Usa el Agente de clasificación e investigación para investigar alertas

El Agente de clasificación e investigación (TIN) es un asistente de investigación potenciado por IA integrado en Google Security Operations. Determina si las alertas son verdaderos o falsos positivos y, luego, proporciona una explicación resumida de su evaluación.

El TIN analiza las alertas en Google SecOps con los principios de Mandiant y las prácticas recomendadas de la industria. Evalúa las alertas entrantes, ejecuta un plan de investigación y proporciona un análisis estructurado que incluye sus hallazgos y razonamientos.

Para obtener una lista de los permisos de IAM necesarios para usar el agente, consulta Agente de clasificación e investigación (TIN).

Herramientas de investigación

El agente usa las siguientes herramientas integradas para completar su análisis:

• Consultas de búsqueda dinámicas: Ejecuta y refina búsquedas en SecOps para recopilar contexto adicional para la alerta.

• Enriquecimiento de GTI: Enriquece los IoC con datos de Google Threat Intelligence (GTI), incluidos dominios, URLs y hashes.

• Análisis de línea de comandos: Analiza las líneas de comandos para explicar las acciones en lenguaje natural.

• Reconstrucción del árbol de procesos: Analiza los procesos de la alerta para mostrar la secuencia completa de la actividad del sistema relacionada.

Activa el TIN

Puedes activar el TIN de forma automática o manual. Por lo general, cada investigación se completa en un promedio de 60 segundos y se ejecuta durante un máximo de 20 minutos. No hay una cola de investigación. El agente no analiza automáticamente las alertas generadas más allá del límite.

Límites de uso de la prueba

Todos los clientes de Google SecOps Enterprise, Enterprise Plus y Google Unified Security pueden acceder a una prueba gratuita del TIN desde el 1 de abril de 2026 hasta el 30 de junio de 2026.

El uso de tu organización durante el período de prueba está sujeto a los siguientes límites:

La capacidad de investigación automática no utilizada no se transfiere a las investigaciones manuales. Si tu organización alcanza el límite por hora, debes esperar hasta la hora siguiente para que se restablezca la cuota.

La mayoría de las investigaciones se completan en aproximadamente 60 segundos y se pueden ejecutar durante un máximo de 20 minutos. El TIN no pone en cola las investigaciones. Una vez que alcanzas tu cuota por hora, el agente no inicia investigaciones.

Para obtener más detalles sobre la prueba gratuita, consulta los detalles de la prueba de Agentic SOC.

Si necesitas más capacidad que los límites, comunícate con tu ingeniero de clientes de Google SecOps para analizar los aumentos de cuota.

Configuración de la investigación automática

Las investigaciones automáticas están habilitadas de forma predeterminada si tienes los permisos de administrador necesarios y habilitaste el agente. Para verificar o modificar esta configuración, navega a Configuración > Configuración de SIEM > Investigaciones de Gemini.

Cuando está habilitado, el agente usa la configuración predeterminada para investigar todos los tipos de registros compatibles predeterminados. Puedes personalizar el tiempo de investigación y los criterios de filtro para controlar qué alertas se investigan.

Tiempo de investigación

Puedes configurar cuándo comienza la investigación después de que se genera una alerta. De forma predeterminada, la investigación comienza cinco minutos después de que se genera la alerta para tener en cuenta los eventos que aún llegan y requieren correlación.

Puedes cambiar esta demora a un máximo de 20 minutos desde la lista en el panel de configuración.

Criterios de investigación

Puedes definir criterios personalizados para activar las investigaciones automáticas solo para alertas específicas. Si no se definen criterios personalizados, el agente investiga todas las alertas que coinciden con los tipos de registros compatibles que se enumeran en Tipos de registros compatibles predeterminados.

Para crear una configuración de investigación automática personalizada, haz lo siguiente:

1. Haz clic en add.
2. Selecciona un campo de UDM de la lista. Los campos compatibles incluyen los siguientes:
   • detection.rule_id
   • detection.rule_name
   • udm.metadata.event_type
   • udm.metadata.log_type
   • udm.metadata.product_event_type
   • udm.metadata.product_name
   • udm.metadata.vendor_name
   • udm.about.entity_metadata.product_name
   • udm.principal.user.userid
3. Selecciona un operador para evaluar el campo (= o !=).
4. Ingresa o selecciona el valor del campo. Los valores de la lista se basan en los valores observados en tu entorno.
5. Usa un operador lógico (AND o OR) para combinar varios criterios.
6. Haz clic en Guardar para aplicar la configuración.

Tipos de registros compatibles predeterminados

El agente admite la investigación automática de alertas que contienen eventos con los siguientes valores de metadata.log_type:

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Investigaciones manuales

Para ejecutar una investigación de forma manual, haz lo siguiente:

1. En Google SecOps, ve a la página Alertas y IOCs.

2. Selecciona una alerta y haz clic en Ejecutar investigación.

   También puedes ver los resultados de la investigación directamente en un caso. Si el TIN está habilitado para tu tenant, los resultados se integran en el contenido de Resumen del caso una vez que se completa una investigación.

3. Mientras se ejecuta una investigación, el banner indica el progreso. Una vez que se completa, el banner muestra un resumen del veredicto. Haz clic en Ver investigación en el banner para revisar el análisis.

Navega a las investigaciones

Puedes acceder a las investigaciones anteriores o en curso desde cualquier lugar de Google SecOps.

1. Haz clic en en la interfaz de Google SecOps.

2. Haz clic en en el panel de navegación.

3. Haz clic en keyboard_arrow_down junto a la lista de investigaciones para expandir el panel.

4. En la lista, selecciona un elemento para abrir los resultados de la investigación.

Cada entrada de investigación incluye el nombre de la alerta, la hora de finalización y el resumen de la investigación de Gemini. Si la misma alerta se investiga varias veces, cada investigación aparece como una entrada independiente en la lista de investigaciones.

