Utilizzare l'agente di triage e indagine per esaminare gli avvisi

Supportato in:

L'agente di triage e indagine (TIN) è un assistente di indagine basato sull'AI incorporato in Google Security Operations. Determina se gli avvisi sono veri o falsi positivi, quindi fornisce una spiegazione riassuntiva della sua valutazione.

TIN analizza gli avvisi in Google SecOps utilizzando i principi di Mandiant e le best practice del settore. Valuta gli avvisi in arrivo, esegue un piano di indagine e fornisce un'analisi strutturata che include sia i risultati che il ragionamento.

Per un elenco delle autorizzazioni IAM richieste per l'utilizzo dell'agente, consulta Agente di triage e indagine (TIN).

Strumenti di indagine

L'agente utilizza i seguenti strumenti integrati per completare l'analisi:

  • Query di ricerca dinamiche: esegue e perfeziona le ricerche in SecOps per raccogliere contesto aggiuntivo per l'avviso.

  • Arricchimento GTI: arricchisce gli indicatori di compromissione con i dati di Google Threat Intelligence (GTI), inclusi domini, URL e hash.

  • Analisi della riga di comando: analizza le righe di comando per spiegare le azioni in linguaggio naturale.

  • Ricostruzione dell'albero dei processi: analizza i processi nell'avviso per mostrare la sequenza completa dell'attività di sistema correlata.

Trigger TIN

Puoi attivare TIN automaticamente o manualmente. Ogni indagine in genere viene completata in media in 60 secondi e dura al massimo 20 minuti. Non esiste una coda di indagini. L'agente non analizza automaticamente gli avvisi generati oltre il limite.

Limiti di utilizzo della prova

Tutti i clienti di Google SecOps Enterprise, Enterprise Plus e Google Unified Security hanno diritto a una prova senza costi di TIN dal 1° aprile 2026 al 30 giugno 2026.

L'utilizzo della tua organizzazione durante il periodo di prova è soggetto ai seguenti limiti:

Livello cliente Limite orario totale Suddivisione dei limiti
Aziende 10 indagini Fino a 5 indagini automatiche e 5 manuali all'ora.

Se le indagini automatiche sono disattivate, possono essere eseguite fino a 5 indagini manuali all'ora.
Enterprise Plus o Google Unified Security 20 indagini Fino a 10 indagini automatiche e 10 manuali all'ora.

Se le indagini automatiche sono disattivate, possono essere eseguite fino a 10 indagini manuali all'ora.

La capacità di indagine automatica inutilizzata non viene trasferita alle indagini manuali. Se la tua organizzazione raggiunge il limite orario, devi attendere l'ora successiva per il ripristino della quota.

La maggior parte delle indagini viene completata in circa 60 secondi e può essere eseguita per un massimo di 20 minuti. Il TIN non mette in coda le indagini. Una volta raggiunta la quota oraria, l'agente non avvia le indagini.

Per maggiori dettagli sulla prova senza costi, consulta i dettagli della prova di Agentic SOC.

Se hai bisogno di una capacità superiore ai limiti, contatta il tuo customer engineer di Google SecOps per discutere degli aumenti della quota.

Impostazioni di indagine automatica

Le indagini automatiche sono attivate per impostazione predefinita se disponi delle autorizzazioni amministrative necessarie e hai attivato l'agente. Per verificare o modificare questa impostazione, vai a Impostazioni > Impostazioni SIEM > Indagini Gemini.

Se abilitato, l'agente utilizza le impostazioni predefinite per analizzare tutti i tipi di log supportati predefiniti. Puoi personalizzare la tempistica dell'indagine e filtrare i criteri per controllare quali avvisi vengono esaminati.

Tempistiche dell'indagine

Puoi configurare l'inizio dell'indagine dopo la generazione di un avviso. Per impostazione predefinita, l'indagine inizia cinque minuti dopo la generazione dell'avviso per tenere conto di eventuali eventi ancora in arrivo e che richiedono la correlazione.

Puoi modificare questo ritardo fino a un massimo di 20 minuti dall'elenco nel pannello delle impostazioni.

