使用分類與調查代理 (TIN) 調查警示

支援的國家/地區：

Google secops

分類與調查代理 (TIN) 是 Google Security Operations 內建的 AI 調查助理。判斷警報是正確通報或誤報，然後提供評估結果的摘要說明。

TIN 會根據 Mandiant 原則和業界最佳做法，分析 Google SecOps 中的警示。這項功能會評估收到的快訊、執行調查計畫，並提供結構化分析，包括調查結果和推理過程。

如需使用代理程式所需的 IAM 權限清單，請參閱「Triage and Investigation Agent (TIN)」一文。

調查工具

代理程式會使用下列內建工具完成分析：

動態搜尋查詢：在 SecOps 中執行及修正搜尋，收集快訊的額外背景資訊。
GTI 擴充功能：使用 Google Threat Intelligence (GTI) 資料擴充入侵指標，包括網域、網址和雜湊。
指令列分析：分析指令列，以自然語言說明動作。
重建程序樹狀結構：分析快訊中的程序，顯示相關系統活動的完整序列。

觸發 TIN

您可以自動或手動觸發 TIN。每個租戶每小時最多可執行 10 項調查 (5 項手動和 5 項自動)。每項調查通常平均會在 60 秒內完成，最多執行 20 分鐘。沒有調查佇列。如果產生的快訊超過上限，代理程式不會自動分析。

自動調查

代理程式會自動調查包含相關 metadata.log_type 值的事件快訊。

下表列出支援的 metadata.log_type 值及其來源：

來源	`metadata.log_type` 值
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
其他	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

手動調查

如要手動執行調查，請按照下列步驟操作：

在 Google SecOps 中，前往「警告與 IOC」頁面。
選取快訊，然後按一下「執行調查」。

您也可以前往案件中的快訊，並對其執行調查。程序完成後，橫幅會更新為「查看調查」。按一下這個橫幅即可查看調查的詳細資料。

前往調查

您可以在 Google SecOps 的任何位置存取過去或進行中的調查。

按一下 Google SecOps 介面中的。
按一下導覽面板中的。
按一下調查清單旁的 keyboard_arrow_down，展開面板。
在清單中選取項目，即可開啟調查結果。

每個調查項目都包含快訊名稱、完成時間和 Gemini 調查摘要。如果同一則快訊經過多次調查，每次調查都會在調查清單中顯示為獨立項目。

查看調查

每項調查都會在詳細檢視畫面中開啟，其中會摘要說明 Gemini 的分析結果、推理過程和使用的佐證資料。

這個檢視畫面包含下列元件：

摘要
調查時間軸
查看快訊或重新執行調查
建議採取的後續步驟
意見回饋

摘要

面板頂端的「Gemini 摘要」部分會簡要說明警示和調查結果。

摘要會提供下列資訊：

處置：指出 Gemini 判斷警告為誤判或實際情況。
信賴水準：說明 Gemini 對評估結果的信賴程度。這項評估的依據是快訊和可用的調查資料。
摘要說明：說明快訊內容，以及 Gemini 如何得出結論。

調查時間軸

TIN 調查會遵循有系統的多階段時間表，將原始快訊轉換為可做為行動依據的情報。雖然這些中間步驟主要是供代理程式建構脈絡和修正分析結果，但也會顯示在網頁介面中的「調查時間軸」，讓安全分析師清楚瞭解代理程式的調查進度。

初步評估和風險優先排序

調查的第一步是立即評估快訊，建立基準情境。在這個階段，代理程式會自動分析快訊詳細資料和中繼資料，找出高信賴度的良性活動。如果快訊分類為低風險，專員就會結束調查。

情境擴充和證據收集

代理程式會執行多個平行分析步驟，並運用內部和外部情報，全面瞭解可疑活動：

Google Threat Intelligence (GTI) 擴充功能：根據 Google Threat Intelligence 和 VirusTotal 識別及評估入侵指標 (IoC)，例如檔案雜湊值、IP 位址和網域，找出已知的惡意實體。
實體脈絡圖 (ECG) 分析：擷取實體首次或最後一次出現等普及率資料，提供更深入的環境脈絡，並分析實體之間的關係。
收集網路背景資訊：執行目標搜尋，找出可疑模式，藉此擷取與網路流量相關的其他背景資訊。
案件中繼資料整合：從快訊所屬案件擷取更廣泛的背景資訊，將標記和優先順序等中繼資料納入調查。
建構程序樹狀結構：建構系統程序的執行階層，協助分析師瞭解可疑動作的發起方式，以及後續採取的動作。

適應性調查

根據先前調查步驟的結果，代理會動態決定下一步動作：

評估調查結果：評估先前步驟收集的資訊，找出潛在缺口或新的調查方向。
執行深入研究：反覆生成新計畫並執行專用工具，例如 GTI 擴充功能、ECG 分析、進階指令列分析或目標搜尋，以找出隱藏的威脅。

查看快訊或重新執行調查

您可以在調查面板中執行下列動作：

查看快訊：在 Google SecOps SIEM 檢視畫面中開啟快訊詳細資料。
重新調查：針對同一則快訊重新執行分析。

建議的後續步驟

Gemini 會針對所有調查提供進一步調查步驟。這些步驟會建議分析師探索其他動作或資料來源。

隨著代理程式更新，這些建議可能會擴大，納入補救指引。

意見回饋

每項調查都會顯示「喜歡」和「不喜歡」圖示，方便收集意見回饋。請著重於嚴重程度的判斷結果，因為這有助於改善 Gemini 的威脅分類。

Cloud 稽核記錄

如要為 TIN 啟用稽核記錄，請按照下列步驟操作：

在 Google Google Cloud 控制台中，依序前往「IAM」 >「稽核記錄」。
搜尋「Chronicle API」。
在「Chronicle API」面板的「權限類型」分頁中，選取「管理員讀取」核取方塊。

查看稽核記錄

如要查看稽核記錄，請按照下列步驟操作：

在 Google Google Cloud 控制台中，依序前往「Monitoring」(監控) >「Logs Explorer」(記錄檔探索工具)。
搜尋要查看的記錄。
- 如要查看所有 Google SecOps 稽核記錄，請搜尋 protoPayload.serviceName: "chronicle.googleapis.com"。
- 如要只查看 TIN 記錄，請搜尋相關方法。
  
  例如 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" 和 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。