Gerar consultas de pesquisa de UDM com o Gemini

Compatível com:

Você pode usar o Gemini para gerar consultas de pesquisa de UDM Gemini ou ao usar a pesquisa de UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Gerar uma consulta de pesquisa UDM usando o painel Gemini

  1. Faça login no Google SecOps e abra o painel do Gemini clicando no logotipo do Gemini.

  2. Digite um comando de linguagem natural e pressione Enter. O processo O comando de idioma precisa estar em inglês.

    Abra o painel do Gemini e digite comando

    Figura 1: abrir o painel do Gemini e inserir o comando

  3. Analise a consulta de pesquisa do UDM gerada. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa.

  4. O Gemini gera um resumo dos resultados e ações sugeridas.

  5. pelo Gemini para continuar a investigação.

Exemplos de comandos de pesquisa e perguntas complementares

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa do UDM usando linguagem natural

Com o recurso de pesquisa de UDM do Google SecOps, é possível inserir uma consulta de linguagem sobre seus dados, e o Gemini pode traduzir isso em uma Consulta de pesquisa de UDM que pode ser executada em eventos de UDM.

Para melhores resultados, o Google recomenda usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa em linguagem natural e criar uma consulta de UDM, conclua o seguintes etapas:

  1. Faça login no Google SecOps.
  2. Acesse a Pesquisa SIEM.

  3. Digite uma instrução de pesquisa na barra de consulta de linguagem natural e clique em Generate Query. É necessário usar o inglês para a pesquisa.

    Digite uma pesquisa com linguagem natural e clique em "Gerar consulta".

    Figura 2: insira uma pesquisa em linguagem natural e clique em "Gerar consulta"

    Veja a seguir alguns exemplos de instruções que podem gerar uma Pesquisa UDM:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de horário será ajustado automaticamente para corresponder. Por exemplo, isso se aplicaria seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a instrução de pesquisa não puder ser interpretada, você verá a seguinte mensagem:
    "Não foi possível gerar uma consulta válida. Tente perguntar de outra forma."

  4. Analise a consulta de pesquisa do UDM gerada.

  5. (Opcional) Ajuste o período da pesquisa.

  6. Clique em Executar pesquisa.

  7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, usar filtros de pesquisa para restringir a lista de resultados.

  8. Envie feedback sobre a consulta usando o feedback da Consulta gerada. ícones. Selecione uma destas opções:

    • Se a consulta retornar os resultados esperados, clique no ícone "Gostei".
    • Se a consulta não retornar os resultados esperados, clique no ícone de polegar para baixo.
    • Opcional: inclua mais detalhes no campo Feedback.
    • Para enviar uma consulta de pesquisa revisada da UDM que ajude a melhorar os resultados:
    • Edite a consulta de pesquisa UDM que foi gerada.
    • Clique em Enviar. Se você não reescreveu a consulta, o texto na caixa de diálogo solicita que você edite a consulta.
    • Clique em Enviar. A consulta de pesquisa do UDM revisada será eliminada dados sensíveis e usados para melhorar os resultados.

Excluir uma sessão de chat

Você pode excluir a sessão de conversa ou todas as sessões de chat. O Gemini mantém todos os históricos de conversas dos usuários com privacidade e adere para a IA responsável do Google Cloud práticas recomendadas de autenticação. O histórico do usuário nunca é usado para treinar modelos.

  1. No painel Gemini, selecione Delete chat no menu no canto superior direito.
  2. Clique em Excluir chat no canto inferior direito para excluir a conversa atual. sessão.
  3. (Opcional) Para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat. e clique em Excluir todos os chats.

Gerar feedback

Você pode enviar feedback para as respostas geradas pela IA do Gemini assistência na investigação. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.

  1. No painel Gemini, selecione o ícone de polegar para cima ou para baixo.
  2. (Opcional) Se você selecionar "Não gostei", poderá adicionar mais feedback sobre por que escolheu essa classificação.
  3. Clique em Enviar comentários.