Agent für Priorisierung und Untersuchung (TIN) zum Untersuchen von Benachrichtigungen verwenden

Unterstützt in:

Google SecOps

Der Agent für Priorisierung und Untersuchung (Triage and Investigation Agent, TIN) ist ein KI-basierter Untersuchungsassistent, der in Google Security Operations eingebettet ist. Es wird ermittelt, ob die Benachrichtigungen echte oder falsche Positivmeldungen sind, und dann eine zusammenfassende Erklärung für die Bewertung bereitgestellt.

Das TIN analysiert Benachrichtigungen in Google SecOps mithilfe von Mandiant-Prinzipien und Best Practices der Branche. Es wertet eingehende Benachrichtigungen aus, führt einen Untersuchungsplan aus und liefert eine strukturierte Analyse, die sowohl die Ergebnisse als auch die Begründung enthält.

Eine Liste der IAM-Berechtigungen, die für die Verwendung des Agents erforderlich sind, finden Sie unter Triage and Investigation Agent (TIN).

Prüftools

Der Agent verwendet die folgenden integrierten Tools, um die Analyse durchzuführen:

Dynamische Suchanfragen: Führt Suchanfragen in SecOps aus und verfeinert sie, um zusätzlichen Kontext für die Benachrichtigung zu erfassen.
GTI-Anreicherung: Reichert IoCs mit Google Threat Intelligence-Daten (GTI) an, einschließlich Domains, URLs und Hashes.
Befehlszeilenanalyse: Analysiert Befehlszeilen, um Aktionen in natürlicher Sprache zu erklären.
Prozessbaumrekonstruktion: Analysiert die Prozesse in der Benachrichtigung, um die vollständige Abfolge der zugehörigen Systemaktivitäten anzuzeigen.

Trigger-TIN

Sie können die TIN-Erstellung automatisch oder manuell auslösen. In jedem Mandanten können bis zu 10 Untersuchungen pro Stunde ausgeführt werden (5 manuelle und 5 automatische). Jede Untersuchung dauert in der Regel durchschnittlich 60 Sekunden und maximal 20 Minuten. Es gibt keine Warteschlange für Prüfungen. Der Agent analysiert nicht automatisch Benachrichtigungen, die über das Limit hinaus generiert werden.

Automatische Untersuchungen

Der Agent untersucht automatisch Benachrichtigungen, die Ereignisse mit den relevanten metadata.log_type-Werten enthalten.

In der folgenden Tabelle sind die unterstützten metadata.log_type-Werte und ihre Quellen aufgeführt:

Quelle	`metadata.log_type` -Werte
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Sonstiges	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Manuelle Untersuchungen

So führen Sie eine Untersuchung manuell aus:

Rufen Sie in Google SecOps die Seite Benachrichtigungen und IoCs auf.
Wählen Sie eine Benachrichtigung aus und klicken Sie auf Run Investigation (Untersuchung ausführen).

Sie können auch zu einer Benachrichtigung in einem Fall navigieren und eine Untersuchung dafür ausführen. Das Banner wird aktualisiert und zeigt Prüfung ansehen an, sobald der Vorgang abgeschlossen ist. Sie können auf dieses Banner klicken, um die Details einer Untersuchung aufzurufen.

Zu Prüfungen navigieren

Sie können von überall in Google SecOps auf vergangene oder laufende Untersuchungen zugreifen.

Klicken Sie in der Google SecOps-Benutzeroberfläche auf .
Klicken Sie im Navigationsbereich auf .
Klicken Sie neben der Liste der Untersuchungen auf keyboard_arrow_down, um das Feld zu maximieren.
Wählen Sie in der Liste ein Element aus, um die Prüfungsergebnisse zu öffnen.

Jeder Untersuchungseintrag enthält den Namen der Benachrichtigung, die Abschlusszeit und die Zusammenfassung der Gemini-Untersuchung. Wenn derselbe Hinweis mehrmals untersucht wird, wird jede Untersuchung als separater Eintrag in der Untersuchungsliste angezeigt.

Prüfung ansehen

Jede Untersuchung wird in einer Detailansicht geöffnet, in der die Analyse von Gemini, die Begründung und die verwendeten unterstützenden Daten zusammengefasst werden.

Diese Ansicht hat die folgenden Komponenten:

Zusammenfassung
Zeitachse der Prüfung
Benachrichtigung ansehen oder Untersuchung noch einmal ausführen
Empfohlene nächste Schritte
Feedback

Zusammenfassung

Oben im Bereich finden Sie im Abschnitt Zusammenfassung von Gemini eine kurze Beschreibung der Benachrichtigung und der Ergebnisse der Untersuchung.

Die Zusammenfassung enthält die folgenden Informationen:

Disposition: Gibt an, ob Gemini die Benachrichtigung als echtes oder falsch-positives Ergebnis eingestuft hat.
Zuverlässigkeit: Beschreibt, wie sicher sich Gemini bei der Bewertung ist. Diese Bewertung basiert auf der Benachrichtigung und den verfügbaren Prüfdaten.
Zusammenfassung: Beschreibt die Benachrichtigung und wie Gemini zu seiner Schlussfolgerung gelangt ist.