Criteri di indagine

Puoi definire criteri personalizzati per attivare le indagini automatiche solo per avvisi specifici. Se non vengono definiti criteri personalizzati, l'agente esamina tutti gli avvisi che corrispondono ai tipi di log supportati elencati in Tipi di log supportati predefiniti.

Per creare impostazioni di indagine automatica personalizzate:

  1. Fai clic su add (aggiungi).
  2. Seleziona un campo UDM dall'elenco. I campi supportati includono:
    • detection.rule_id
    • detection.rule_name
    • udm.metadata.event_type
    • udm.metadata.log_type
    • udm.metadata.product_event_type
    • udm.metadata.product_name
    • udm.metadata.vendor_name
    • udm.about.entity_metadata.product_name
    • udm.principal.user.userid
  3. Seleziona un operatore per valutare il campo (= o !=).
  4. Inserisci o seleziona il valore per il campo. I valori nell'elenco si basano sui valori osservati nel tuo ambiente.
  5. Utilizza un operatore logico (AND o OR) per combinare più criteri.
  6. Fai clic su Salva per applicare le impostazioni.

Tipi di log supportati predefiniti

L'agente supporta l'indagine automatica per gli avvisi che contengono eventi con i seguenti valori metadata.log_type:

Origine metadata.log_type values
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Altro 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Indagini manuali

Per eseguire manualmente un'indagine:

  1. In Google SecOps, vai alla pagina Avvisi e IOC.

  2. Seleziona un avviso e fai clic su Esegui indagine.

    Puoi anche visualizzare i risultati dell'indagine direttamente all'interno di un caso. Se il TIN è attivato per il tuo tenant, i risultati vengono integrati nei contenuti del Riepilogo della richiesta una volta completata l'indagine.

  3. Mentre è in corso un'indagine, il banner indica l'avanzamento. Al termine, il banner mostra un riepilogo del verdetto. Fai clic su Visualizza indagine nel banner per esaminare l'analisi.

Puoi accedere alle indagini passate o in corso da qualsiasi punto di Google SecOps.

  1. Fai clic su Icona a forma di stella per le indagini di Gemini nell'interfaccia di Google SecOps.

  2. Fai clic su Pulsante per aprire Gemini Investigation nel pannello di navigazione.

  3. Fai clic su keyboard_arrow_down accanto all'elenco delle indagini per espandere il riquadro.

  4. Nell'elenco, seleziona un elemento per aprire i risultati dell'indagine.

Ogni voce di indagine include il nome dell'avviso, l'ora di completamento e il riepilogo dell'indagine Gemini. Se lo stesso avviso viene esaminato più volte, ogni indagine viene visualizzata come voce separata nell'elenco delle indagini.

Esaminare un'indagine

Ogni indagine si apre in una visualizzazione dettagliata che riassume l'analisi di Gemini, il suo ragionamento e i dati di supporto utilizzati.

Questa visualizzazione è composta dai seguenti componenti:

Riepilogo

Nella parte superiore del riquadro, la sezione Riepilogo di Gemini fornisce una breve descrizione dell'avviso e dei risultati dell'indagine.

Il riepilogo fornisce le seguenti informazioni:

  • Disposizione: indica se Gemini ha determinato che l'avviso è un vero o falso positivo.
  • Livello di confidenza: descrive la confidenza di Gemini nella sua valutazione. Questa valutazione si basa sull'avviso e sui dati di indagine disponibili.
  • Spiegazione del riepilogo: descrive l'avviso e come Gemini è giunto alla sua conclusione.

Cronologia dell'indagine

L'indagine TIN segue una sequenza temporale strutturata in più fasi progettata per trasformare gli avvisi non elaborati in informazioni strategiche fruibili. Sebbene questi passaggi intermedi vengano utilizzati principalmente dall'agente per creare il contesto e perfezionare l'analisi, sono visibili anche nella cronologia delle indagini nell' interfaccia web, fornendo agli analisti della sicurezza una visibilità chiara dello stato di avanzamento dell'indagine dell'agente.

