Usar o agente de triagem e investigação (TIN) para investigar alertas

Compatível com:

O agente de triagem e investigação (TIN, na sigla em inglês) é um assistente de investigação com tecnologia de IA integrado ao Google Security Operations. Ele determina se os alertas são verdadeiros ou falsos positivos e fornece uma explicação resumida da avaliação.

O TIN analisa alertas no Google SecOps usando princípios da Mandiant e práticas recomendadas do setor. Ele avalia os alertas recebidos, executa um plano de investigação e fornece uma análise estruturada que inclui descobertas e raciocínio.

Para conferir uma lista das permissões do IAM necessárias para usar o agente, consulte Agente de triagem e investigação (TIN).

Ferramentas de investigação

O agente usa as seguintes ferramentas integradas para concluir a análise:

  • Consultas dinâmicas de pesquisa: executa e refina pesquisas no SecOps para coletar mais contexto para o alerta.

  • Aperfeiçoamento da GTI: aperfeiçoa os IoCs com dados do Google Threat Intelligence (GTI), incluindo domínios, URLs e hashes.

  • Análise de linha de comando: analisa linhas de comando para explicar ações em linguagem natural.

  • Reconstrução da árvore de processos: analisa os processos no alerta para mostrar a sequência completa de atividades relacionadas do sistema.

TIN de acionamento

É possível acionar o TIN de forma automática ou manual. Cada investigação geralmente é concluída em uma média de 60 segundos e dura no máximo 20 minutos. Não há uma fila de investigações. O agente não analisa automaticamente os alertas gerados além do limite.

Limites de uso do teste

Todos os clientes do Google SecOps Enterprise, Enterprise Plus e Google Unified Security têm direito a um teste sem custo financeiro do TIN de 1º de abril de 2026 a 30 de junho de 2026.

O uso da sua organização durante o período de teste está sujeito aos seguintes limites:

Nível do cliente Limite total por hora Detalhamento do limite
Enterprise 10 investigações Até 5 investigações automáticas e 5 manuais por hora.

Se as investigações automáticas estiverem desativadas, até cinco investigações manuais poderão ser executadas por hora.
Enterprise Plus ou Google Unified Security 20 investigações Até 10 investigações automáticas e 10 manuais por hora.

Se as investigações automáticas estiverem desativadas, até 10 investigações manuais poderão ser executadas por hora.

A capacidade de investigação automática não utilizada não é transferida para investigações manuais. Se a organização atingir o limite por hora, aguarde até a próxima hora para que a cota seja redefinida.

A maioria das investigações é concluída em cerca de 60 segundos e pode ser executada por um máximo de 20 minutos. O TIN não coloca investigações em fila. Quando você atinge sua cota por hora, o agente não inicia investigações.

Para mais detalhes sobre o teste sem custo financeiro, consulte os detalhes do teste do SOC autônomo.

Se você precisar de mais capacidade do que os limites, entre em contato com seu engenheiro de clientes do Google SecOps para discutir aumentos de cota.

Configurações de investigação automática

As investigações automáticas são ativadas por padrão se você tiver as permissões de administrador necessárias e tiver ativado o agente. Para verificar ou modificar essa configuração, acesse Configurações > Configurações do SIEM > Investigações do Gemini.

Quando ativado, o agente usa as configurações padrão para investigar todos os tipos de registros compatíveis. É possível personalizar o tempo de investigação e os critérios de filtro para controlar quais alertas são investigados.

Tempo de investigação

É possível configurar quando a investigação começa depois que um alerta é gerado. Por padrão, a investigação começa cinco minutos depois que o alerta é gerado para considerar eventos que ainda estão chegando e precisam de correlação.

É possível mudar esse atraso para um máximo de 20 minutos na lista do painel de configurações.

Critérios de investigação

É possível definir critérios personalizados para acionar investigações automáticas apenas para alertas específicos. Se nenhum critério personalizado for definido, o agente vai investigar todos os alertas que corresponderem aos tipos de registros compatíveis listados em Tipos de registros padrão compatíveis.

Para criar configurações personalizadas de investigação automática:

  1. Clique em Add.
  2. Selecione um campo da UDM na lista. Os campos aceitos incluem:
    • detection.rule_id
    • detection.rule_name
    • udm.metadata.event_type
    • udm.metadata.log_type
    • udm.metadata.product_event_type
    • udm.metadata.product_name
    • udm.metadata.vendor_name
    • udm.about.entity_metadata.product_name
    • udm.principal.user.userid
  3. Selecione um operador para avaliar o campo (= ou !=).
  4. Insira ou selecione o valor do campo. Os valores na lista são baseados em valores observados no seu ambiente.
  5. Use um operador lógico (AND ou OR) para combinar vários critérios.
  6. Clique em Salvar para aplicar as configurações.

Tipos de registros padrão compatíveis

O agente oferece suporte à investigação automática de alertas que contêm eventos com os seguintes valores de metadata.log_type:

Origem metadata.log_type valores
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Outro 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Investigações manuais

Para executar uma investigação manualmente:

  1. No Google SecOps, acesse a página Alertas e IoCs.

  2. Selecione um alerta e clique em Executar investigação.

    Você também pode navegar até um alerta em um caso e executar uma investigação para ele. O banner é atualizado para Ver investigação quando o processo é concluído. Clique nele para ver os detalhes de uma investigação.

É possível acessar investigações concluídas ou em andamento de qualquer lugar no Google SecOps.

