Gerar consultas de pesquisa com o Gemini

Compatível com:

Neste documento, explicamos como usar o Gemini para gerar consultas de pesquisa no painel do Gemini ou ao usar a pesquisa do Google Security Operations.

Para ter os melhores resultados, recomendamos usar o painel do Gemini para gerar consultas de pesquisa.

Gerar uma consulta de pesquisa usando o painel do Gemini

  1. Faça login no Google SecOps.
  2. Clique no logotipo do Gemini para abrir o painel.

  3. Insira um comando de linguagem natural e pressione Enter. O comando em linguagem natural precisa estar em inglês.

    Abrir o painel do Gemini e inserir um comando

    Figura 1. Abra o painel do Gemini e insira um comando.

  4. Revise a consulta de pesquisa gerada. A consulta de pesquisa usa a sintaxe YARA-L 2.0. Se a consulta de pesquisa gerada atender aos seus requisitos, clique em Executar pesquisa. O Gemini produz um resumo dos resultados e ações sugeridas.

Exemplos de comandos de pesquisa e perguntas complementares

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

Gerar uma consulta de pesquisa usando linguagem natural

Com o recurso de pesquisa do Google SecOps, você pode inserir uma consulta em linguagem natural sobre seus dados, e o Gemini pode traduzir isso em uma consulta de pesquisa para executar em eventos do UDM.

Para melhores resultados, recomendamos usar o painel do Gemini para gerar consultas de pesquisa.

Para usar uma pesquisa em linguagem natural e criar uma consulta de pesquisa, siga estas etapas:

  1. Faça login no Google SecOps.
  2. Acesse Investigação > Pesquisa do SIEM.

  3. Insira uma declaração de pesquisa na barra de consultas em linguagem natural e clique em Gerar consulta. A pesquisa precisa ser feita em inglês.

    Faça uma pesquisa com linguagem natural e clique em Gerar consulta.

    Figura 2. Digite uma pesquisa em linguagem natural e clique em Gerar consulta.

    Confira a seguir exemplos de declarações que podem gerar uma pesquisa útil:

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. Se a instrução de pesquisa incluir um termo baseado em tempo, o seletor de período será ajustado automaticamente para corresponder. Por exemplo, isso se aplicaria às seguintes pesquisas:

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    Se a instrução de pesquisa não puder ser interpretada, você vai receber a seguinte mensagem:
    "Não foi possível gerar uma consulta válida. Tente perguntar de outra forma."

  4. Revise a consulta de pesquisa gerada. A sintaxe é YARA-L 2.0.

  5. Opcional: ajuste o período da pesquisa.

  6. Clique em Executar pesquisa.

  7. Analise os resultados da pesquisa para determinar se o evento está presente. Se necessário, use filtros de pesquisa para restringir a lista de resultados.

  8. Envie feedback sobre a consulta usando os ícones de feedback Consulta gerada. Selecione uma destas opções:

    • Se a consulta retornar os resultados esperados, clique em thumb_up Gostei.
    • Se a consulta não retornar os resultados esperados, clique em thumb_down Não gostei.
    • Opcional: inclua mais detalhes no campo Feedback.

  9. Para enviar uma consulta de pesquisa revisada que ajude a melhorar os resultados:

    1. Edite a consulta de pesquisa gerada.
    2. Clique em Enviar.
      • Se você não reescreveu a consulta, vai aparecer uma solicitação para editar.
      • Se você reescreveu a consulta, ela é higienizada para dados sensíveis e usada para melhorar os resultados.

Excluir uma sessão de chat

Você pode excluir sua sessão de conversa por chat ou todas as sessões. O Gemini mantém todos os históricos de conversas dos usuários em particular e segue as práticas de IA responsável do Google Cloud. O histórico do usuário nunca é usado para treinar modelos.

  1. No painel do Gemini, selecione Excluir conversa no menu no canto superior direito.
  2. Clique em Excluir chat no canto inferior direito para excluir a sessão de chat atual.
  3. Opcional: para excluir todas as sessões de chat, selecione Excluir todas as sessões de chat e clique em Excluir todos os chats.

Forneça feedback

Você pode enviar feedback sobre as respostas geradas pela assistência de investigação da IA do Gemini. Seu feedback ajuda o Google a melhorar o recurso e a saída gerada pelo Gemini.

  1. No painel do Gemini, clique em thumb_up Gostei ou thumb_down Não gostei.
  2. Opcional: clique em thumb_down Não gostei e envie feedback.
  3. Clique em Enviar feedback.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.