Esta página foi traduzida pela API Cloud Translation.

Use o agente de triagem para investigar alertas

Suportado em:

Google secops

O agente de triagem é um assistente de investigação com tecnologia de IA incorporado no Google Security Operations. Determina se os alertas são verdadeiros ou falsos positivos e, em seguida, fornece uma explicação resumida da respetiva avaliação.

O agente de triagem analisa os alertas no Google SecOps através dos princípios da Mandiant e das práticas recomendadas da indústria. Avalia os alertas recebidos, executa um plano de investigação e fornece uma análise estruturada que inclui as respetivas conclusões e raciocínio.

Para ver uma lista das autorizações de IAM necessárias para usar o agente de triagem, consulte o artigo Agente de triagem.

Ferramentas de investigação

O agente usa as seguintes ferramentas incorporadas para concluir a sua análise:

Consultas de pesquisa dinâmicas: executa e refina pesquisas no SecOps para recolher contexto adicional para o alerta.
Enriquecimento de GTI: enriquece os IoCs com dados da Google Threat Intelligence (GTI), incluindo domínios, URLs e hashes.
Análise de linhas de comando: analisa linhas de comando para explicar ações em linguagem natural.
Reconstrução da árvore de processos: analisa os processos no alerta para mostrar a sequência completa da atividade do sistema relacionada.

Acione o agente de triagem

Pode acionar o agente de triagem de forma automática ou manual. Cada inquilino pode executar até 10 investigações por hora (5 manuais e 5 automáticas). Normalmente, cada investigação é concluída em 3 a 5 minutos e é executada durante um máximo de 20 minutos. Não existe uma fila de investigação. O agente de triagem não analisa automaticamente os alertas gerados além do limite.

Investigações automáticas

O agente investiga automaticamente os alertas que contêm eventos com os valores metadata.log_typerelevantes.

A tabela seguinte apresenta os valores metadata.log_type suportados e as respetivas origens:

Origem	`metadata.log_type` valores
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`, `ELASTIC_EDR`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Outro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREwall`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigações manuais

Para executar manualmente uma investigação:

No Google SecOps, aceda à página Alertas e IoCs.
Selecione um alerta e clique em Executar investigação.

Também pode navegar para um alerta num registo e executar uma investigação para o mesmo. A faixa é atualizada para Ver investigação assim que o processo estiver concluído. Pode clicar nesta faixa para ver os detalhes de uma investigação.

Navegue para as investigações

Pode aceder a investigações anteriores ou em curso a partir de qualquer lugar no Google SecOps.

Clique em na interface do Google SecOps.
Clique em no painel de navegação.
Clique em keyboard_arrow_down junto à lista de investigações para expandir o painel.
Na lista, selecione um item para abrir os resultados da investigação.

Cada entrada de investigação inclui o nome do alerta, a hora de conclusão e o resumo da investigação do Gemini. Se o mesmo alerta for investigado várias vezes, cada investigação aparece como uma entrada separada na lista de investigações.

Reveja uma investigação

Cada investigação é aberta numa vista detalhada que resume a análise do Gemini, o respetivo raciocínio e os dados de apoio que usou.

Esta vista tem os seguintes componentes:

Resumo
Linha cronológica da investigação
Veja um alerta ou volte a executar uma investigação
Passos seguintes sugeridos
Feedback

Resumo

Na parte superior do painel, a secção Resumo do Gemini apresenta uma breve descrição do alerta e das conclusões da investigação.

O resumo fornece as seguintes informações:

Disposição: indica se o Gemini determinou que o alerta é um verdadeiro ou um falso positivo.
Nível de confiança: descreve a confiança do Gemini na sua avaliação. Esta avaliação baseia-se no alerta e nos dados de investigação disponíveis.
Explicação do resumo: descreve o alerta e como o Gemini chegou à sua conclusão.

Linha cronológica da investigação

Após o resumo, a Linha cronológica da investigação apresenta cartões, cada um a representar um passo de análise realizado pelo agente.

Cada cartão inclui:

Um título que descreve a atividade de análise
Um corpo que resume os resultados da pesquisa e a análise do Gemini
Um link de origem para os dados que o Gemini usou para o passo (por exemplo, resultados do GTI ou consultas de pesquisa)

Veja um alerta ou volte a executar uma investigação

O painel de investigação permite-lhe realizar as seguintes ações:

Ver alerta: abre os detalhes do alerta na vista do SIEM do Google SecOps.
Executar novamente a investigação: executa novamente a análise para o mesmo alerta.

Passos seguintes sugeridos

Para todas as investigações, o Gemini fornece passos de investigação adicionais. Estes passos recomendam ações ou origens de dados adicionais para os analistas explorarem.

À medida que o agente é atualizado, estas sugestões podem expandir-se para incluir orientações de correção.

Feedback

Cada investigação inclui os ícones thumb_up Gosto e thumb_down Não gosto para recolher feedback. Concentre o seu feedback no veredicto de gravidade, uma vez que isto ajuda a refinar a classificação de ameaças do Gemini.

Registo de auditoria na nuvem

Para ativar o registo de auditoria do agente de triagem:

Na consola Google Cloud Google, navegue para IAM > Registo de auditoria.
Pesquise API Chronicle.
No separador Tipos de autorizações do painel da API Chronicle, selecione a caixa de verificação Admin Read.

Ver registos de auditoria

Para ver registos de auditoria:

Na consola Google Cloud Google, aceda a Monitorização > Explorador de registos.
Pesquise os registos que quer ver.
- Para ver todos os registos de auditoria do Google SecOps, pesquise protoPayload.serviceName: "chronicle.googleapis.com".
- Para ver apenas os registos do Agente de triagem, pesquise os métodos relacionados.
  
  Por exemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.