Triage Agent zum Untersuchen von Benachrichtigungen verwenden

Unterstützt in:

Der Triage Agent ist ein KI-basierter Untersuchungsassistent, der in Google Security Operations eingebettet ist. Es wird ermittelt, ob die Benachrichtigungen echte oder falsche Positivmeldungen sind, und dann eine zusammenfassende Erklärung für die Bewertung bereitgestellt.

Der Triage Agent analysiert Benachrichtigungen in Google SecOps anhand von Mandiant-Prinzipien und Branchen-Best Practices. Es wertet eingehende Benachrichtigungen aus, führt einen Prüfplan aus und liefert eine strukturierte Analyse, die sowohl die Ergebnisse als auch die Begründung enthält.

Eine Liste der IAM-Berechtigungen, die für die Verwendung des Triage-Agents erforderlich sind, finden Sie unter Triage-Agent.

Prüftools

Der Agent verwendet die folgenden integrierten Tools, um die Analyse durchzuführen:

  • Dynamische Suchanfragen: Führt Suchanfragen in SecOps aus und optimiert sie, um zusätzlichen Kontext für die Benachrichtigung zu erfassen.

  • GTI-Anreicherung: IoCs werden mit Google Threat Intelligence-Daten (GTI) angereichert, einschließlich Domains, URLs und Hashes.

  • Befehlszeilenanalyse: Analysiert Befehlszeilen, um Aktionen in natürlicher Sprache zu erklären.

  • Rekonstruktion des Prozessbaums: Analysiert die Prozesse in der Benachrichtigung, um die vollständige Abfolge der zugehörigen Systemaktivitäten zu zeigen.

Triage-Agent auslösen

Sie können den Triage Agent automatisch oder manuell auslösen. In jedem Mandanten können bis zu 10 Untersuchungen pro Stunde ausgeführt werden (5 manuelle und 5 automatische). Jede Untersuchung dauert in der Regel 3 bis 5 Minuten und wird maximal 20 Minuten lang ausgeführt. Es gibt keine Warteschlange für Untersuchungen. Der Triage Agent analysiert Benachrichtigungen, die über das Limit hinaus generiert werden, nicht automatisch.

Automatische Untersuchungen

Der Agent untersucht automatisch Benachrichtigungen, die Ereignisse mit den relevanten metadata.log_type-Werten enthalten.

In der folgenden Tabelle sind die unterstützten metadata.log_type-Werte und ihre Quellen aufgeführt:

Quelle metadata.log_type -Werte
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Sonstiges 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Manuelle Untersuchungen

So führen Sie eine Untersuchung manuell aus:

  1. Rufen Sie in Google SecOps die Seite Benachrichtigungen und IoCs auf.

  2. Wählen Sie eine Benachrichtigung aus und klicken Sie auf Run Investigation (Untersuchung ausführen).

    Sie können auch zu einer Benachrichtigung in einem Fall navigieren und eine Untersuchung dafür ausführen. Das Banner wird aktualisiert und zeigt Prüfung ansehen an, sobald der Vorgang abgeschlossen ist. Sie können auf dieses Banner klicken, um die Details einer Untersuchung aufzurufen.

Sie können von überall in Google SecOps auf vergangene oder laufende Untersuchungen zugreifen.

  1. Klicken Sie in der Google SecOps-Benutzeroberfläche auf Sternsymbol für Gemini-Prüfungen.

  2. Klicken Sie im Navigationsbereich auf Schaltfläche zum Öffnen von Gemini Investigation.

  3. Klicken Sie neben der Liste der Untersuchungen auf keyboard_arrow_down, um das Feld zu maximieren.

  4. Wählen Sie in der Liste ein Element aus, um die Prüfungsergebnisse zu öffnen.

Jeder Untersuchungseintrag enthält den Namen der Benachrichtigung, die Abschlusszeit und die Zusammenfassung der Gemini-Untersuchung. Wenn derselbe Hinweis mehrmals untersucht wird, wird jede Untersuchung als separater Eintrag in der Untersuchungsliste angezeigt.

Prüfung ansehen

Jede Untersuchung wird in einer Detailansicht geöffnet, in der die Analyse von Gemini, die Begründung und die verwendeten unterstützenden Daten zusammengefasst sind.

Diese Ansicht hat die folgenden Komponenten:

Zusammenfassung

Oben im Bereich finden Sie im Abschnitt Zusammenfassung von Gemini eine kurze Beschreibung der Benachrichtigung und der Ergebnisse der Untersuchung.

Die Zusammenfassung enthält die folgenden Informationen:

  • Disposition: Gibt an, ob Gemini die Benachrichtigung als richtig oder falsch positiv eingestuft hat.
  • Konfidenzniveau: Beschreibt, wie sicher sich Gemini bei der Bewertung ist. Diese Bewertung basiert auf der Benachrichtigung und den verfügbaren Prüfdaten.
  • Zusammenfassung: Beschreibt die Benachrichtigung und wie Gemini zu seiner Schlussfolgerung gelangt ist.

Zeitachse der Prüfung

Nach der Zusammenfassung werden in der Untersuchungszeitachse Karten angezeigt, die jeweils einen Analyseschritt des Agents darstellen.

Jede Karte enthält:

  • Ein Titel, der die Analyseaktivität beschreibt
  • Ein Text, in dem die Suchergebnisse und Analysen von Gemini zusammengefasst werden
  • Ein Quelllink zu den Daten, die Gemini für den Schritt verwendet hat (z. B. GTI-Ergebnisse oder Suchanfragen)

Warnung ansehen oder Prüfung noch einmal ausführen

Im Untersuchungsbereich können Sie die folgenden Aktionen ausführen:

  • Benachrichtigung ansehen: Öffnet die Benachrichtigungsdetails in der Google SecOps SIEM-Ansicht.
  • Prüfung noch einmal ausführen: Die Analyse für dieselbe Benachrichtigung wird noch einmal ausgeführt.

Vorgeschlagene nächste Schritte

Für alle Prüfungen bietet Gemini weitere Prüfungsschritte an. In diesen Schritten werden zusätzliche Aktionen oder Datenquellen empfohlen, die Analysten untersuchen können.

Wenn der Agent aktualisiert wird, können diese Vorschläge erweitert werden, um Anleitungen zur Fehlerbehebung zu enthalten.

Feedback

Jede Untersuchung enthält die Symbole thumb_up Mag ich und thumb_down Mag ich nicht, um Feedback zu sammeln. Konzentrieren Sie sich bei Ihrem Feedback auf das Schweregradurteil, da dies dazu beiträgt, die Bedrohungsklassifizierung von Gemini zu optimieren.

Cloud-Audit-Logging

So aktivieren Sie das Audit-Logging für den Triage Agent:

  1. Rufen Sie in der Google Google Cloud Console IAM > Audit-Logging auf.
  2. Suchen Sie nach der Chronicle API.
  3. Aktivieren Sie auf dem Tab Berechtigungstypen des Bereichs Chronicle API das Kästchen Lesen durch Administrator.

Audit-Logs ansehen

So rufen Sie Audit-Logs auf:

  1. Rufen Sie in der Google Google Cloud Console Monitoring > Log-Explorer auf.

  2. Suchen Sie nach den Logs, die Sie ansehen möchten.

    • Wenn Sie alle Google SecOps-Audit-Logs aufrufen möchten, suchen Sie nach protoPayload.serviceName: "chronicle.googleapis.com".

    • Wenn Sie nur die Logs des Triage Agent sehen möchten, suchen Sie nach den zugehörigen Methoden.

      Beispiel: protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" und protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten