使用 Triage Agent 调查提醒

Triage Agent 是 Google Security Operations 中嵌入的 AI 赋能调查助理。它会确定提醒是真阳性还是假阳性，然后提供评估的简要说明。

Triage Agent 会使用 Mandiant 原则和行业最佳实践来分析 Google SecOps 中的提醒。它会评估传入的提醒，执行调查计划，并提供结构化分析，其中包含其发现和推理。

如需查看使用 Triage Agent 所需的 IAM 权限列表，请参阅 Triage Agent。

调查工具

智能体使用以下内置工具来完成分析：

• 动态搜索查询：在 SecOps 中运行和优化搜索，以收集有关警报的更多背景信息。

• GTI 丰富化：使用 Google Threat Intelligence (GTI) 数据（包括网域、网址和哈希）丰富 IoC。

• 命令行分析：分析命令行，以自然语言解释操作。

• 进程树重建：分析提醒中的进程，以显示相关系统活动的完整序列。

触发分类代理

您可以自动或手动触发 Triage Agent。每个租户每小时最多可以运行 10 次调查（5 次手动调查和 5 次自动调查）。每次调查通常在 3-5 分钟内完成，最多运行 20 分钟。没有调查队列。分类代理不会自动分析超出限制的警报。

自动调查

代理会自动调查包含具有相关 metadata.log_type 值的事件的提醒。

下表列出了受支持的 metadata.log_type 值及其来源：

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

人工调查

如需手动运行调查，请执行以下操作：

1. 在 Google SecOps 中，前往提醒和 IoC 页面。

2. 选择一个提醒，然后点击运行调查。

   您还可以前往相应支持请求中的提醒，并针对该提醒运行调查。 流程完成后，横幅会更新为查看调查。您可以点击此横幅来查看调查的详细信息。

前往调查

您可以在 Google SecOps 中的任何位置访问过去或正在进行的调查。

1. 在 Google SecOps 界面中点击 。

2. 点击导航面板中的 。

3. 点击调查列表旁边的 keyboard_arrow_down 以展开面板。

4. 在列表中，选择相应项以打开调查结果。

每个调查条目都包含提醒名称、完成时间和 Gemini 调查摘要。如果同一提醒被多次调查，每次调查都会在调查列表中显示为单独的条目。

查看调查

每次调查都会在详细视图中打开，其中总结了 Gemini 的分析、推理以及所用的支持数据。

此视图包含以下组件：

• 摘要
• 调查时间安排
• 查看提醒或重新运行调查
• 建议的后续步骤
• 反馈

摘要

在面板顶部，“Gemini 总结”部分简要介绍了相应提醒和调查结果。

摘要提供以下信息：

• 处置：表示 Gemini 是否将相应提醒判定为真阳性或假阳性。
• 置信度：描述 Gemini 对其评估的置信度。 此评估基于提醒和可用的调查数据。
• 总结说明：描述了提醒以及 Gemini 得出结论的方式。

调查时间轴

在摘要之后，调查时间轴会显示卡片，每张卡片都代表代理执行的分析步骤。

每张卡片都包含：

• 描述分析活动的标题
• 总结 Gemini 搜索结果和分析的正文
• Gemini 在相应步骤中使用的数据的来源链接（例如，GTI 结果或搜索查询）

查看提醒或重新运行调查

借助调查面板，您可以执行以下操作：

• 查看提醒：在 Google SecOps SIEM 视图中打开提醒详情。
• 重新运行调查：针对同一提醒重新运行分析。

建议的后续步骤

对于所有调查，Gemini 都会提供进一步的调查步骤。 这些步骤建议分析师探索其他操作或数据源。

随着代理的更新，这些建议可以扩展到包含补救指导。

反馈

每项调查都包含 thumb_up “我喜欢”图标和 thumb_down “不喜欢”图标，用于收集反馈。请重点针对严重程度判决提供反馈，因为这有助于改进 Gemini 的威胁分类。

Cloud Audit Logging

如需为 Triage Agent 启用审核日志记录，请执行以下操作：

1. 在 Google Google Cloud 控制台中，依次前往 IAM > 审核日志记录。
2. 搜索 Chronicle API。
3. 在 Chronicle API 面板的权限类型标签页中，选中管理员读取复选框。

查看审核日志

如需查看审核日志，请执行以下操作：

1. 在 Google Google Cloud 控制台中，依次前往 Monitoring > Logs Explorer。

2. 搜索要查看的日志。

   • 如需查看所有 Google SecOps 审核日志，请搜索 protoPayload.serviceName: "chronicle.googleapis.com"。

   • 如需仅查看 Triage Agent 日志，请搜索相关方法。

     例如，protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" 和 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。