Valutazione iniziale e assegnazione della priorità di rischio

L'indagine inizia con una valutazione immediata dell'avviso per stabilire il contesto di base. Durante questa fase, l'agente analizza automaticamente i dettagli e i metadati degli avvisi per identificare attività benigne con un'alta affidabilità. Se un avviso viene classificato come a basso rischio, l'agente conclude l'indagine.

Arricchimento contestuale e raccolta di prove

L'agente esegue diversi passaggi di analisi parallela per creare un quadro completo dell'attività sospetta sfruttando l'intelligence interna ed esterna:

  • Arricchimento di Google Threat Intelligence (GTI): identifica e valuta indicatori di compromissione (IoC), come hash di file, indirizzi IP e domini rispetto a Google Threat Intelligence e VirusTotal per identificare entità dannose note.

  • Analisi del grafico del contesto delle entità (ECG): recupera i dati di prevalenza, ad esempio quando un'entità è stata vista per la prima o l'ultima volta, per fornire un contesto ambientale più approfondito e analizzare le relazioni tra le entità.

  • Raccolta del contesto di rete: estrae il contesto aggiuntivo relativo al traffico di rete eseguendo ricerche mirate per identificare pattern sospetti.

  • Integrazione dei metadati del caso: recupera un contesto più ampio dal caso a cui appartiene l'avviso, incorporando metadati come tag e priorità nell'indagine.

  • Costruzione dell'albero dei processi: crea la gerarchia di esecuzione dei processi di sistema per aiutare gli analisti a capire esattamente come è stata avviata un'azione sospetta e quali azioni successive ha intrapreso.

Indagine adattiva

In base ai risultati dei passaggi di indagine precedenti, l'agente determina dinamicamente il corso d'azione successivo:

  • Valuta i risultati: valuta le informazioni raccolte nei passaggi precedenti per identificare potenziali lacune o nuovi modi di indagare.

  • Esegue ricerche approfondite: genera in modo iterativo nuovi piani ed esegue strumenti specializzati, come l'arricchimento GTI, l'analisi ECG, l'analisi avanzata della riga di comando o ricerche mirate per scoprire minacce nascoste.

Visualizzare un avviso o eseguire di nuovo un'indagine

Il pannello di indagine ti consente di eseguire le seguenti azioni:

  • Visualizza avviso: apre i dettagli dell'avviso nella visualizzazione Google SecOps SIEM.
  • Esegui di nuovo l'indagine: esegue di nuovo l'analisi per lo stesso avviso.

Passi successivi consigliati

Per tutte le indagini, Gemini fornisce ulteriori passaggi. Questi passaggi consigliano agli analisti azioni o origini dati aggiuntive da esplorare.

Man mano che l'agente viene aggiornato, questi suggerimenti possono essere ampliati per includere indicazioni per la correzione.

Feedback

Ogni indagine include le icone thumb_up Mi piace e thumb_down Non mi piace per raccogliere feedback. Concentra il tuo feedback sul verdetto di gravità, perché questo aiuta a perfezionare la classificazione delle minacce di Gemini.

Metriche TIN nelle dashboard

Google SecOps integra i dati operativi TIN nelle dashboard. In questo modo puoi monitorare il volume delle indagini, il rendimento degli agenti e il feedback degli utenti. Puoi utilizzare queste metriche come un modo chiaro per monitorare il consumo di token di sicurezza a fini di fatturazione e valutare il valore fornito dall'agente.

Per ulteriori informazioni, vedi Monitorare le prestazioni dell'agente di valutazione e indagine (TIN) con le dashboard.

Audit logging di Cloud

Per attivare l'audit logging per il TIN:

  1. Nella console Google Cloud Google, vai a IAM > Logging di controllo.
  2. Cerca API Chronicle.
  3. Nella scheda Tipi di autorizzazione del riquadro API Chronicle, seleziona la casella di controllo Lettura amministratore.

Visualizza audit log

Per visualizzare gli audit log:

  1. Nella console Google Google Cloud , vai a Monitoraggio > Esplora log.

  2. Cerca i log che vuoi visualizzare.

    • Per visualizzare tutti gli audit log di Google SecOps, cerca protoPayload.serviceName: "chronicle.googleapis.com".

    • Per visualizzare solo i log TIN, cerca i metodi correlati.

      Ad esempio, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.