Generar consultas de búsqueda con Gemini

En este documento se explica cómo puedes usar Gemini para generar consultas de búsqueda desde el panel de Gemini o al usar la búsqueda de Google Security Operations.

Para obtener los mejores resultados, te recomendamos que uses el panel de Gemini para generar consultas de búsqueda.

• Generar una consulta de búsqueda con el panel de Gemini

• Generar una consulta de búsqueda con lenguaje natural

Generar una consulta de búsqueda con el panel de Gemini

1. Inicia sesión en Google SecOps.
2. Haz clic en el logotipo de Gemini para abrir el panel de Gemini.

3. Introduce una petición en lenguaje natural y pulsa Intro. La petición en lenguaje natural debe estar en inglés.

   

   Imagen 1. Abre el panel de Gemini e introduce una petición.

4. Revisa la consulta de búsqueda generada. La consulta de búsqueda usa la sintaxis de YARA-L 2.0. Si la consulta de búsqueda generada cumple tus requisitos, haz clic en Ejecutar búsqueda. Gemini genera un resumen de los resultados junto con las acciones sugeridas.

Ejemplos de peticiones de búsqueda y preguntas de seguimiento

• Show me all failed logins for the last 3 days
  • Generate a rule to help detect that behavior in the future
• Show me events associated with the principle user izumi.n
  • Who is this user?
• Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
  • List all of the domains in the results set
  • What types of events were returned?
• Show me events from my firewall in the last 24 hours
  • What were the 16 unique hostnames in the results set?
  • What were the 9 unique IPs associated with the results set?

Generar una consulta de búsqueda con lenguaje natural

Con la función de búsqueda de Google SecOps, puedes introducir una consulta en lenguaje natural sobre tus datos y Gemini puede traducirla a una consulta de búsqueda para ejecutarla en eventos de UDM.

Para obtener mejores resultados, te recomendamos que uses el panel de Gemini para generar consultas de búsqueda.

Para usar una búsqueda en lenguaje natural y crear una consulta de búsqueda, sigue estos pasos:

1. Inicia sesión en Google SecOps.
2. Ve a Investigación > Búsqueda en SIEM.

3. Introduce una consulta de búsqueda en la barra de consultas en lenguaje natural y haz clic en Generar consulta. Debes usar el inglés para hacer la búsqueda.

   

   Imagen 2. Introduce una búsqueda en lenguaje natural y haz clic en Generar consulta.

   Las siguientes afirmaciones son ejemplos que pueden generar una búsqueda útil:

   • network connections from 10.5.4.3 to google.com
   • failed user logins over the last 3 days
   • emails with file attachments sent to john@example.com or jane@example.com
   • all Cloud service accounts created yesterday
   • outbound network traffic from 10.16.16.16 or 10.17.17.17
   • all network connections to facebook.com or tiktok.com
   • service accounts created in Google Cloud yesterday
   • Windows executables modified between 8 AM and 1 PM on May 1, 2023
   • all activity from winword.exe on lab-pc
   • scheduled tasks created or modified on exchange01 during the last week
   • email messages that contain PDF attachments
   • emails sent by or sent from admin@acme.com on September 1
   • any files with the hash 44d88612fea8a8f36de82e1278abb02f
   • all activity associated with user "sam@acme.com"

Si la instrucción de búsqueda incluye un término basado en el tiempo, el selector de hora se ajusta automáticamente para que coincida. Por ejemplo, esto se aplicaría a las siguientes búsquedas:

• yesterday
• within the last 5 days
• on Jan 1, 2023

Si no se puede interpretar la consulta de búsqueda, verás el siguiente mensaje:
"No se ha podido generar una consulta válida. Prueba a preguntarlo de otra manera".

4. Revisa la consulta de búsqueda generada. La sintaxis es YARA-L 2.0.

5. Opcional: Ajusta el intervalo de tiempo de la búsqueda.

6. Haz clic en Ejecutar búsqueda.

7. Revisa los resultados de búsqueda para determinar si el evento está presente. Si es necesario, usa filtros de búsqueda para acotar la lista de resultados.

8. Envía comentarios sobre la consulta mediante los iconos de comentarios Consulta generada. Selecciona una de las opciones siguientes:

   • Si la consulta devuelve los resultados esperados, haz clic en thumb_up Me gusta.
   • Si la consulta no devuelve los resultados esperados, haz clic en thumb_down No me gusta.
   • Opcional: Incluye más detalles en el campo Comentarios.

9. Para enviar una consulta de búsqueda revisada que ayude a mejorar los resultados, sigue estos pasos:

   1. Edita la consulta de búsqueda que se ha generado.
   2. Haz clic en Enviar.
      • Si no has reescrito la consulta, se te pedirá que la edites.
      • Si has reescrito la consulta, la consulta de búsqueda revisada se anonimiza para proteger los datos sensibles y se usa para mejorar los resultados.

Eliminar una sesión de chat

Puedes eliminar tu sesión de conversación de chat o todas las sesiones de chat. Gemini mantiene todos los historiales de conversaciones de los usuarios de forma privada y cumple las prácticas de IA responsable de Google Cloud. El historial de los usuarios nunca se utiliza para entrenar modelos.

1. En el panel de Gemini, selecciona Eliminar conversación en el menú de la parte superior derecha.
2. En la parte inferior derecha, haz clic en Eliminar conversación para eliminar la sesión de chat actual.
3. Opcional: Para eliminar todas las sesiones de chat, selecciona Eliminar todas las sesiones de chat y, a continuación, haz clic en Eliminar todos los chats.

Enviar comentarios

Puedes enviar comentarios sobre las respuestas generadas por la asistencia de investigación de la IA de Gemini. Tus comentarios ayudan a Google a mejorar la función y el resultado generado por Gemini.

1. En el panel de Gemini, haz clic en Me gusta Me gusta o en No me gusta No me gusta.
2. Opcional: Haz clic en thumb_down No me gusta y envía tus comentarios.
3. Haz clic en Enviar comentarios.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.