Gerar consultas de pesquisa com o Gemini

Compatível com:

Você pode usar o Gemini para gerar consultas de pesquisa no painel do Gemini ou ao usar a pesquisa de Operações de segurança do Google.

Para melhores resultados, recomendamos usar o painel do Gemini para gerar consultas de pesquisa.

Gerar uma consulta de pesquisa usando o painel do Gemini

  1. Faça login no Google SecOps.
  2. Clique no logotipo do Gemini para abrir o painel.

  3. Digite uma solicitação de linguagem natural e pressione Enter. O comando de idioma natural precisa estar em inglês.

    Abra o painel do Gemini e digite o comando

    Figura 1. Abra o painel do Gemini e insira o comando.

  4. Analise a consulta de pesquisa gerada. A consulta de pesquisa usa a sintaxe YARA-L 2.0. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa. O Gemini gera um resumo dos resultados e ações sugeridas.

Exemplos de comandos de pesquisa e perguntas complementares

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa usando linguagem natural

Com o recurso de pesquisa do Google SecOps, você pode inserir uma consulta em linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma consulta de pesquisa para executar em eventos do UDM.

Para melhores resultados, recomendamos usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa de linguagem natural para criar uma consulta de pesquisa, siga estas etapas:

  1. Faça login no Google SecOps.
  2. Acesse Investigação > Pesquisa do SIEM.

  3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Gerar consulta. Você precisa usar o inglês para a pesquisa.

    Digite uma pesquisa com linguagem natural e clique em "Gerar consulta".

    Figura 2. Digite uma pesquisa em linguagem natural e clique em Gerar consulta.

    As declarações a seguir são exemplos que podem gerar uma pesquisa útil:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de tempo será ajustado automaticamente para corresponder. Por exemplo, isso se aplica às seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a instrução de pesquisa não puder ser interpretada, você vai receber a seguinte mensagem:
    "Não foi possível gerar uma consulta válida. Tente perguntar de outra forma."

  4. Analise a consulta de pesquisa gerada. A sintaxe é YARA-L 2.0.

  5. Opcional: ajuste o período da pesquisa.

  6. Clique em Executar pesquisa.

  7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.

  8. Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:

    • Se a consulta retornar os resultados esperados, clique em thumb_up thumbs up.
    • Se a consulta não retornar os resultados esperados, clique em thumb_down thumbs down.
    • Opcional: inclua mais detalhes no campo Feedback.
    • Para enviar uma consulta de pesquisa revisada que ajude a melhorar os resultados:
      1. Edite a consulta de pesquisa gerada.
      2. Clique em Enviar. Se você não reescrever a consulta, será necessário editá-la.
      3. Clique em Enviar. A consulta de pesquisa revisada é limpa de dados sensíveis e usada para melhorar os resultados.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém o histórico de conversas do usuário em particular e adere às práticas de IA responsável do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.

  1. No painel Gemini, selecione Delete chat no menu no canto superior direito.
  2. Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
  3. Opcional: para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback sobre as respostas geradas pela assistência de investigação da IA do Gemini. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.

  1. No painel Gemini, clique no ícone thumb_up gostei ou thumb_down não gostei.
  2. Opcional: se você clicar em thumb_down thumbs down, poderá adicionar mais feedback sobre por que escolheu a classificação.
  3. Clique em Enviar comentários.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.