Usar el agente de triaje para investigar alertas

Disponible en:

El agente de triaje es un asistente de investigación basado en IA integrado en Google Security Operations. Determina si las alertas son verdaderas o falsas positivas y, a continuación, proporciona una explicación resumida de su evaluación.

El agente de clasificación analiza las alertas de Google SecOps según los principios de Mandiant y las prácticas recomendadas del sector. Evalúa las alertas entrantes, ejecuta un plan de investigación y proporciona un análisis estructurado que incluye tanto sus conclusiones como su razonamiento.

Para ver una lista de los permisos de IAM necesarios para usar el agente de triaje, consulta Agente de triaje.

Herramientas de investigación

El agente usa las siguientes herramientas integradas para completar su análisis:

  • Consultas de búsqueda dinámicas: ejecuta y perfecciona búsquedas en SecOps para recoger contexto adicional sobre la alerta.

  • Enriquecimiento de GTI: enriquece los IoCs con datos de Inteligencia de amenazas de Google (GTI), incluidos dominios, URLs y hashes.

  • Análisis de línea de comandos: analiza las líneas de comandos para explicar las acciones en lenguaje natural.

  • Reconstrucción del árbol de procesos: analiza los procesos de la alerta para mostrar la secuencia completa de la actividad del sistema relacionada.

Activar el agente de triaje

Puedes activar el agente de triaje de forma automática o manual. Cada arrendatario puede ejecutar hasta 10 investigaciones por hora (5 manuales y 5 automáticas). Cada investigación suele completarse en un plazo de entre 3 y 5 minutos, y se ejecuta durante un máximo de 20 minutos. No hay ninguna cola de investigación. El agente de triaje no analiza automáticamente las alertas que se generen por encima del límite.

Investigaciones automáticas

El agente investiga automáticamente las alertas que contienen eventos con los valores metadata.log_typepertinentes.

En la siguiente tabla se indican los valores de metadata.log_type admitidos y sus fuentes:

Fuente Valores de metadata.log_type
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Otro 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Investigaciones manuales

Para realizar una investigación manualmente, sigue estos pasos:

  1. En Google SecOps, ve a la página Alertas e IoCs.

  2. Selecciona una alerta y haz clic en Iniciar investigación.

    También puedes ir a una alerta de un caso y realizar una investigación sobre ella. Cuando se complete el proceso, el banner cambiará a Ver investigación. Puede hacer clic en este banner para ver los detalles de una investigación.

Puede acceder a investigaciones anteriores o en curso desde cualquier lugar de Google SecOps.

  1. Haz clic en Icono de centella de Investigaciones de Gemini en la interfaz de Google SecOps.

  2. En el panel de navegación, haz clic en Botón para abrir la investigación de Gemini.

  3. Haz clic en keyboard_arrow_down junto a la lista de investigaciones para desplegar el panel.

  4. En la lista, selecciona un elemento para abrir los resultados de la investigación.

Cada entrada de investigación incluye el nombre de la alerta, la hora de finalización y el resumen de la investigación de Gemini. Si la misma alerta se investiga varias veces, cada investigación aparece como una entrada independiente en la lista de investigaciones.

Revisar una investigación

Cada investigación se abre en una vista detallada que resume el análisis de Gemini, su razonamiento y los datos de apoyo que ha utilizado.

Esta vista tiene los siguientes componentes:

Resumen

En la parte superior del panel, la sección Resumen de Gemini ofrece una breve descripción de la alerta y de las conclusiones de la investigación.

El resumen proporciona la siguiente información:

  • Disposición: indica si Gemini ha determinado que la alerta es un verdadero positivo o un falso positivo.
  • Nivel de confianza: describe la confianza de Gemini en su evaluación. Esta evaluación se basa en la alerta y en los datos de investigación disponibles.
  • Explicación resumida: describe la alerta y cómo ha llegado Gemini a su conclusión.

Cronología de la investigación

Después del resumen, la cronología de la investigación muestra tarjetas, cada una de las cuales representa un paso del análisis que lleva a cabo el agente.

Cada tarjeta incluye lo siguiente:

  • Un título que describa la actividad de análisis
  • Un cuerpo que resuma los resultados de búsqueda y el análisis de Gemini
  • Un enlace a la fuente de los datos que ha usado Gemini en el paso (por ejemplo, resultados de GTI o consultas de búsqueda)

Ver una alerta o volver a ejecutar una investigación

El panel de investigación te permite hacer lo siguiente:

  • Ver alerta: abre los detalles de la alerta en la vista del SIEM de Google SecOps.
  • Volver a ejecutar la investigación: vuelve a ejecutar el análisis de la misma alerta.

Pasos siguientes recomendados

En todas las investigaciones, Gemini proporciona pasos adicionales. En estos pasos se recomiendan acciones o fuentes de datos adicionales para que los analistas las exploren.

A medida que se actualice el agente, estas sugerencias podrán incluir orientación sobre las correcciones.

Comentarios

Cada investigación incluye los iconos thumb_up Me gusta y thumb_down No me gusta para recoger comentarios. Centra tus comentarios en la gravedad, ya que esto ayuda a mejorar la clasificación de amenazas de Gemini.

Registro de auditoría de Cloud

Para habilitar el registro de auditoría del agente de triaje, sigue estos pasos:

  1. En la consola de Google Google Cloud , ve a Gestión de identidades y accesos > Registro de auditoría.
  2. Busca API Chronicle.
  3. En la pestaña Tipos de permisos del panel API Chronicle, selecciona la casilla Lectura de administrador.

Ver registros de auditoría

Para ver los registros de auditoría, sigue estos pasos:

  1. En la consola de Google Google Cloud , ve a Monitoring > Explorador de registros.

  2. Busca los registros que quieras ver.

    • Para ver todos los registros de auditoría de Google SecOps, busca protoPayload.serviceName: "chronicle.googleapis.com".

    • Para ver solo los registros de Triage Agent, busca los métodos relacionados.

      Por ejemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" y protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.