Gemini を使用して検索クエリを生成する

以下でサポートされています。

このドキュメントでは、Gemini ペインから、または Google Security Operations 検索を使用するときに、Gemini を使用して検索クエリを生成する方法について説明します。

最良の結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

Gemini ペインを使用して検索クエリを生成する

  1. Google SecOps にログインします。
  2. Gemini のロゴをクリックして Gemini ペインを開きます。

  3. 自然言語プロンプトを入力し、Enter キーを押します。自然言語プロンプトは英語で入力する必要があります。

    Gemini ペインを開き、プロンプトを入力します

    図 1: Gemini ペインを開き、プロンプトを入力します。

  4. 生成された検索クエリを確認します。検索クエリでは YARA-L 2.0 構文が使用されます。生成された検索クエリが要件を満たしている場合は、[検索を実行] をクリックします。Gemini は、結果の要約と推奨されるアクションを生成します。

検索プロンプトとフォローアップの質問の例

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

自然言語を使用して検索クエリを生成する

Google SecOps の検索機能を使用すると、データに関する自然言語クエリを入力できます。Gemini は、これを UDM イベントに対して実行する検索クエリに変換します。

より良い結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

自然言語検索を使用して検索クエリを作成するには、次の手順を完了します。

  1. Google SecOps にログインします。
  2. [Investigation] > [SIEM Search] に移動します。

  3. 自然言語のクエリバーに検索ステートメントを入力し、[Generate Query] をクリックします。検索には英語を使用する必要があります。

    自然言語検索を入力して [クエリを生成] をクリックする

    図 2. 自然言語検索を入力し、[クエリを生成] をクリックします。

    次のステートメントは、有用な検索を生成する可能性のある例です。

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. 検索ステートメントに時間ベースの用語が含まれている場合、一致するように時間ピッカーが自動調整されます。たとえば、これは次の検索に該当します。

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    検索ステートメントを解釈できない場合は、次のメッセージが表示されます。
    「有効なクエリを生成できませんでした。別の聞き方をしてみてください。」

  4. 生成された検索クエリを確認します。構文は YARA-L 2.0 です。

  5. 省略可: 検索期間を調整します。

  6. [検索を実行] をクリックします。

  7. 検索結果を確認して、イベントが存在するかどうかを判断します。必要に応じて、検索フィルタを使用して結果のリストを絞り込みます。

  8. [生成されたクエリ] のフィードバック アイコンを使用して、クエリに関するフィードバックを送信します。次のいずれかを選択します。

    • クエリから返された結果が期待どおりの場合は、thumb_up Thumbs Up をクリックします。
    • クエリから返された結果が期待どおりでない場合は、thumb_down 低く評価をクリックします。
    • (省略可)[フィードバック] フィールドに追加情報を入力します。

  9. 結果の改善に役立つ改訂された検索クエリを送信するには:

    1. 生成された検索クエリを編集します。
    2. [送信] をクリックします。
      • クエリを書き換えなかった場合は、クエリを編集するよう求めるメッセージが表示されます。
      • クエリを書き換えた場合、修正された検索クエリはセンシティブ データをサニタイズし、結果を改善するために使用されます。

チャット セッションを削除する

チャットの会話セッションを削除するか、すべてのチャット セッションを削除できます。Gemini は、ユーザーのすべての会話履歴を非公開で保持し、 Google Cloudの責任ある AI への取り組みを遵守します。ユーザー履歴がモデルのトレーニングに使用されることはありません。

  1. Gemini ペインで、右上のメニューから [チャットを削除] を選択します。
  2. 右下にある [チャットを削除] をクリックして、現在のチャット セッションを削除します。
  3. 省略可: すべてのチャット セッションを削除するには、[チャット セッションをすべて削除] を選択してから、[チャットをすべて削除] をクリックします。

フィードバックを送信

Gemini AI Investigation 支援で生成された回答に対して、フィードバックを提供できます。皆様のフィードバックは、Google の機能と Gemini が生成する出力の改善に役立ちます。

  1. Gemini ペインで、thumb_up [高く評価] または thumb_down [低く評価] をクリックします。
  2. 省略可: thumb_down [低評価] をクリックして、フィードバックを送信します。
  3. [フィードバックを送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。