Zeitachse der Prüfung

Die TIN-Untersuchung folgt einem strukturierten, mehrstufigen Zeitplan, der darauf ausgelegt ist, Rohbenachrichtigungen in verwertbare Informationen umzuwandeln. Diese Zwischenschritte werden zwar hauptsächlich vom Agenten verwendet, um Kontext zu erstellen und seine Analyse zu optimieren, sie sind aber auch in der Untersuchungszeitachse in der Weboberfläche sichtbar. So erhalten Sicherheitsanalysten einen klaren Überblick über den Fortschritt der Untersuchung des Agenten.

Erste Bewertung und Risikopriorisierung

Die Untersuchung beginnt mit einer sofortigen Bewertung der Benachrichtigung, um einen grundlegenden Kontext zu schaffen. In dieser Phase analysiert der Agent automatisch Benachrichtigungsdetails und Metadaten, um Aktivitäten mit hoher Wahrscheinlichkeit als gutartig zu identifizieren. Wenn eine Benachrichtigung als geringes Risiko eingestuft wird, schließt der Kundenservicemitarbeiter die Untersuchung ab.

Kontextbezogene Anreicherung und Beweissammlung

Der Agent führt mehrere parallele Analyseschritte aus, um ein umfassendes Bild der verdächtigen Aktivität zu erstellen. Dabei werden interne und externe Informationen genutzt:

Google Threat Intelligence-Anreicherung (GTI): Identifiziert und bewertet Kompromittierungsindikatoren (Indicators of Compromise, IoCs) wie Datei-Hashes, IP-Adressen und Domains anhand von Google Threat Intelligence und VirusTotal, um bekannte schädliche Entitäten zu identifizieren.
Analyse des Entity Context Graph (ECG): Ruft Daten zur Häufigkeit ab, z. B. wann eine Entität zum ersten oder letzten Mal gesehen wurde, um einen tieferen Kontext zu liefern und Beziehungen zwischen Entitäten zu analysieren.
Erfassung des Netzwerkkontexts: Zusätzlicher Kontext zum Netzwerkverkehr wird extrahiert, indem gezielte Suchvorgänge durchgeführt werden, um verdächtige Muster zu erkennen.
Integration von Fallmetadaten: Ruft einen umfassenderen Kontext aus dem Fall ab, zu dem die Benachrichtigung gehört, und bezieht Metadaten wie Tags und Priorität in die Untersuchung ein.
Erstellung des Prozessbaums: Erstellt die Ausführungshierarchie von Systemprozessen, damit Analysten genau nachvollziehen können, wie eine verdächtige Aktion initiiert wurde und welche nachfolgenden Aktionen ausgeführt wurden.

Adaptive Untersuchung

Basierend auf den Ergebnissen der vorherigen Untersuchungsschritte bestimmt der Agent dynamisch die nächsten Schritte:

Ergebnisse auswerten: Informationen aus vorherigen Schritten werden analysiert, um potenzielle Lücken oder neue Untersuchungsansätze zu ermitteln.
Führt detaillierte Analysen durch: Generiert iterativ neue Pläne und führt spezielle Tools aus, z. B. GTI-Anreicherung, ECG-Analyse, erweiterte Befehlszeilenanalyse oder gezielte Suchvorgänge, um verborgene Bedrohungen aufzudecken.

Warnung ansehen oder Prüfung noch einmal ausführen

Im Untersuchungsbereich können Sie die folgenden Aktionen ausführen:

Benachrichtigung ansehen: Öffnet die Benachrichtigungsdetails in der Google SecOps SIEM-Ansicht.
Prüfung noch einmal ausführen: Die Analyse für dieselbe Benachrichtigung wird noch einmal ausgeführt.

Vorgeschlagene nächste Schritte

Für alle Prüfungen bietet Gemini weitere Prüfungsschritte an. In diesen Schritten werden zusätzliche Aktionen oder Datenquellen empfohlen, die Analysten untersuchen können.

Wenn der Agent aktualisiert wird, können diese Vorschläge erweitert werden, um Anleitungen zur Fehlerbehebung zu enthalten.

Feedback

Jede Untersuchung enthält die Symbole thumb_up Mag ich und thumb_down Mag ich nicht, um Feedback zu sammeln. Konzentrieren Sie sich bei Ihrem Feedback auf das Schweregradurteil, da dies dazu beiträgt, die Bedrohungsklassifizierung von Gemini zu optimieren.

Cloud-Audit-Logging

So aktivieren Sie das Audit-Logging für die Steuernummer:

Rufen Sie in der Google Google Cloud Console IAM > Audit-Logging auf.
Suchen Sie nach der Chronicle API.
Aktivieren Sie im Bereich Chronicle API auf dem Tab Berechtigungstypen das Kästchen Lesen durch Administrator.

Audit-Logs ansehen

So rufen Sie Audit-Logs auf:

Rufen Sie in der Google Google Cloud Console Monitoring > Log-Explorer auf.
Suchen Sie nach den Logs, die Sie ansehen möchten.
- Wenn Sie alle Google SecOps-Audit-Logs aufrufen möchten, suchen Sie nach protoPayload.serviceName: "chronicle.googleapis.com".
- Wenn Sie nur TIN-Logs sehen möchten, suchen Sie nach den zugehörigen Methoden.
  
  Beispiel: protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" und protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten