Esta página foi traduzida pela API Cloud Translation.

Usar o agente de triagem para investigar alertas

Compatível com:

Secops do Google

O agente de triagem é um assistente de investigação com tecnologia de IA integrado ao Google Security Operations. Ele determina se os alertas são verdadeiros ou falsos positivos e fornece uma explicação resumida da avaliação.

O agente de triagem analisa alertas no Google SecOps usando princípios da Mandiant e práticas recomendadas do setor. Ele avalia os alertas recebidos, executa um plano de investigação e fornece uma análise estruturada que inclui descobertas e raciocínio.

Para uma lista das permissões do IAM necessárias para usar o Triage Agent, consulte Triage Agent.

Ferramentas de investigação

O agente usa as seguintes ferramentas integradas para concluir a análise:

Consultas dinâmicas de pesquisa: executam e refinam pesquisas no SecOps para coletar mais contexto para o alerta.
Aperfeiçoamento do GTI: aperfeiçoa IoCs com dados do Google Threat Intelligence (GTI), incluindo domínios, URLs e hashes.
Análise de linha de comando: analisa linhas de comando para explicar ações em linguagem natural.
Reconstrução da árvore de processos: analisa os processos no alerta para mostrar a sequência completa de atividades relacionadas do sistema.

Acionar o agente de triagem

É possível acionar o agente de triagem de forma automática ou manual. Cada locatário pode executar até 10 investigações por hora (5 manuais e 5 automáticas). Cada investigação geralmente leva de 3 a 5 minutos e é executada por no máximo 20 minutos. Não há uma fila de investigações. O agente de triagem não analisa automaticamente os alertas gerados além do limite.

Investigações automáticas

O agente investiga automaticamente alertas que contêm eventos com os valores relevantes de metadata.log_type.

A tabela a seguir lista os valores de metadata.log_type compatíveis e as fontes deles:

Origem	`metadata.log_type` valores
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`, `ELASTIC_EDR`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Outro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREwall`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigações manuais

Para executar uma investigação manual:

No Google SecOps, acesse a página Alertas e IoCs.
Selecione um alerta e clique em Executar investigação.

Você também pode navegar até um alerta em um caso e executar uma investigação para ele. O banner é atualizado para Ver investigação quando o processo é concluído. Clique nele para ver os detalhes de uma investigação.

Navegue até "Investigações"

É possível acessar investigações concluídas ou em andamento de qualquer lugar no Google SecOps.

Clique em na interface do Google SecOps.
Clique em no painel de navegação.
Clique em keyboard_arrow_down ao lado da lista de investigações para expandir o painel.
Na lista, selecione um item para abrir os resultados da investigação.

Cada entrada de investigação inclui o nome do alerta, o tempo de conclusão e o resumo da investigação do Gemini. Se o mesmo alerta for investigado várias vezes, cada investigação vai aparecer como uma entrada separada na lista.

Analisar uma investigação

Cada investigação é aberta em uma visualização detalhada que resume a análise, o raciocínio e os dados de apoio usados pelo Gemini.

Essa visualização tem os seguintes componentes:

Resumo
Linha do tempo da investigação
Ver um alerta ou executar uma investigação novamente
Próximas etapas sugeridas
Feedback

Resumo

Na parte de cima do painel, a seção Resumo do Gemini oferece uma breve descrição do alerta e das descobertas da investigação.

O resumo fornece as seguintes informações:

Disposição: indica se o Gemini determinou que o alerta é um positivo verdadeiro ou falso.
Nível de confiança: descreve a confiança do Gemini na avaliação. Essa avaliação é baseada no alerta e nos dados de investigação disponíveis.
Explicação resumida: descreve o alerta e como o Gemini chegou à conclusão.

Cronograma da investigação

Depois do resumo, a Linha do tempo da investigação mostra cards, cada um representando uma etapa de análise realizada pelo agente.

Cada card inclui:

Um título que descreve a atividade de análise
Um corpo que resume os resultados da pesquisa e a análise do Gemini
Um link para a fonte dos dados que o Gemini usou na etapa (por exemplo, resultados do GTI ou consultas de pesquisa)

Ver um alerta ou executar uma investigação novamente

Com o painel de investigação, você pode fazer o seguinte:

Ver alerta: abre os detalhes do alerta na visualização do SIEM do Google SecOps.
Executar a investigação novamente: executa a análise do mesmo alerta de novo.

Próximas etapas sugeridas

Em todas as investigações, o Gemini oferece mais etapas de investigação. Essas etapas recomendam outras ações ou fontes de dados para os analistas explorarem.

À medida que o agente é atualizado, essas sugestões podem ser ampliadas para incluir orientações de correção.

Feedback

Cada investigação inclui os ícones thumb_up Gostei e thumb_down Não gostei para coletar feedback. Concentre seu feedback no veredicto de gravidade, porque isso ajuda a refinar a classificação de ameaças do Gemini.

Cloud Audit Logging

Para ativar a geração de registros de auditoria do agente de triagem:

No console do Google Google Cloud , acesse IAM > Registro de auditoria.
Pesquise API Chronicle.
Na guia Tipos de permissão do painel API Chronicle, marque a caixa de seleção Leitura de administrador.

Acessar registros de auditoria

Para acessar os registros de auditoria:

No console do Google Google Cloud , acesse Monitoring > Explorador de registros.
Pesquise os registros que você quer acessar.
- Para ver todos os registros de auditoria do Google SecOps, pesquise protoPayload.serviceName: "chronicle.googleapis.com".
- Para ver apenas os registros do Agente de triagem, pesquise os métodos relacionados.
  
  Por exemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.