使用分類代理程式調查快訊

分類代理是 Google Security Operations 內建的 AI 調查助理。判斷警告是正確通報或誤報，然後提供評估結果的摘要說明。

Triage Agent 會根據 Mandiant 原則和業界最佳做法，分析 Google SecOps 中的快訊。這項功能會評估收到的快訊、執行調查計畫，並提供結構化分析，包括發現內容和推理過程。

如需使用 Triage Agent 時所需的 IAM 權限清單，請參閱「Triage Agent」一文。

調查工具

代理程式會使用下列內建工具完成分析：

• 動態搜尋查詢：在 SecOps 中執行及修正搜尋，收集快訊的額外背景資訊。

• GTI 擴充功能：使用 Google Threat Intelligence (GTI) 資料擴充入侵指標，包括網域、網址和雜湊。

• 指令列分析：分析指令列，以自然語言說明動作。

• 重建程序樹狀結構：分析快訊中的程序，顯示相關系統活動的完整序列。

觸發分類代理

您可以自動或手動觸發 Triage Agent。每個租戶每小時最多可執行 10 項調查 (5 項手動和 5 項自動)。每項調查通常會在 3 到 5 分鐘內完成，最多執行 20 分鐘。沒有調查佇列。如果產生的快訊超出上限，分類代理程式不會自動分析。

自動調查

代理程式會自動調查包含相關 metadata.log_type 值的事件快訊。

下表列出支援的 metadata.log_type 值和來源：

AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR

CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI

CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP

FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY

GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS

ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG

OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT

BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

手動調查

如要手動執行調查，請按照下列步驟操作：

1. 在 Google SecOps 中，前往「警告與 IOC」頁面。

2. 選取快訊，然後按一下「執行調查」。

   您也可以前往案件中的快訊，並對其執行調查。 程序完成後，橫幅會更新為「查看調查」。 按一下這個橫幅即可查看調查的詳細資料。

前往調查

您可以在 Google SecOps 中隨時存取過去或進行中的調查。

1. 在 Google SecOps 介面中按一下 。

2. 按一下導覽面板中的 。

3. 按一下調查清單旁的 keyboard_arrow_down，展開面板。

4. 在清單中選取項目，即可開啟調查結果。

每個調查項目都包含快訊名稱、完成時間和 Gemini 調查摘要。如果同一則快訊經過多次調查，每次調查都會在調查清單中顯示為獨立項目。

查看調查

每項調查都會在詳細檢視畫面中開啟，其中會摘要說明 Gemini 的分析結果、推理過程和使用的佐證資料。

這個檢視畫面包含下列元件：

• 摘要
• 調查時間軸
• 查看快訊或重新執行調查
• 建議採取的後續步驟
• 意見回饋

摘要

面板頂端的「Gemini 摘要」部分會簡要說明警示和調查結果。

摘要會提供下列資訊：

• 處置：指出 Gemini 判斷警告為誤判或實際情況。
• 信賴水準：說明 Gemini 對評估結果的信賴程度。 這項評估的依據是警示和可用的調查資料。
• 摘要說明：說明快訊內容，以及 Gemini 如何得出結論。

調查時間軸

摘要之後的「調查時間軸」會顯示多張資訊卡，每張卡片代表代理執行的分析步驟。

每張資訊卡都包含：

• 描述分析活動的標題
• 摘要說明 Gemini 的搜尋結果和分析
• Gemini 在步驟中使用的資料來源連結 (例如 GTI 結果或搜尋查詢)

查看快訊或重新執行調查

您可以在調查面板中執行下列操作：

• 查看快訊：在 Google SecOps SIEM 檢視畫面中開啟快訊詳細資料。
• 重新調查：針對同一則快訊重新執行分析。

建議採取的後續步驟

Gemini 會提供所有調查的後續調查步驟。 這些步驟會建議分析師探索其他動作或資料來源。

隨著代理程式更新，這些建議可能會擴大，納入補救指引。

意見回饋

每項調查都會顯示「喜歡」和「不喜歡」圖示，方便收集意見回饋。請著重於嚴重程度的判斷結果，因為這有助於改善 Gemini 的威脅分類。

Cloud 稽核記錄

如要為 Triage Agent 啟用稽核記錄，請按照下列步驟操作：

1. 在 Google Google Cloud 控制台中，依序前往「IAM」 >「稽核記錄」。
2. 搜尋「Chronicle API」。
3. 在「Chronicle API」面板的「權限類型」分頁中，選取「管理員讀取」核取方塊。

查看稽核記錄

如要查看稽核記錄，請按照下列步驟操作：

1. 在 Google Google Cloud 控制台中，依序前往「Monitoring」(監控) >「Logs Explorer」(記錄檔探索工具)。

2. 搜尋要查看的記錄。

   • 如要查看所有 Google SecOps 稽核記錄，請搜尋 protoPayload.serviceName: "chronicle.googleapis.com"。

   • 如要只查看 Triage Agent 記錄，請搜尋相關方法。

     例如 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" 和 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。