Benachrichtigungen mit dem Agent für Priorisierung und Untersuchung prüfen

Der Agent für Priorisierung und Untersuchung (Triage and Investigation Agent, TIN) ist ein KI-basierter Prüfassistent, der in Google Security Operations eingebettet ist. Er ermittelt, ob es sich bei den Benachrichtigungen um echte oder falsch positive Ergebnisse handelt, und gibt dann eine zusammenfassende Erklärung für seine Bewertung ab.

Der TIN analysiert Benachrichtigungen in Google SecOps anhand der Mandiant- Prinzipien und der Best Practices der Branche. Er bewertet eingehende Benachrichtigungen, führt einen Prüfplan aus und liefert eine strukturierte Analyse, die sowohl seine Ergebnisse als auch seine Begründung enthält.

Eine Liste der IAM-Berechtigungen, die für die Verwendung des Agents erforderlich sind, finden Sie unter Agent für Priorisierung und Untersuchung (Triage and Investigation Agent, TIN).

Prüftools

Der Agent verwendet die folgenden integrierten Tools, um seine Analyse abzuschließen:

• Dynamische Suchanfragen: Führt Suchanfragen in SecOps aus und verfeinert sie, um zusätzlichen Kontext für die Benachrichtigung zu erfassen.

• GTI-Anreicherung: Reichert IoCs mit Daten von Google Threat Intelligence (GTI) an, einschließlich Domains, URLs und Hashes.

• Befehlszeilenanalyse: Analysiert Befehlszeilen, um Aktionen in natürlicher Sprache zu erklären.

• Rekonstruktion des Prozessbaums: Analysiert die Prozesse in der Benachrichtigung, um die vollständige Abfolge der zugehörigen Systemaktivitäten zu zeigen.

TIN auslösen

Sie können den TIN automatisch oder manuell auslösen. Jede Prüfung dauert in der Regel durchschnittlich 60 Sekunden und maximal 20 Minuten. Es gibt keine Prüfwarteschlange. Der Agent analysiert Benachrichtigungen, die über das Limit hinaus generiert werden, nicht automatisch.

Nutzungslimits für den Testzeitraum

Alle Google SecOps Enterprise-, Enterprise Plus- und Google Unified Security-Kunden können vom 1. April 2026 bis zum 30. Juni 2026 einen kostenlosen Testzeitraum für den TIN nutzen.

Die Nutzung Ihrer Organisation während des Testzeitraums unterliegt den folgenden Limits:

Nicht genutzte Kapazitäten für automatische Prüfungen werden nicht auf manuelle Prüfungen übertragen. Wenn Ihre Organisation das Stundenlimit erreicht, müssen Sie bis zur nächsten Stunde warten, bis das Kontingent zurückgesetzt wird.

Die meisten Prüfungen sind in etwa 60 Sekunden abgeschlossen und können maximal 20 Minuten dauern. Der TIN stellt keine Prüfungen in die Warteschlange. Sobald Sie Ihr Stundenkontingent erreicht haben, startet der Agent keine Prüfungen.

Weitere Informationen zum kostenlosen Testzeitraum, finden Sie unter den Details zum Agentic SOC-Testzeitraum.

Wenn Sie mehr Kapazität als die Limits benötigen, wenden Sie sich an Ihren Google SecOps-Kundenbetreuer, um eine Erhöhung des Kontingents zu besprechen.

Einstellungen für die automatische Prüfung

Automatische Prüfungen sind standardmäßig aktiviert, wenn Sie die erforderlichen Administratorberechtigungen haben und den Agent aktiviert haben. Wenn Sie diese Einstellung prüfen oder ändern möchten, gehen Sie zu den Einstellungen > SIEM-Einstellungen > Gemini-Prüfungen.

Wenn diese Option aktiviert ist, verwendet der Agent Standardeinstellungen, um alle standardmäßig unterstützten Logtypen zu prüfen. Sie können den Zeitpunkt der Prüfung und die Filterkriterien anpassen, um zu steuern, welche Benachrichtigungen geprüft werden.

Zeitpunkt der Prüfung

Sie können konfigurieren, wann die Prüfung nach dem Generieren einer Benachrichtigung gestartet werden soll. Standardmäßig beginnt die Prüfung fünf Minuten nach dem Generieren der Benachrichtigung, um alle Ereignisse zu berücksichtigen, die noch eingehen und korreliert werden müssen.

Sie können diese Verzögerung in den Einstellungen auf maximal 20 Minuten ändern.

Prüfkriterien

Sie können benutzerdefinierte Kriterien definieren, um automatische Prüfungen nur für bestimmte Benachrichtigungen auszulösen. Wenn keine benutzerdefinierten Kriterien definiert sind, prüft der Agent alle Benachrichtigungen, die den unterstützten Logtypen entsprechen, die unter Standardmäßig unterstützte Logtypen aufgeführt sind.

