılarının zaman çizelgesini gösteramphizalama ve zaman çizelgesi.

Güvenlik açığı önceliklendirmesi

Senaryo: Bir güvenlik açığı yönetim ekibi, tehdit ortamına göre düzeltme çabalarına öncelik vermek ister.

Sampİstem: Hangi Palo Alto Networks güvenlik açıkları tehdit aktörleri tarafından aktif olarak istismar ediliyor?

İlgili istem: CVE-2024-3400 ve CVE-2024-0012 için bilinen istismarları özetleyin.

Senaryo: Bir güvenlik ekibi, güvenlik açığı tarama sonuçları karşısında bunalmıştır ve tehdit istihbaratına dayanarak düzeltme çabalarına öncelik vermek ister.

Sampİstem: Son tehdit istihbarat raporlarında aşağıdaki güvenlik açıklarından hangileri belirtilmiştir: [tespit edilen güvenlik açıklarını listeleyin]?

İlgili istemler:

• Aşağıdaki güvenlik açıkları için bilinen herhangi bir istismar var mı: [tespit edilen güvenlik açıklarını listeleyin]?
• Aşağıdaki güvenlik açıklarından hangisinin tehdit aktörleri tarafından istismar edilme olasılığı en yüksektir: [belirlenen güvenlik açıklarını listeleyin]? Bunları ciddiyetlerine, istismar edilebilirliklerine ve sektörümüzle alakalı olmalarına göre önceliklendirin.

Güvenlik uyarılarını zenginleştirme

Senaryo: Bir güvenlik analisti, tanımadığı bir IP adresinden gelen şüpheli bir oturum açma girişimiyle ilgili bir uyarı alır.

Sampİstem: [IP sağlayın] IP adresi hakkında neler biliniyor?

MITRE ATT&CK'den yararlanma

Senaryo: Bir güvenlik ekibi, belirli bir tehdit aktörünün kuruluşlarını nasıl hedef alabileceğini anlamak için MITRE ATT&CK çerçevesini kullanmak istiyor.

Sampİstem: Bana APT38 tehdit aktörüyle ilişkili MITRE ATT&CK tekniklerini göster.

Gemini, Güvenlik Operasyonlarını ve Tehdit İstihbaratını iyileştirmek için kullanılabilen güçlü bir araçtır. Bu kılavuzda özetlenen en iyi uygulamaları takip ederek, Gemini'den en iyi şekilde yararlanmanıza yardımcı olacak etkili istemler oluşturabilirsiniz.

Not: Bu kılavuz, Gemini'yi Google SecOps'ta ve Gemini'yi Threat Intelligence'ta kullanma önerileri sunar. Tüm olası kullanım durumlarının kapsamlı bir listesi değildir ve Gemini'nin belirli yetenekleri ürün sürümünüze bağlı olarak değişebilir. En güncel bilgiler için resmi belgelere başvurmalısınız.

İkizler burcu
Güvenlik Operasyonlarında

İkizler burcu
Tehdit İstihbaratında

Belgeler / Kaynaklar

Gemini Google Cloud UYGULAMASI [pdf] Kullanım Kılavuzu Google Cloud APP, Google, Cloud APP, APP

Referanslar

• Kullanıcı Kılavuzu