Gere consultas de pesquisa com o Gemini

Compatível com:

Este documento explica como pode usar o Gemini para gerar consultas de pesquisa a partir do painel do Gemini ou quando usa a pesquisa do Google Security Operations.

Para obter os melhores resultados, recomendamos que use o painel do Gemini para gerar consultas de pesquisa.

Gere uma consulta de pesquisa através do painel do Gemini

  1. Inicie sessão no Google SecOps.
  2. Clique no logótipo do Gemini para abrir o painel do Gemini.

  3. Introduza um comando de linguagem natural e prima Enter. O comando de linguagem natural tem de estar em inglês.

    Abra o painel do Gemini e introduza um comando

    Figura 1. Abra o painel do Gemini e introduza um comando.

  4. Reveja a consulta de pesquisa gerada. A consulta de pesquisa usa a sintaxe YARA-L 2.0. Se a consulta de pesquisa gerada cumprir os seus requisitos, clique em Executar pesquisa. O Gemini produz um resumo dos resultados juntamente com ações sugeridas.

Exemplos de comandos de pesquisa e perguntas de seguimento

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gere uma consulta de pesquisa através da linguagem natural

Com a funcionalidade de pesquisa do Google SecOps, pode introduzir uma consulta de linguagem natural sobre os seus dados, e o Gemini pode traduzi-la numa consulta de pesquisa para executar em eventos UDM.

Para obter melhores resultados, recomendamos que use o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa de linguagem natural para criar uma consulta de pesquisa, conclua os seguintes passos:

  1. Inicie sessão no Google SecOps.
  2. Aceda a Investigação > Pesquisa SIEM.

  3. Introduza uma declaração de pesquisa na barra de consultas de linguagem natural e clique em Gerar consulta. Tem de usar o inglês para a pesquisa.

    Introduza uma pesquisa de linguagem natural e clique em Gerar consulta

    Figura 2. Introduza uma pesquisa de linguagem natural e clique em Gerar consulta.

    As seguintes declarações são exemplos que podem gerar uma pesquisa útil:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se a declaração de pesquisa incluir um termo baseado no tempo, o seletor de hora é ajustado automaticamente para corresponder. Por exemplo, isto aplica-se às seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a declaração de pesquisa não puder ser interpretada, é apresentada a seguinte mensagem:
    "Desculpe, não foi possível gerar uma consulta válida. Experimente perguntar de outra forma."

  4. Reveja a consulta de pesquisa gerada. A sintaxe é YARA-L 2.0.

  5. Opcional: ajuste o intervalo de tempo da pesquisa.

  6. Clique em Executar pesquisa.

  7. Reveja os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.

  8. Envie feedback sobre a consulta através dos ícones de feedback Consulta gerada. Selecione uma das seguintes opções:

    • Se a consulta devolver os resultados esperados, clique em thumb_up Gosto.
    • Se a consulta não devolver os resultados esperados, clique em thumb_down Não gosto.
    • Opcional: inclua detalhes adicionais no campo Feedback.

  9. Para enviar uma consulta de pesquisa revista que ajude a melhorar os resultados:

    1. Edite a consulta de pesquisa gerada.
    2. Clique em Enviar.
      • Se não reescreveu a consulta, é-lhe pedido que a edite.
      • Se reescreveu a consulta, a consulta de pesquisa revista é limpa de dados confidenciais e usada para melhorar os resultados.

Elimine uma sessão de chat

Pode eliminar a sua sessão de conversa de chat ou todas as sessões de chat. O Gemini mantém todos os históricos de conversas dos utilizadores de forma privada e cumpre as práticas de IA responsável da Google Cloud. O histórico do utilizador nunca é usado para preparar modelos.

  1. No painel do Gemini, selecione Eliminar chat no menu na parte superior direita.
  2. Clique em Eliminar chat na parte inferior direita para eliminar a sessão de chat atual.
  3. Opcional: para eliminar todas as sessões de chat, selecione Eliminar todas as sessões de chat e, de seguida, clique em Eliminar todos os chats.

Enviar feedback

Pode enviar feedback sobre as respostas geradas pela assistência de investigação de IA do Gemini. O seu feedback ajuda a Google a melhorar a funcionalidade e o resultado gerado pelo Gemini.

  1. No painel do Gemini, clique em thumb_up Gosto ou thumb_down Não gosto.
  2. Opcional: clique em thumb_down Não gosto e envie feedback.
  3. Clique em Enviar feedback.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.