So erstellen Sie benutzerdefinierte Einstellungen für die automatische Prüfung:

1. Klicken Sie auf „Hinzufügen“.
2. Wählen Sie in der Liste ein UDM-Feld aus. Unterstützte Felder:
   • detection.rule_id
   • detection.rule_name
   • udm.metadata.event_type
   • udm.metadata.log_type
   • udm.metadata.product_event_type
   • udm.metadata.product_name
   • udm.metadata.vendor_name
   • udm.about.entity_metadata.product_name
   • udm.principal.user.userid
3. Wählen Sie einen Operator aus, um das Feld auszuwerten (= oder !=).
4. Geben Sie den Wert für das Feld ein oder wählen Sie ihn aus. Die Werte in der Liste basieren auf Werten, die in Ihrer Umgebung beobachtet wurden.
5. Verwenden Sie einen logischen Operator (AND oder OR), um mehrere Kriterien zu kombinieren.
6. Klicken Sie auf Speichern , um die Einstellungen anzuwenden.

Standardmäßig unterstützte Logtypen

Der Agent unterstützt die automatische Prüfung für Benachrichtigungen, die Ereignisse mit den folgenden metadata.log_type-Werten enthalten:

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Manuelle Prüfungen

So führen Sie eine Prüfung manuell aus:

1. Rufen Sie in Google SecOps die Seite Benachrichtigungen und IoCs auf.

2. Wählen Sie eine Benachrichtigung aus und klicken Sie auf Prüfung ausführen.

   Sie können die Prüfungsergebnisse auch direkt in einem Fall ansehen. Wenn der TIN für Ihren Mandanten aktiviert ist, werden die Ergebnisse nach Abschluss einer Prüfung in den Inhalt der Fallzusammenfassung eingebunden.

3. Während eine Prüfung ausgeführt wird, wird der Fortschritt im Banner angezeigt. Nach Abschluss wird im Banner eine Zusammenfassung des Ergebnisses angezeigt. Klicken Sie im Banner auf Prüfung ansehen , um die Analyse zu prüfen.

Zu Prüfungen navigieren

Sie können von überall in Google SecOps auf abgeschlossene oder laufende Prüfungen zugreifen.

1. Klicken Sie in der Google SecOps-Benutzeroberfläche auf .

2. Klicken Sie im Navigationsbereich auf .

3. Klicken Sie neben der Prüfliste auf „keyboard_arrow_down“, um das Feld zu maximieren.

4. Wählen Sie in der Liste ein Element aus, um die Prüfungsergebnisse zu öffnen.

Jeder Prüfungseintrag enthält den Namen der Benachrichtigung, die Abschlusszeit und die Zusammenfassung der Gemini-Prüfung. Wenn dieselbe Benachrichtigung mehrmals geprüft wird, wird jede Prüfung als separater Eintrag in der Prüfliste angezeigt.

Prüfung ansehen

Jede Prüfung wird in einer Detailansicht geöffnet, in der die Analyse von Gemini, die Begründung und die verwendeten unterstützenden Daten zusammengefasst sind.

Diese Ansicht enthält die folgenden Komponenten:

• Zusammenfassung
• Zeitachse der Prüfung
• Benachrichtigung ansehen oder Prüfung noch einmal ausführen
• Vorgeschlagene nächste Schritte
• Feedback

Zusammenfassung

Oben im Feld finden Sie den Abschnitt Zusammenfassung von Gemini mit einer kurzen Beschreibung der Benachrichtigung und der Prüfungsergebnisse.

Die Zusammenfassung enthält die folgenden Informationen:

• Ergebnis: Gibt an, ob Gemini die Benachrichtigung als echtes oder falsch positives Ergebnis eingestuft hat.
• Zuverlässigkeit: Beschreibt, wie sicher sich Gemini bei seiner Bewertung ist. Diese Bewertung basiert auf der Benachrichtigung und den verfügbaren Prüfdaten.
• Zusammenfassung der Erklärung: Beschreibt die Benachrichtigung und wie Gemini zu seinem Ergebnis gelangt ist.

Zeitachse der Prüfung

Die TIN-Prüfung folgt einer strukturierten, mehrstufigen Zeitachse, die darauf ausgelegt ist, Rohbenachrichtigungen in umsetzbare Informationen umzuwandeln. Diese Zwischenschritte werden hauptsächlich vom Agent verwendet, um Kontext zu erstellen und die Analyse zu verfeinern. Sie sind aber auch in der Zeitachse der Prüfung in der Weboberfläche sichtbar, sodass Sicherheitsanalysten einen klaren Überblick über den Fortschritt der Prüfung durch den Agent erhalten.

Erste Bewertung und Risikopriorisierung

Die Prüfung beginnt mit einer sofortigen Bewertung der Benachrichtigung, um einen grundlegenden Kontext zu erstellen. In dieser Phase analysiert der Agent automatisch Benachrichtigungsdetails und Metadaten, um gutartige Aktivitäten mit hoher Zuverlässigkeit zu identifizieren. Wenn eine Benachrichtigung als risikoarm eingestuft wird, beendet der Agent die Prüfung.