  1. Clique em Ícone de brilho para as investigações do Gemini na interface do Google SecOps.

  2. Clique em Botão para abrir a investigação do Gemini no painel de navegação.

  3. Clique em keyboard_arrow_down ao lado da lista de investigações para abrir o painel.

  4. Na lista, selecione um item para abrir os resultados da investigação.

Cada entrada de investigação inclui o nome do alerta, o tempo de conclusão e o resumo da investigação do Gemini. Se o mesmo alerta for investigado várias vezes, cada investigação vai aparecer como uma entrada separada na lista.

Analisar uma investigação

Cada investigação é aberta em uma visualização detalhada que resume a análise, o raciocínio e os dados de apoio usados pelo Gemini.

Essa visualização tem os seguintes componentes:

Resumo

Na parte de cima do painel, a seção Resumo do Gemini oferece uma breve descrição do alerta e das descobertas da investigação.

O resumo fornece as seguintes informações:

  • Disposição: indica se o Gemini determinou que o alerta é um verdadeiro ou falso positivo.
  • Nível de confiança: descreve a confiança do Gemini na avaliação. Essa avaliação é baseada no alerta e nos dados de investigação disponíveis.
  • Explicação resumida: descreve o alerta e como o Gemini chegou à conclusão.

Cronograma da investigação

A investigação de TIN segue um cronograma estruturado de várias etapas projetado para transformar alertas brutos em inteligência útil. Embora essas etapas intermediárias sejam usadas principalmente pelo agente para criar contexto e refinar a análise, elas também ficam visíveis na Linha do tempo da investigação na interface da Web, oferecendo aos analistas de segurança uma visibilidade clara do progresso da investigação do agente.

Avaliação inicial e priorização de riscos

A investigação começa com uma avaliação imediata do alerta para estabelecer um contexto de linha de base. Nessa etapa, o agente analisa automaticamente os detalhes e os metadados do alerta para identificar atividades benignas de alta confiança. Se um alerta for classificado como de baixo risco, o agente vai concluir a investigação.

Aprimoramento contextual e coleta de evidências

O agente executa várias etapas de análise paralela para criar uma imagem abrangente da atividade suspeita usando inteligência interna e externa:

  • Enriquecimento do Google Threat Intelligence (GTI): identifica e avalia indicadores de comprometimento (IoCs), como hashes de arquivos, endereços IP e domínios, com base no Google Threat Intelligence e no VirusTotal para identificar entidades maliciosas conhecidas.

  • Análise do gráfico de contexto de entidade (ECG): recupera dados de prevalência, como quando uma entidade foi vista pela primeira ou última vez, para fornecer um contexto ambiental mais profundo e analisar as relações entre entidades.

  • Coleta de contexto de rede: extrai mais contexto relacionado ao tráfego de rede realizando pesquisas direcionadas para identificar padrões suspeitos.

  • Integração de metadados do caso: recupera um contexto mais amplo do caso a que o alerta pertence, incorporando metadados como tags e prioridade à investigação.

  • Construção de árvore de processos: cria a hierarquia de execução dos processos do sistema para ajudar os analistas a entender exatamente como uma ação suspeita foi iniciada e quais ações subsequentes ela realizou.

Investigação adaptativa

Com base nas descobertas das etapas anteriores da investigação, o agente determina dinamicamente a próxima ação:

  • Avalia descobertas: analisa as informações coletadas nas etapas anteriores para identificar possíveis lacunas ou novas linhas de investigação.

  • Realiza pesquisas detalhadas: gera novos planos de forma iterativa e executa ferramentas especializadas, como enriquecimento de GTI, análise de ECG, análise avançada de linha de comando ou pesquisas direcionadas para descobrir ameaças ocultas.

Ver um alerta ou executar uma investigação novamente

Com o painel de investigação, você pode fazer o seguinte:

  • Ver alerta: abre os detalhes do alerta na visualização do Google SecOps SIEM.
  • Executar a investigação novamente: executa a análise do mesmo alerta outra vez.

Próximas etapas sugeridas

Em todas as investigações, o Gemini oferece mais etapas de investigação. Essas etapas recomendam outras ações ou fontes de dados para os analistas explorarem.

À medida que o agente é atualizado, essas sugestões podem ser ampliadas para incluir orientações de correção.

Feedback

Cada investigação inclui os ícones thumb_up Gostei e thumb_down Não gostei para coletar feedback. Concentre seu feedback no veredito de gravidade, porque isso ajuda a refinar a classificação de ameaças do Gemini.

Métricas de TIN em painéis

O Google SecOps integra os dados operacionais do TIN aos painéis. Assim, é possível monitorar o volume de investigações, o desempenho dos agentes e o feedback dos usuários. Você pode usar essas métricas como uma maneira clara de monitorar o consumo de tokens de segurança para fins de faturamento e avaliar o valor fornecido pelo agente.

Para mais informações, consulte Monitorar a performance do agente de triagem e investigação (TIN) com painéis.

Cloud Audit Logging

Para ativar o registro de auditoria do TIN:

  1. No console do Google Google Cloud , acesse IAM > Registro de auditoria.
  2. Pesquise API Chronicle.
  3. Na guia Tipos de permissão do painel API Chronicle, marque a caixa de seleção Leitura de administrador.

Acessar registros de auditoria

Para acessar os registros de auditoria:

  1. No console do Google Google Cloud , acesse Monitoring > Análise de registros.

  2. Pesquise os registros que você quer acessar.

    • Para ver todos os registros de auditoria do Google SecOps, pesquise protoPayload.serviceName: "chronicle.googleapis.com".

    • Para ver apenas os registros de TIN, pesquise os métodos relacionados.

      Por exemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.