Membuat kueri penelusuran dengan Gemini

Didukung di:

Dokumen ini menjelaskan cara Anda dapat menggunakan Gemini untuk membuat kueri penelusuran dari panel Gemini atau saat menggunakan penelusuran Google Security Operations.

Untuk mendapatkan hasil terbaik, sebaiknya gunakan panel Gemini untuk membuat kueri penelusuran.

Membuat kueri penelusuran menggunakan panel Gemini

  1. Login ke Google SecOps.
  2. Klik logo Gemini untuk membuka panel Gemini.

  3. Masukkan perintah natural language, lalu tekan Enter. Perintah bahasa alami harus dalam bahasa Inggris.

    Buka panel Gemini dan masukkan perintah

    Gambar 1. Buka panel Gemini dan masukkan perintah.

  4. Tinjau kueri penelusuran yang dibuat. Kueri penelusuran menggunakan sintaksis YARA-L 2.0. Jika kueri penelusuran yang dibuat memenuhi persyaratan Anda, klik Jalankan penelusuran. Gemini akan menghasilkan ringkasan hasil beserta tindakan yang disarankan.

Contoh perintah penelusuran dan pertanyaan lanjutan

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Membuat kueri penelusuran menggunakan bahasa alami

Dengan fitur penelusuran Google SecOps, Anda dapat memasukkan kueri bahasa alami tentang data Anda, dan Gemini dapat menerjemahkannya menjadi kueri penelusuran untuk dijalankan terhadap peristiwa UDM.

Untuk hasil yang lebih baik, sebaiknya gunakan panel Gemini untuk membuat kueri penelusuran.

Untuk menggunakan penelusuran bahasa alami guna membuat kueri penelusuran, selesaikan langkah-langkah berikut:

  1. Login ke Google SecOps.
  2. Buka Investigasi > Penelusuran SIEM.

  3. Masukkan pernyataan penelusuran di kolom kueri bahasa alami, lalu klik Buat Kueri. Anda harus menggunakan bahasa Inggris untuk penelusuran.

    Masukkan penelusuran bahasa alami, lalu klik Buat Kueri

    Gambar 2. Masukkan penelusuran bahasa alami, lalu klik Buat Kueri.

    Pernyataan berikut adalah contoh yang dapat menghasilkan penelusuran yang berguna:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Jika pernyataan penelusuran menyertakan istilah berbasis waktu, pemilih waktu akan otomatis disesuaikan agar cocok. Misalnya, hal ini akan berlaku untuk penelusuran berikut:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Jika pernyataan penelusuran tidak dapat diinterpretasikan, Anda akan melihat pesan berikut:
    "Maaf, tidak ada kueri yang valid yang dapat dibuat. Coba tanyakan dengan cara lain."

  4. Tinjau kueri penelusuran yang dibuat. Sintaksisnya adalah YARA-L 2.0.

  5. Opsional: Sesuaikan rentang waktu penelusuran.

  6. Klik Run Search.

  7. Tinjau hasil penelusuran untuk menentukan apakah acara tersebut ada atau tidak. Jika perlu, gunakan filter penelusuran untuk mempersempit daftar hasil.

  8. Berikan masukan tentang kueri menggunakan ikon masukan Kueri yang Dihasilkan. Pilih salah satu opsi berikut:

    • Jika kueri menampilkan hasil yang diharapkan, klik thumb_up Suka.
    • Jika kueri tidak menampilkan hasil yang diharapkan, klik thumb_down Tidak Suka.
    • Opsional: Sertakan detail tambahan di kolom Masukan.

  9. Untuk mengirimkan kueri penelusuran yang direvisi yang membantu meningkatkan kualitas hasil:

    1. Edit kueri penelusuran yang dibuat.
    2. Klik Kirim.
      • Jika Anda tidak menulis ulang kueri, Anda akan diminta untuk mengedit kueri.
      • Jika Anda menulis ulang kueri, kueri penelusuran yang direvisi akan dibersihkan dari data sensitif dan digunakan untuk meningkatkan kualitas hasil.

Menghapus sesi chat

Anda dapat menghapus sesi percakapan chat atau menghapus semua sesi chat. Gemini menjaga kerahasiaan semua histori percakapan pengguna dan mematuhi praktik AI yang bertanggung jawab dari Google Cloud. Histori pengguna tidak pernah digunakan untuk melatih model.

  1. Di panel Gemini, pilih Hapus percakapan dari menu di kanan atas.
  2. Klik Hapus percakapan di kanan bawah untuk menghapus sesi percakapan saat ini.
  3. Opsional: Untuk menghapus semua sesi chat, pilih Hapus semua sesi chat lalu klik Hapus semua percakapan.

Berikan masukan

Anda dapat memberikan masukan untuk respons yang dihasilkan oleh bantuan penyelidikan AI Gemini. Masukan Anda membantu Google meningkatkan kualitas fitur dan output yang dihasilkan oleh Gemini.

  1. Di panel Gemini, klik thumb_up Suka atau thumb_down Tidak Suka.
  2. Opsional: Klik thumb_down Tidak Suka dan berikan masukan.
  3. Klik Kirim masukan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.