UDM-Suchanfragen mit Gemini generieren

Unterstützt in:

Sie können mit Gemini UDM-Suchanfragen über den Gemini-Bereich oder bei Verwendung der UDM-Suche generieren.

Für optimale Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

UDM-Suchanfrage über den Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an und öffnen Sie den Gemini-Bereich, indem Sie auf das Gemini-Logo klicken.

  2. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Der Prompt in natürlicher Sprache muss auf Englisch sein.

    Gemini-Bereich öffnen und Prompt eingeben

    Abbildung 1: Gemini-Bereich öffnen und Prompt eingeben

  3. Sehen Sie sich die generierte UDM-Suchanfrage an. Wenn die generierte Suchanfrage Ihren Anforderungen entspricht, klicken Sie auf Suche ausführen.

  4. Gemini erstellt eine Ergebniszusammenfassung mit vorgeschlagenen Aktionen.

  5. von Gemini, um die Untersuchung fortzusetzen.

Beispiele für Suchanfragen und weiterführende Fragen

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

UDM-Suchanfrage in natürlicher Sprache erstellen

Mit der UDM-Suchfunktion von Google SecOps können Sie eine Suchanfrage in natürlicher Sprache zu Ihren Daten eingeben. Gemini kann diese in eine UDM-Suchanfrage umwandeln, die Sie auf UDM-Ereignisse anwenden können.

Für bessere Ergebnisse empfiehlt Google, Suchanfragen über den Gemini-Bereich zu generieren.

So erstellen Sie mit einer Suche in natürlicher Sprache eine UDM-Suchanfrage:

  1. Melden Sie sich in Google SecOps an.
  2. Rufen Sie SIEM Search auf.

  3. Geben Sie eine Suchanfrage in die Suchleiste für natürliche Sprache ein und klicken Sie auf Abfrage generieren. Die Suche muss auf Englisch erfolgen.

    Geben Sie eine Suchanfrage in natürlicher Sprache ein und klicken Sie auf „Abfrage generieren“.

    Abbildung 2: Suchanfrage in natürlicher Sprache eingeben und auf „Abfrage generieren“ klicken

    Im Folgenden finden Sie einige Beispiele für Anweisungen, mit denen sich eine nützliche UDM-Suche generieren lässt:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanfrage einen zeitbezogenen Begriff enthält, wird die Zeitauswahl automatisch angepasst. Das gilt beispielsweise für die folgenden Suchanfragen:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanfrage nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
    „Die Abfrage konnte nicht generiert werden. Versuchen Sie, die Frage anders zu stellen.“

  4. Überprüfen Sie die generierte UDM-Suchanfrage.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Prüfen Sie in den Suchergebnissen, ob das Ereignis vorhanden ist. Verwenden Sie bei Bedarf Suchfilter, um die Liste der Ergebnisse einzugrenzen.

  8. Geben Sie Feedback zur Abfrage mithilfe der Feedbacksymbole für generierte Abfragen. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Symbol „Mag ich“.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse zurückgibt, klicken Sie auf das Symbol „Mag ich nicht“.
    • Optional: Geben Sie im Feld Feedback weitere Details ein.
    • So reichen Sie eine überarbeitete UDM-Suchanfrage ein, um die Ergebnisse zu verbessern:
    • Bearbeiten Sie die generierte UDM-Suchanfrage.
    • Klicken Sie auf Senden. Wenn Sie die Abfrage nicht umgeschrieben haben, werden Sie im Dialogfeld aufgefordert, sie zu bearbeiten.
    • Klicken Sie auf Senden. Die überarbeitete UDM-Suchanfrage wird von vertraulichen Daten bereinigt und zur Verbesserung der Ergebnisse verwendet.

Chatsitzung löschen

Sie können die Sitzung Ihrer Chatunterhaltung oder alle Chatsitzungen löschen. Gemini speichert alle Nutzerunterhaltungen privat und hält sich an die Verantwortungsbewusste-KI-Grundsätze von Google Cloud. Der Nutzerverlauf wird niemals zum Trainieren von Modellen verwendet.

  1. Wählen Sie im Gemini-Bereich rechts oben im Menü die Option Chat löschen aus.
  2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen und dann Alle Chats löschen aus.

Feedback geben

Sie können Feedback zu Antworten geben, die von der KI-gestützten Ermittlungshilfe von Gemini generiert wurden. Ihr Feedback hilft uns, die Funktion und die von Gemini generierten Ergebnisse zu verbessern.

  1. Wählen Sie im Gemini-Bereich das Symbol „Mag ich“ oder „Mag ich nicht“ aus.
  2. Optional: Wenn Sie „Mag ich nicht“ auswählen, können Sie zusätzliches Feedback dazu geben, warum Sie diese Bewertung ausgewählt haben.
  3. Klicken Sie auf Feedback senden.