Générer des requêtes de recherche avec Gemini

Compatible avec :

Ce document explique comment utiliser Gemini pour générer des requêtes de recherche à partir du volet Gemini ou lorsque vous utilisez la recherche Google Security Operations.

Pour obtenir les meilleurs résultats, nous vous recommandons d'utiliser le panneau Gemini pour générer des requêtes de recherche.

Générer une requête de recherche à l'aide du panneau Gemini

  1. Connectez-vous à Google SecOps.
  2. Cliquez sur le logo Gemini pour ouvrir le volet Gemini.

  3. Saisissez une requête en langage naturel, puis appuyez sur Entrée. La requête en langage naturel doit être rédigée en anglais.

    Ouvrir le volet Gemini et saisir une requête

    Figure 1 : Ouvrez le volet Gemini et saisissez une requête.

  4. Examinez la requête de recherche générée. La requête de recherche utilise la syntaxe YARA-L 2.0. Si la requête de recherche générée répond à vos exigences, cliquez sur Exécuter la recherche. Gemini génère un résumé des résultats ainsi que des actions suggérées.

Exemples de requêtes de recherche et de questions complémentaires

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Générer une requête de recherche en langage naturel

La fonctionnalité de recherche Google SecOps vous permet de saisir une requête en langage naturel sur vos données. Gemini peut la traduire en requête de recherche à exécuter sur les événements UDM.

Pour de meilleurs résultats, nous vous recommandons d'utiliser le panneau Gemini pour générer des requêtes de recherche.

Pour créer une requête de recherche à l'aide d'une recherche en langage naturel, procédez comme suit :

  1. Connectez-vous à Google SecOps.
  2. Accédez à Investigation > Recherche SIEM.

  3. Saisissez une requête de recherche dans la barre de requête en langage naturel, puis cliquez sur Générer une requête. Vous devez effectuer la recherche en anglais.

    Saisissez une recherche en langage naturel, puis cliquez sur Générer la requête.

    Figure 2. Saisissez une recherche en langage naturel, puis cliquez sur Générer la requête.

    Voici des exemples de requêtes qui peuvent générer une recherche utile :

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Si l'instruction de recherche inclut un terme basé sur le temps, le sélecteur de date et heure est automatiquement ajusté en conséquence. Par exemple, cela s'appliquerait aux recherches suivantes :

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Si l'instruction de recherche ne peut pas être interprétée, le message suivant s'affiche :
    "Désolé, aucune requête valide n'a pu être générée. Pouvez-vous reformuler ?"

  4. Examinez la requête de recherche générée. La syntaxe est YARA-L 2.0.

  5. Facultatif : Ajustez la période de recherche.

  6. Cliquez sur Exécuter la recherche.

  7. Examinez les résultats de recherche pour savoir si l'événement est présent. Si nécessaire, utilisez les filtres de recherche pour affiner la liste des résultats.

  8. Envoyez des commentaires sur la requête à l'aide des icônes de commentaires Requête générée. Sélectionnez l'une des options suivantes :

    • Si la requête renvoie les résultats attendus, cliquez sur thumb_up J'aime.
    • Si la requête ne renvoie pas les résultats attendus, cliquez sur thumb_down Je n'aime pas.
    • Facultatif : Ajoutez des détails dans le champ Commentaires.

  9. Pour envoyer une requête de recherche modifiée qui permet d'améliorer les résultats :

    1. Modifiez la requête de recherche générée.
    2. Cliquez sur Envoyer.
      • Si vous n'avez pas réécrit la requête, vous êtes invité à la modifier.
      • Si vous avez réécrit la requête, la requête de recherche révisée est nettoyée des données sensibles et utilisée pour améliorer les résultats.

Supprimer une session de chat

Vous pouvez supprimer votre session de conversation ou toutes les sessions de chat. Gemini conserve l'historique des conversations des utilisateurs de manière privée et respecte les pratiques d'IA responsable de Google Cloud. L'historique des utilisateurs n'est jamais utilisé pour entraîner les modèles.

  1. Dans le panneau Gemini, sélectionnez Supprimer la discussion dans le menu en haut à droite.
  2. Cliquez sur Supprimer le chat en bas à droite pour supprimer la session de chat en cours.
  3. Facultatif : Pour supprimer toutes les sessions de chat, sélectionnez Supprimer toutes les sessions de chat, puis cliquez sur Supprimer tous les chats.

Fournir des commentaires

Vous pouvez envoyer des commentaires sur les réponses générées par l'assistance Gemini AI pour les investigations. Vos commentaires aident Google à améliorer la fonctionnalité et le résultat généré par Gemini.

  1. Dans le volet Gemini, cliquez sur thumb_up J'aime ou thumb_down Je n'aime pas.
  2. Facultatif : Cliquez sur thumb_down Je n'aime pas et envoyez vos commentaires.
  3. Cliquez sur Envoyer des commentaires.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.