Kontextuelle Anreicherung und Beweissammlung

Der Agent führt mehrere parallele Analyseschritte aus, um mithilfe interner und externer Informationen ein umfassendes Bild der verdächtigen Aktivität zu erstellen:

• Anreicherung mit Google Threat Intelligence (GTI): Identifiziert und bewertet Kompromittierungsindikatoren (Indicators of Compromise, IoCs) wie Dateihashes, IP-Adressen und Domains anhand von Google Threat Intelligence und VirusTotal, um bekannte schädliche Entitäten zu identifizieren.

• Analyse des Entity Context Graph (ECG): Ruft Daten zur Häufigkeit ab, z. B. wann eine Entität zum ersten oder letzten Mal gesehen wurde, um einen tieferen Kontext zu liefern und Beziehungen zwischen Entitäten zu analysieren.

• Erfassung des Netzwerkkontexts: Extrahiert zusätzlichen Kontext im Zusammenhang mit dem Netzwerk Traffic, indem gezielte Suchanfragen ausgeführt werden, um verdächtige Muster zu identifizieren.

• Integration von Fallmetadaten: Ruft einen umfassenderen Kontext aus dem Fall ab, zu dem die Benachrichtigung gehört, und bezieht Metadaten wie Tags und Priorität in die Prüfung ein.

• Erstellung des Prozessbaums: Erstellt die Ausführungshierarchie der System prozesse, damit Analysten genau nachvollziehen können, wie eine verdächtige Aktion initiiert wurde und welche nachfolgenden Aktionen ausgeführt wurden.

Adaptive Prüfung

Basierend auf den Ergebnissen der vorherigen Prüfungsschritte bestimmt der Agent dynamisch die nächste Vorgehensweise:

• Ergebnisse bewerten: Informationen aus den vorherigen Schritten werden bewertet, um potenzielle Lücken oder neue Möglichkeiten für weitere Untersuchungen zu identifizieren.

• Detaillierte Recherche durchführen: Es werden iterativ neue Pläne erstellt und spezielle Tools ausgeführt, z. B. GTI-Anreicherung, ECG-Analyse, erweiterte Befehlszeilenanalyse oder gezielte Suchanfragen, um verborgene Bedrohungen aufzudecken.

Benachrichtigung ansehen oder Prüfung noch einmal ausführen

Im Prüffeld können Sie die folgenden Aktionen ausführen:

• Benachrichtigung ansehen: Öffnet die Benachrichtigungsdetails in der Google SecOps SIEM-Ansicht.
• Prüfung noch einmal ausführen: Führt die Analyse für dieselbe Benachrichtigung noch einmal aus.

Vorgeschlagene nächste Schritte

Für alle Prüfungen schlägt Gemini weitere Prüfungsschritte vor. Diese Schritte empfehlen zusätzliche Aktionen oder Datenquellen, die Analysten untersuchen können.

Wenn der Agent aktualisiert wird, können diese Vorschläge um Anleitungen zur Behebung erweitert werden.

Feedback

Jede Prüfung enthält die Symbole „thumb_up Mag ich“ und „thumb_down Mag ich nicht“, um Feedback zu erfassen. Konzentrieren Sie sich bei Ihrem Feedback auf das Ergebnis der Schweregradbewertung, da dies dazu beiträgt, die Bedrohungsklassifizierung von Gemini zu verfeinern.

TIN-Messwerte in Dashboards

Google SecOps integriert die Betriebsdaten des TIN in Dashboards. So können Sie das Prüfungsvolumen, die Leistung des Agents und das Nutzerfeedback im Blick behalten. Mit diesen Messwerten können Sie die Nutzung von Sicherheitstokens für Abrechnungszwecke auf klare Weise überwachen und den Wert des Agents bewerten.

Weitere Informationen finden Sie unter Leistung des Agent für Priorisierung und Untersuchung (Triage and Investigation Agent, TIN) mit Dashboards überwachen.

Cloud-Audit-Logging

So aktivieren Sie das Audit-Logging für den TIN:

1. Rufen Sie in der Google Google Cloud Console IAM > Audit-Logging auf.
2. Suchen Sie nach Chronicle API.
3. Wählen Sie auf dem Tab Berechtigungstypen des Felds Chronicle API das Kästchen Lesen durch Administrator aus.

Audit-Logs ansehen

So sehen Sie Audit-Logs ein:

1. Rufen Sie in der Google Google Cloud Console Monitoring > Log-Explorer auf.

2. Suchen Sie nach den Logs, die Sie ansehen möchten.

   • Wenn Sie alle Google SecOps-Audit-Logs ansehen möchten, suchen Sie nach protoPayload.serviceName: "chronicle.googleapis.com".

   • Wenn Sie nur TIN-Logs sehen möchten, suchen Sie nach den zugehörigen Methoden.

     Beispiel: protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" und protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten