Usar o agente de triagem e investigação para investigar alertas

Compatível com:

O agente de triagem e investigação (TIN, na sigla em inglês) é um assistente de investigação com tecnologia de IA incorporado ao Google Security Operations. Ele determina se os alertas são verdadeiros ou falsos positivos e fornece uma explicação resumida da avaliação.

O TIN analisa alertas no Google SecOps usando os princípios da Mandiant e as práticas recomendadas do setor. Ele avalia os alertas recebidos, executa um plano de investigação e fornece uma análise estruturada que inclui as descobertas e o raciocínio.

Para uma lista das permissões do IAM necessárias para usar o agente, consulte Agente de triagem e investigação (TIN).

Ferramentas de investigação

O agente usa as seguintes ferramentas integradas para concluir a análise:

  • Consultas de pesquisa dinâmica: executa e refina pesquisas no SecOps para coletar mais contexto para o alerta.

  • Aperfeiçoamento do GTI: enriquece os IoCs com dados do Google Threat Intelligence (GTI), incluindo domínios, URLs e hashes.

  • Análise de linha de comando: analisa linhas de comando para explicar ações em linguagem natural.

  • Reconstrução da árvore de processos: analisa os processos no alerta para mostrar a sequência completa de atividades do sistema relacionadas.

Acionar o TIN

É possível acionar o TIN de forma automática ou manual. Cada investigação é concluída em média em 60 segundos e é executada por no máximo 20 minutos. Não há fila de investigação. O agente não analisa automaticamente alertas gerados além do limite.

Limites de uso do teste

Todos os clientes do Google SecOps Enterprise, Enterprise Plus e Google Unified Security têm direito a um teste sem custo financeiro do TIN de 1º de abril de 2026 a 30 de junho de 2026.

O uso da sua organização durante o período de teste está sujeito aos seguintes limites:

Nível do cliente Limite total por hora Detalhes do limite
Enterprise 10 investigações Até 5 investigações automáticas e 5 manuais por hora.

Se as investigações automáticas estiverem desativadas, até 5 investigações manuais poderão ser executadas por hora.
Enterprise Plus ou Google Unified Security 20 investigações Até 10 investigações automáticas e 10 manuais por hora.

Se as investigações automáticas estiverem desativadas, até 10 investigações manuais poderão ser executadas por hora.

A capacidade de investigação automática não utilizada não é transferida para investigações manuais. Se a organização atingir o limite por hora, será necessário aguardar até a próxima hora para que a cota seja redefinida.

A maioria das investigações é concluída em cerca de 60 segundos e pode ser executada por no máximo 20 minutos. O TIN não coloca as investigações em fila. Quando você atinge a cota por hora, o agente não inicia investigações.

Para mais detalhes sobre o teste sem custo financeiro, consulte os detalhes do teste do SOC do agente.

Se você precisar de mais capacidade do que os limites, entre em contato com o engenheiro de clientes do Google SecOps para discutir aumentos de cota.

Configurações de investigação automática

As investigações automáticas são ativadas por padrão se você tiver as permissões de administrador necessárias e tiver ativado o agente. Para verificar ou modificar essa configuração, acesse Configurações > Configurações do SIEM > Investigações do Gemini.

Quando ativado, o agente usa as configurações padrão para investigar todos os tipos de registro compatíveis. É possível personalizar o tempo de investigação e os critérios de filtro para controlar quais alertas são investigados.

Tempo de investigação

É possível configurar quando a investigação começa depois que um alerta é gerado. Por padrão, a investigação começa cinco minutos após a geração do alerta para considerar todos os eventos que ainda estão chegando e exigem correlação.

É possível mudar esse atraso para um máximo de 20 minutos na lista do painel de configurações.

Critérios de investigação

É possível definir critérios personalizados para acionar investigações automáticas apenas para alertas específicos. Se nenhum critério personalizado for definido, o agente investigará todos os alertas que corresponderem a os tipos de registro compatíveis listados em Tipos de registro compatíveis padrão.

Para criar configurações de investigação automática personalizadas:

  1. Clique em Add.
  2. Selecione um campo UDM na lista. Os campos compatíveis incluem:
    • detection.rule_id
    • detection.rule_name
    • udm.metadata.event_type
    • udm.metadata.log_type
    • udm.metadata.product_event_type
    • udm.metadata.product_name
    • udm.metadata.vendor_name
    • udm.about.entity_metadata.product_name
    • udm.principal.user.userid
  3. Selecione um operador para avaliar o campo (= ou !=).
  4. Insira ou selecione o valor do campo. Os valores na lista são baseados nos valores observados no seu ambiente.
  5. Use um operador lógico (AND ou OR) para combinar vários critérios.
  6. Clique em Salvar para aplicar as configurações.

Tipos de registro compatíveis padrão

O agente oferece suporte à investigação automática de alertas que contêm eventos com os seguintes valores metadata.log_type:

Origem Valores de metadata.log_type
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Outro 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

Investigações manuais

Para executar uma investigação manualmente:

  1. No Google SecOps, acesse a página Alertas e IOCs.

  2. Selecione um alerta e clique em Executar investigação.

    Também é possível conferir os resultados da investigação diretamente em um caso. Se o TIN estiver ativado para seu locatário, os resultados serão integrados ao conteúdo do Resumo do caso assim que uma investigação for concluída.

  3. Enquanto uma investigação está em execução, o banner indica o progresso. Quando concluído, o banner mostra um resumo do veredito. Clique em Ver investigação no banner para analisar a análise.

É possível acessar investigações anteriores ou em andamento de qualquer lugar no Google SecOps.

  1. Clique em Ícone de brilho para investigações do Gemini na interface do Google SecOps.

  2. Clique em Botão para abrir a investigação do Gemini no painel de navegação.

  3. Clique em keyboard_arrow_down ao lado da lista de investigações para expandir o painel.

  4. Na lista, selecione um item para abrir os resultados da investigação.

Cada entrada de investigação inclui o nome do alerta, o tempo de conclusão e o resumo da investigação do Gemini. Se o mesmo alerta for investigado várias vezes, cada investigação vai aparecer como uma entrada separada na lista de investigações.

Analisar uma investigação

Cada investigação é aberta em uma visualização detalhada que resume a análise do Gemini, o raciocínio e os dados de suporte usados.

Essa visualização tem os seguintes componentes:

Resumo

Na parte de cima do painel, a seção Resumo do Gemini fornece uma breve descrição do alerta e das descobertas da investigação.

O resumo fornece as seguintes informações:

  • Disposição: indica se o Gemini determinou que o alerta é um verdadeiro ou falso positivo.
  • Nível de confiança: descreve a confiança do Gemini na avaliação. Essa avaliação é baseada no alerta e nos dados de investigação disponíveis.
  • Explicação do resumo: descreve o alerta e como o Gemini chegou à conclusão.

Linha do tempo da investigação

A investigação do TIN segue uma linha do tempo estruturada de vários estágios projetada para transformar alertas brutos em inteligência acionável. Embora essas etapas intermediárias sejam usadas principalmente pelo agente para criar contexto e refinar a análise, elas também ficam visíveis na Linha do tempo da investigação na interface da Web, oferecendo aos analistas de segurança uma visibilidade clara do progresso da investigação do agente.

Avaliação inicial e priorização de riscos

A investigação começa com uma avaliação imediata do alerta para estabelecer o contexto de referência. Durante essa fase, o agente analisa automaticamente os detalhes e metadados do alerta para identificar atividades benignas de alta confiança. Se um alerta for classificado como de baixo risco, o agente concluirá a investigação.

Aperfeiçoamento contextual e coleta de evidências

O agente executa várias etapas de análise paralelas para criar uma imagem abrangente da atividade suspeita, aproveitando a inteligência interna e externa:

  • Aperfeiçoamento do Google Threat Intelligence (GTI): identifica e avalia indicadores de comprometimento (IoCs), como hashes de arquivos, endereços IP e domínios, em relação ao Google Threat Intelligence e ao VirusTotal para identificar entidades maliciosas conhecidas.

  • Análise do gráfico de contexto de entidades (ECG): recupera dados de prevalência, como quando uma entidade foi vista pela primeira ou última vez, para fornecer um contexto ambiental mais profundo e analisar as relações entre entidades.

  • Coleta de contexto de rede: extrai mais contexto relacionado ao tráfego de rede realizando pesquisas direcionadas para identificar padrões suspeitos.

  • Integração de metadados de caso: recupera um contexto mais amplo do caso a que o alerta pertence, incorporando metadados, como tags e prioridade, à investigação.

  • Construção da árvore de processos: constrói a hierarquia de execução dos processos do sistema para ajudar os analistas a entender exatamente como uma ação suspeita foi iniciada e quais ações subsequentes ela realizou.

Investigação adaptável

Com base nas descobertas das etapas anteriores da investigação, o agente determina dinamicamente o próximo curso de ação:

  • Avalia as descobertas: avalia as informações coletadas nas etapas anteriores para identificar possíveis lacunas ou novas vias de investigação.

  • Realiza pesquisas detalhadas: gera planos iterativamente e executa ferramentas especializadas, como aperfeiçoamento do GTI, análise de ECG, análise avançada de linha de comando ou pesquisas direcionadas para descobrir ameaças ocultas.

Ver um alerta ou executar uma investigação novamente

O painel de investigação permite realizar as seguintes ações:

  • Ver alerta: abre os detalhes do alerta na visualização do Google SecOps SIEM.
  • Executar investigação novamente: executa a análise novamente para o mesmo alerta.

Próximas etapas sugeridas

Para todas as investigações, o Gemini fornece mais etapas de investigação. Essas etapas recomendam ações ou fontes de dados adicionais para os analistas explorarem.

À medida que o agente é atualizado, essas sugestões podem ser expandidas para incluir orientações de correção.

Feedback

Cada investigação inclui thumb_up Gostei e thumb_down Não gostei ícones para coletar feedback. Concentre seu feedback no veredito de gravidade, porque isso ajuda a refinar a classificação de ameaças do Gemini.

Métricas do TIN em painéis

O Google SecOps integra os dados operacionais do TIN aos painéis. Isso permite monitorar o volume de investigações, o desempenho do agente e o feedback do usuário. É possível usar essas métricas como uma maneira clara de monitorar o consumo de tokens de segurança para fins de faturamento e avaliar o valor fornecido pelo agente.

Para mais informações, consulte Monitorar o desempenho do agente de triagem e investigação (TIN) com painéis.

Cloud Audit Logging

Para ativar o Cloud Audit Logging para o TIN:

  1. No Google Google Cloud console, acesse IAM > Cloud Audit Logging.
  2. Pesquise por API Chronicle.
  3. Na guia Tipos de permissão do painel API Chronicle, marque a caixa de seleção Leitura do administrador.

Acessar registros de auditoria

Para ver registros de auditoria:

  1. No Google Google Cloud console, acesse Monitoramento > Análise de registros.

  2. Pesquise os registros que você quer ver.

    • Para ver todos os registros de auditoria do Google SecOps, pesquise por protoPayload.serviceName: "chronicle.googleapis.com".

    • Para ver apenas os registros do TIN, pesquise os métodos relacionados.

      Por exemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.