Suchanfragen mit Gemini generieren

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie mit Gemini Suchanfragen über den Gemini-Bereich oder die Google Security Operations-Suche generieren können.

Für optimale Ergebnisse empfehlen wir, Suchanfragen über die Gemini-Leiste zu generieren.

Suchanfrage über den Gemini-Bereich generieren

  1. Melden Sie sich in Google SecOps an.
  2. Klicken Sie auf das Gemini-Logo, um den Gemini-Bereich zu öffnen.

  3. Geben Sie einen Prompt in natürlicher Sprache ein und drücken Sie die Eingabetaste. Der Prompt in natürlicher Sprache muss auf Englisch sein.

    Gemini-Bereich öffnen und Prompt eingeben

    Abbildung 1. Öffnen Sie den Gemini-Bereich und geben Sie einen Prompt ein.

  4. Überprüfen Sie die generierte Suchanfrage. Die Suchanfrage verwendet die YARA-L 2.0-Syntax. Wenn die generierte Suchanfrage Ihren Anforderungen entspricht, klicken Sie auf Suche ausführen. Gemini erstellt eine Zusammenfassung der Ergebnisse und schlägt Aktionen vor.

Beispiele für Such-Prompts und weiterführende Fragen

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Suchanfrage mit natürlicher Sprache generieren

Mit der Google SecOps-Suchfunktion können Sie eine Abfrage in natürlicher Sprache zu Ihren Daten eingeben. Gemini kann diese dann in eine Suchanfrage übersetzen, die für UDM-Ereignisse ausgeführt wird.

Für bessere Ergebnisse empfehlen wir, Suchanfragen über die Gemini-Leiste zu generieren.

So erstellen Sie eine Suchanfrage mit einer Suche in natürlicher Sprache:

  1. Melden Sie sich in Google SecOps an.
  2. Gehen Sie zu Prüfung > SIEM-Suche.

  3. Geben Sie eine Suchanfrage in die Leiste für natürliche Sprache ein und klicken Sie auf Abfrage generieren. Die Suche muss auf Englisch erfolgen.

    Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf „Abfrage generieren“.

    Abbildung 2. Geben Sie eine Suche in natürlicher Sprache ein und klicken Sie auf Abfrage generieren.

    Die folgenden Aussagen sind Beispiele, die eine nützliche Suche generieren könnten:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Wenn die Suchanweisung einen zeitbasierten Begriff enthält, wird die Zeitachse automatisch entsprechend angepasst. Das gilt beispielsweise für die folgenden Suchanfragen:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Wenn die Suchanfrage nicht interpretiert werden kann, wird die folgende Meldung angezeigt:
    „Die Abfrage konnte nicht generiert werden. Versuche, die Frage anders zu stellen.“

  4. Überprüfen Sie die generierte Suchanfrage. Die Syntax ist YARA-L 2.0.

  5. Optional: Passen Sie den Suchzeitraum an.

  6. Klicken Sie auf Suche ausführen.

  7. Sehen Sie sich die Suchergebnisse an, um festzustellen, ob der Termin vorhanden ist. Verwenden Sie bei Bedarf Suchfilter, um die Liste der Ergebnisse einzugrenzen.

  8. Geben Sie über die Feedbacksymbole unter Generierte Abfrage Feedback zur Abfrage. Entscheiden Sie sich für eine der folgenden Möglichkeiten:

    • Wenn die Abfrage die erwarteten Ergebnisse zurückgibt, klicken Sie auf thumb_up Gefällt mir.
    • Wenn die Abfrage nicht die erwarteten Ergebnisse zurückgibt, klicken Sie auf thumb_down Mag ich nicht.
    • Optional: Geben Sie im Feld Feedback zusätzliche Details an.

  9. So senden Sie eine überarbeitete Suchanfrage, mit der sich die Ergebnisse verbessern lassen:

    1. Bearbeiten Sie die generierte Suchanfrage.
    2. Klicken Sie auf Senden.
      • Wenn Sie die Abfrage nicht umformuliert haben, werden Sie aufgefordert, sie zu bearbeiten.
      • Wenn Sie die Anfrage umformuliert haben, wird die überarbeitete Suchanfrage von sensiblen Daten bereinigt und zur Verbesserung der Ergebnisse verwendet.

Chatsitzung löschen

Sie können Ihre Chatsitzung oder alle Chatsitzungen löschen. Gemini behandelt alle Nutzerkonversationsverläufe vertraulich und hält sich an die Grundsätze für verantwortungsbewusste KI von Google Cloud. Der Nutzerverlauf wird niemals zum Trainieren von Modellen verwendet.

  1. Wählen Sie im Gemini-Bereich rechts oben im Menü die Option Chat löschen aus.
  2. Klicken Sie rechts unten auf Chat löschen, um die aktuelle Chatsitzung zu löschen.
  3. Optional: Wenn Sie alle Chatsitzungen löschen möchten, wählen Sie Alle Chatsitzungen löschen aus und klicken Sie dann auf Alle Chats löschen.

Feedback geben

Sie können Feedback zu Antworten geben, die von der Gemini AI-Unterstützung für die Untersuchung generiert wurden. Ihr Feedback hilft Google, die Funktion und die von Gemini generierten Ergebnisse zu verbessern.

  1. Klicken Sie im Gemini-Bereich auf thumb_up Mag ich oder thumb_down Mag ich nicht.
  2. Optional: Klicken Sie auf thumb_down Mag ich nicht und geben Sie Feedback.
  3. Klicken Sie auf Feedback senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten