Usa el agente de clasificación para investigar alertas

El agente de clasificación es un asistente de investigación potenciado por IA integrado en Google Security Operations. Determina si las alertas son verdaderos o falsos positivos y, luego, proporciona una explicación resumida de su evaluación.

El agente de clasificación analiza las alertas en Google SecOps con los principios de Mandiant y las prácticas recomendadas de la industria. Evalúa las alertas entrantes, ejecuta un plan de investigación y proporciona un análisis estructurado que incluye sus hallazgos y razonamientos.

Para obtener una lista de los permisos de IAM necesarios para usar el agente de Triage, consulta Agente de Triage.

Herramientas de investigación

El agente usa las siguientes herramientas integradas para completar su análisis:

• Búsquedas dinámicas: Ejecuta y refina búsquedas en SecOps para recopilar contexto adicional sobre la alerta.

• Enriquecimiento de GTI: Enriquecer los IoC con datos de Google Threat Intelligence (GTI), incluidos dominios, URLs y hashes

• Análisis de línea de comandos: Analiza líneas de comandos para explicar acciones en lenguaje natural.

• Reconstrucción del árbol de procesos: Analiza los procesos de la alerta para mostrar la secuencia completa de actividad del sistema relacionada.

Cómo activar el agente de clasificación

Puedes activar el agente de Triage de forma automática o manual. Cada organización puede ejecutar hasta 10 investigaciones por hora (5 manuales y 5 automáticas). Cada investigación suele completarse en un plazo de 3 a 5 minutos y se ejecuta durante un máximo de 20 minutos. No hay una cola de investigación. El agente de clasificación no analiza automáticamente las alertas que se generan más allá del límite.

Investigaciones automáticas

El agente investiga automáticamente las alertas que contienen eventos con los valores de metadata.log_type pertinentes.

En la siguiente tabla, se enumeran los valores de metadata.log_type admitidos y sus fuentes:

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Investigaciones manuales

Para ejecutar una investigación de forma manual, sigue estos pasos:

1. En Google SecOps, ve a la página Alertas y IoCs.

2. Selecciona una alerta y haz clic en Ejecutar investigación.

   También puedes navegar a una alerta en un caso y ejecutar una investigación sobre ella. Cuando se complete el proceso, el banner se actualizará a Ver investigación. Puedes hacer clic en este banner para ver los detalles de una investigación.

Navega a las investigaciones

Puedes acceder a las investigaciones pasadas o en curso desde cualquier lugar de Google SecOps.

1. Haz clic en en la interfaz de Google SecOps.

2. Haz clic en en el panel de navegación.

3. Haz clic en keyboard_arrow_down junto a la lista de investigación para expandir el panel.

4. En la lista, selecciona un elemento para abrir los resultados de la investigación.

Cada entrada de investigación incluye el nombre de la alerta, la hora de finalización y el resumen de la investigación de Gemini. Si la misma alerta se investiga varias veces, cada investigación aparecerá como una entrada independiente en la lista de investigaciones.

Revisa una investigación

Cada investigación se abre en una vista detallada que resume el análisis de Gemini, su razonamiento y los datos de respaldo que usó.

Esta vista tiene los siguientes componentes:

• Resumen
• Cronograma de investigación
• Cómo ver una alerta o volver a ejecutar una investigación
• Próximos pasos sugeridos
• Comentarios

Resumen

En la parte superior del panel, la sección Resumen de Gemini proporciona una breve descripción de la alerta y los hallazgos de la investigación.

En el resumen, se proporciona la siguiente información:

• Disposición: Indica si Gemini determinó que la alerta es un positivo verdadero o falso.
• Nivel de confianza: Describe la confianza de Gemini en su evaluación. Esta evaluación se basa en la alerta y los datos de investigación disponibles.
• Explicación resumida: Describe la alerta y cómo Gemini llegó a su conclusión.

Cronograma de investigación

Después del resumen, la línea de tiempo de la investigación muestra tarjetas, cada una de las cuales representa un paso de análisis que realiza el agente.

Cada tarjeta incluye lo siguiente:

• Título que describe la actividad de análisis
• Un cuerpo que resume los resultados de la búsqueda y el análisis de Gemini
• Un vínculo a la fuente de los datos que usó Gemini para el paso (por ejemplo, resultados de GTI o búsquedas)

Cómo ver una alerta o volver a ejecutar una investigación

El panel de investigación te permite realizar las siguientes acciones:

• Ver alerta: Abre los detalles de la alerta en la vista del SIEM de Google SecOps.
• Volver a ejecutar la investigación: Vuelve a ejecutar el análisis para la misma alerta.

Próximos pasos sugeridos

En todas las investigaciones, Gemini proporciona pasos adicionales para la investigación. Estos pasos recomiendan acciones o fuentes de datos adicionales para que los analistas exploren.

A medida que se actualice el agente, estas sugerencias se pueden expandir para incluir orientación sobre la corrección.

Comentarios

Cada investigación incluye los íconos de thumb_up Me gusta y thumb_down No me gusta para recopilar comentarios. Enfoca tus comentarios en el veredicto de gravedad, ya que esto ayuda a definir mejor la clasificación de amenazas de Gemini.

Registros de auditoría de Cloud

Para habilitar el registro de auditoría del agente de Triage, haz lo siguiente:

1. En la consola de Google Google Cloud , navega a IAM > Registro de auditoría.
2. Busca la API de Chronicle.
3. En la pestaña Tipos de permisos del panel API de Chronicle, selecciona la casilla de verificación Lectura de administración.

Ver registros de auditoría

Para ver los registros de auditoría, haz lo siguiente:

1. En la consola de Google Google Cloud Cloud, ve a Monitoring > Explorador de registros.

2. Busca los registros que quieres ver.

   • Para ver todos los registros de auditoría de Google SecOps, busca protoPayload.serviceName: "chronicle.googleapis.com".

   • Para ver solo los registros del Agente de triaje, busca los métodos relacionados.

     Por ejemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" y protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.