Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare l'agente di triage per analizzare gli avvisi

Supportato in:

Google secops

L'agente di triage è un assistente di indagine basato sull'AI incorporato in Google Security Operations. Determina se gli avvisi sono veri o falsi positivi, quindi fornisce una spiegazione riassuntiva della sua valutazione.

L'agente di triage analizza gli avvisi in Google SecOps utilizzando i principi di Mandiant e le best practice del settore. Valuta gli avvisi in arrivo, esegue un piano di indagine e fornisce un'analisi strutturata che include sia i risultati che il ragionamento.

Per un elenco delle autorizzazioni IAM necessarie per utilizzare l'agente di triage, consulta Agente di triage.

Strumenti di indagine

L'agente utilizza i seguenti strumenti integrati per completare l'analisi:

Query di ricerca dinamiche: esegue e perfeziona le ricerche in SecOps per raccogliere contesto aggiuntivo per l'avviso.
Arricchimento GTI: arricchisce gli indicatori di compromissione (IoC) con i dati di Google Threat Intelligence (GTI), inclusi domini, URL e hash.
Analisi della riga di comando: analizza le righe di comando per spiegare le azioni in linguaggio naturale.
Ricostruzione dell'albero dei processi: analizza i processi nell'avviso per mostrare la sequenza completa dell'attività di sistema correlata.

Attivare l'agente di triage

Puoi attivare l'agente di triage automaticamente o manualmente. Ogni tenant può eseguire fino a 10 indagini all'ora (5 manuali e 5 automatiche). Ogni indagine viene in genere completata in 3-5 minuti e viene eseguita per un massimo di 20 minuti. Non esiste una coda di indagini. L'agente di triage non analizza automaticamente gli avvisi generati oltre il limite.

Indagini automatiche

L'agente esamina automaticamente gli avvisi che contengono eventi con i valori metadata.log_type pertinenti.

La tabella seguente elenca i valori metadata.log_type supportati e le relative origini:

Origine	`metadata.log_type` values
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`, `ELASTIC_EDR`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Altro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREwall`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Indagini manuali

Per eseguire manualmente un'indagine:

In Google SecOps, vai alla pagina Avvisi e IOC.
Seleziona un avviso e fai clic su Esegui indagine.

Puoi anche passare a un avviso in una richiesta ed eseguire un'indagine. Al termine della procedura, il banner viene aggiornato a Visualizza indagine. Puoi fare clic su questo banner per visualizzare i dettagli di un'indagine.

Vai alle indagini

Puoi accedere alle indagini passate o in corso da qualsiasi punto di Google SecOps.

Fai clic su nell'interfaccia di Google SecOps.
Fai clic su nel pannello di navigazione.
Fai clic su keyboard_arrow_down accanto all'elenco delle indagini per espandere il riquadro.
Nell'elenco, seleziona un elemento per aprire i risultati dell'indagine.

Ogni voce di indagine include il nome dell'avviso, l'ora di completamento e il riepilogo dell'indagine di Gemini. Se lo stesso avviso viene esaminato più volte, ogni indagine viene visualizzata come voce separata nell'elenco delle indagini.

Esaminare un'indagine

Ogni indagine si apre in una visualizzazione dettagliata che riassume l'analisi di Gemini, il suo ragionamento e i dati di supporto utilizzati.

Questa visualizzazione è composta dai seguenti componenti:

Riepilogo
Cronologia dell'indagine
Visualizzare un avviso o eseguire di nuovo un'indagine
Passaggi successivi consigliati
Feedback

Riepilogo

Nella parte superiore del riquadro, la sezione Riepilogo di Gemini fornisce una breve descrizione dell'avviso e dei risultati dell'indagine.

Il riepilogo fornisce le seguenti informazioni:

Disposizione: indica se Gemini ha determinato che l'avviso è un vero o falso positivo.
Livello di confidenza: descrive la confidenza di Gemini nella sua valutazione. Questa valutazione si basa sull'avviso e sui dati di indagine disponibili.
Spiegazione riepilogativa: descrive l'avviso e il modo in cui Gemini è giunto alla sua conclusione.

Cronologia dell'indagine

Dopo il riepilogo, la cronologia dell'indagine mostra le schede, ognuna delle quali rappresenta un passaggio di analisi eseguito dall'agente.

Ogni carta include:

Un titolo che descrive l'attività di analisi
Un corpo che riassume i risultati della ricerca e l'analisi di Gemini
Un link all'origine dei dati utilizzati da Gemini per il passaggio (ad esempio, risultati GTI o query di ricerca)

Visualizzare un avviso o eseguire di nuovo un'indagine

Il pannello di indagine ti consente di eseguire le seguenti azioni:

Visualizza avviso: apre i dettagli dell'avviso nella visualizzazione Google SecOps SIEM.
Esegui di nuovo l'indagine: esegue di nuovo l'analisi per lo stesso avviso.

Passi successivi consigliati

Per tutte le indagini, Gemini fornisce ulteriori passaggi. Questi passaggi consigliano agli analisti azioni o origini dati aggiuntive da esplorare.

Man mano che l'agente viene aggiornato, questi suggerimenti possono essere ampliati per includere indicazioni per la correzione.

Feedback

Ogni indagine include le icone thumb_up Mi piace e thumb_down Non mi piace per raccogliere feedback. Concentra il tuo feedback sul verdetto di gravità, perché questo aiuta a perfezionare la classificazione delle minacce di Gemini.

Audit logging di Cloud

Per attivare la registrazione degli audit log per l'agente di triage:

Nella console Google Cloud Google, vai a IAM > Logging di controllo.
Cerca API Chronicle.
Nella scheda Tipi di autorizzazione del riquadro API Chronicle, seleziona la casella di controllo Lettura amministratore.

Visualizza audit log

Per visualizzare gli audit log:

Nella console Google Cloud Google, vai a Monitoraggio > Esplora log.
Cerca i log che vuoi visualizzare.
- Per visualizzare tutti i log di controllo di Google SecOps, cerca protoPayload.serviceName: "chronicle.googleapis.com".
- Per visualizzare solo i log di Triage Agent, cerca i metodi correlati.
  
  Ad esempio, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.