Revisa una investigación

Cada investigación se abre en una vista detallada que resume el análisis de Gemini, su razonamiento y los datos de respaldo que usó.

Esta vista tiene los siguientes componentes:

• Resumen
• Cronograma de investigación
• Ver una alerta o volver a ejecutar una investigación
• Próximos pasos sugeridos
• Comentarios

Resumen

En la parte superior del panel, la sección Resumen de Gemini proporciona una breve descripción de la alerta y los hallazgos de la investigación.

El resumen proporciona la siguiente información:

• Disposición: Indica si Gemini determinó que la alerta es un verdadero o falso positivo.
• Nivel de confianza: Describe la confianza de Gemini en su evaluación. Esta evaluación se basa en la alerta y los datos de investigación disponibles.
• Explicación del resumen: Describe la alerta y cómo Gemini llegó a su conclusión.

Cronograma de investigación

La investigación del TIN sigue un cronograma estructurado de varias etapas diseñado para transformar las alertas sin procesar en inteligencia procesable. Si bien el agente usa principalmente estos pasos intermedios para generar contexto y refinar su análisis, también son visibles en el Cronograma de investigación en la interfaz web, lo que proporciona a los analistas de seguridad una visibilidad clara del progreso de la investigación del agente.

Evaluación inicial y priorización de riesgos

La investigación comienza con una evaluación inmediata de la alerta para establecer el contexto de referencia. Durante esta etapa, el agente analiza automáticamente los detalles y los metadatos de la alerta para identificar la actividad benigna de alta confianza. Si una alerta se clasifica como de bajo riesgo, el agente concluye la investigación.

Enriquecimiento contextual y recopilación de evidencia

El agente ejecuta varios pasos de análisis paralelos para crear una imagen integral de la actividad sospechosa aprovechando la inteligencia interna y externa:

• Enriquecimiento de Google Threat Intelligence (GTI): Identifica y evalúa indicadores de vulnerabilidad (IoC), como hashes de archivos, direcciones IP y dominios en Google Threat Intelligence y VirusTotal para identificar entidades maliciosas conocidas.

• Análisis del gráfico de contexto de entidades (ECG): Recupera datos de prevalencia, como cuándo se vio una entidad por primera o última vez, para proporcionar un contexto ambiental más profundo y analizar las relaciones entre las entidades.

• Recopilación de contexto de red: Extrae contexto adicional relacionado con el tráfico de red realizando búsquedas segmentadas para identificar patrones sospechosos.

• Integración de metadatos del caso: Recupera un contexto más amplio del caso al que pertenece la alerta, incorporando metadatos como etiquetas y prioridad en la investigación.

• Construcción del árbol de procesos: Construye la jerarquía de ejecución de los procesos del sistema para ayudar a los analistas a comprender exactamente cómo se inició una acción sospechosa y qué acciones posteriores tomó.

Investigación adaptable

Según los hallazgos de los pasos de investigación anteriores, el agente determina de forma dinámica la siguiente forma de proceder:

• Evalúa los hallazgos: Evalúa la información recopilada en los pasos anteriores para identificar posibles brechas o nuevas vías de investigación.

• Realiza investigaciones detalladas: Genera de forma iterativa planes nuevos y ejecuta herramientas especializadas, como el enriquecimiento de GTI, el análisis de ECG, el análisis avanzado de la línea de comandos o las búsquedas segmentadas para descubrir amenazas ocultas.

Ver una alerta o volver a ejecutar una investigación

El panel de investigación te permite realizar las siguientes acciones:

• Ver alerta: Abre los detalles de la alerta en la vista de Google SecOps SIEM.
• Volver a ejecutar la investigación: Vuelve a ejecutar el análisis de la misma alerta.

Próximos pasos sugeridos

Para todas las investigaciones, Gemini proporciona pasos de investigación adicionales. Estos pasos recomiendan acciones o fuentes de datos adicionales para que los analistas exploren.

A medida que se actualiza el agente, estas sugerencias pueden expandirse para incluir orientación sobre la corrección.

Comentarios

Cada investigación incluye los íconos thumb_up Me gusta y thumb_down No me gusta para recopilar comentarios. Enfoca tus comentarios en el veredicto de gravedad, ya que esto ayuda a refinar la clasificación de amenazas de Gemini.

Métricas del TIN en los paneles

Google SecOps integra los datos operativos del TIN en los paneles. Esto te permite supervisar el volumen de investigación, el rendimiento del agente y los comentarios de los usuarios. Puedes usar estas métricas como una forma clara de supervisar el consumo de tokens de seguridad para fines de facturación y evaluar el valor que proporciona el agente.

Para obtener más información, consulta Supervisa el rendimiento del Agente de clasificación e investigación (TIN) con paneles.

Cloud Audit Logging

Para habilitar el registro de auditoría del TIN, haz lo siguiente:

1. En la consola de Google Google Cloud , navega a IAM > Registro de auditoría.
2. Busca API de Chronicle.
3. En la pestaña Tipos de permisos del panel API de Chronicle, selecciona la casilla de verificación Lectura de administración.

Ver registros de auditoría

Para ver los registros de auditoría, haz lo siguiente:

1. En la consola de Google Google Cloud , ve a Monitoring > Explorador de registros.

2. Busca los registros que deseas ver.

   • Para ver todos los registros de auditoría de Google SecOps, busca protoPayload.serviceName: "chronicle.googleapis.com".

   • Para ver solo los registros del TIN, busca los métodos relacionados.

     Por ejemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" y protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.