Agent für Priorisierung und Untersuchung zum Untersuchen von Warnungen verwenden

Unterstützt in:

Der Agent für Priorisierung und Untersuchung (Triage and Investigation Agent, TIN) ist ein KI-basierter Untersuchungsassistent, der in Google Security Operations eingebettet ist. Es wird ermittelt, ob die Benachrichtigungen richtig oder falsch positiv sind, und dann eine zusammenfassende Erklärung für die Bewertung bereitgestellt.

Das TIN analysiert Benachrichtigungen in Google SecOps mithilfe von Mandiant-Prinzipien und Best Practices der Branche. Es wertet eingehende Benachrichtigungen aus, führt einen Untersuchungsplan aus und liefert eine strukturierte Analyse, die sowohl die Ergebnisse als auch die Begründung enthält.

Eine Liste der IAM-Berechtigungen, die für die Verwendung des Agents erforderlich sind, finden Sie unter Triage and Investigation Agent (TIN).

Prüftools

Der Agent verwendet die folgenden integrierten Tools, um seine Analyse durchzuführen:

  • Dynamische Suchanfragen: Führt Suchanfragen in SecOps aus und verfeinert sie, um zusätzlichen Kontext für die Benachrichtigung zu erfassen.

  • GTI-Anreicherung: IoCs werden mit Google Threat Intelligence-Daten (GTI) angereichert, einschließlich Domains, URLs und Hashes.

  • Befehlszeilenanalyse: Analysiert Befehlszeilen, um Aktionen in natürlicher Sprache zu erklären.

  • Prozessbaumrekonstruktion: Analysiert die Prozesse in der Benachrichtigung, um die vollständige Abfolge der zugehörigen Systemaktivitäten anzuzeigen.

Trigger-TIN

Sie können die TIN-Erstellung automatisch oder manuell auslösen. Jede Untersuchung dauert in der Regel durchschnittlich 60 Sekunden und maximal 20 Minuten. Es gibt keine Warteschlange für Prüfungen. Der Agent analysiert nicht automatisch Benachrichtigungen, die über das Limit hinaus generiert werden.

Nutzungslimits für Testversionen

Alle Google SecOps Enterprise-, Enterprise Plus- und Google Unified Security-Kunden können vom 1. April 2026 bis zum 30. Juni 2026 einen kostenlosen Testzeitraum für TIN nutzen.

Die Nutzung durch Ihre Organisation während des Testzeitraums unterliegt den folgenden Einschränkungen:

Kundenkategorie Stündliches Gesamtlaufzeitlimit Aufschlüsselung der Limits
Unternehmen 10 Untersuchungen Bis zu 5 automatische und 5 manuelle Untersuchungen pro Stunde.

Wenn automatische Untersuchungen deaktiviert sind, können pro Stunde bis zu 5 manuelle Untersuchungen ausgeführt werden.
Enterprise Plus oder Google Unified Security 20 Untersuchungen Bis zu 10 automatische und 10 manuelle Untersuchungen pro Stunde.

Wenn automatische Untersuchungen deaktiviert sind, können pro Stunde bis zu 10 manuelle Untersuchungen ausgeführt werden.

Nicht genutzte Kapazität für automatische Untersuchungen wird nicht auf manuelle Untersuchungen übertragen. Wenn Ihre Organisation das stündliche Limit erreicht, müssen Sie bis zur nächsten Stunde warten, bis das Kontingent zurückgesetzt wird.

Die meisten Untersuchungen sind nach etwa 60 Sekunden abgeschlossen und können maximal 20 Minuten dauern. TINs werden nicht in die Warteschlange für Prüfungen gestellt. Sobald Sie Ihr stündliches Kontingent erreicht haben, startet der Agent keine Untersuchungen mehr.

Weitere Informationen zur kostenlosen Testversion finden Sie unter Details zur kostenlosen Testversion von Agentic SOC.

Wenn Sie mehr Kapazität als die Limits benötigen, wenden Sie sich an Ihren Google SecOps-Kundenentwickler, um Kontingenterhöhungen zu besprechen.

Einstellungen für die automatische Untersuchung

Automatische Prüfungen sind standardmäßig aktiviert, wenn Sie die erforderlichen Administratorberechtigungen haben und den Agenten aktiviert haben. Wenn Sie diese Einstellung überprüfen oder ändern möchten, rufen Sie die Einstellungen > SIEM-Einstellungen > Gemini Investigations auf.

Wenn diese Option aktiviert ist, verwendet der Agent Standardeinstellungen, um alle standardmäßig unterstützten Logtypen zu untersuchen. Sie können den Zeitpunkt der Untersuchung und die Filterkriterien anpassen, um zu steuern, welche Benachrichtigungen untersucht werden.

Zeitpunkt der Untersuchung

Sie können konfigurieren, wann die Untersuchung nach dem Generieren einer Warnung beginnt. Standardmäßig beginnt die Untersuchung fünf Minuten nach dem Generieren der Benachrichtigung, um allen Ereignissen Rechnung zu tragen, die noch eintreffen und korreliert werden müssen.

Sie können diese Verzögerung in der Liste im Einstellungsfeld auf maximal 20 Minuten ändern.

Prüfkriterien

Sie können benutzerdefinierte Kriterien definieren, um automatische Untersuchungen nur für bestimmte Benachrichtigungen auszulösen. Wenn keine benutzerdefinierten Kriterien definiert sind, untersucht der Agent alle Benachrichtigungen, die den in Standardmäßig unterstützte Log-Typen aufgeführten unterstützten Log-Typen entsprechen.

So erstellen Sie benutzerdefinierte Einstellungen für die automatische Untersuchung:

  1. Klicken Sie auf Add (Hinzufügen).
  2. Wählen Sie ein UDM-Feld aus der Liste aus. Unterstützte Felder:
    • detection.rule_id
    • detection.rule_name
    • udm.metadata.event_type
    • udm.metadata.log_type
    • udm.metadata.product_event_type
    • udm.metadata.product_name
    • udm.metadata.vendor_name
    • udm.about.entity_metadata.product_name
    • udm.principal.user.userid
  3. Wählen Sie einen Operator aus, mit dem das Feld ausgewertet werden soll (= oder !=).
  4. Geben Sie den Wert für das Feld ein oder wählen Sie ihn aus. Die Werte in der Liste basieren auf Werten, die in Ihrer Umgebung beobachtet wurden.
  5. Verwenden Sie einen logischen Operator (AND oder OR), um mehrere Kriterien zu kombinieren.
  6. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

Standardmäßig unterstützte Logtypen

Der Agent unterstützt die automatische Untersuchung von Benachrichtigungen, die Ereignisse mit den folgenden metadata.log_type-Werten enthalten:

Quelle metadata.log_type -Werte
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL, AWS_VPC_FLOW
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
Sonstiges 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, ELASTIC_EDR, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREWALL, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.
SentinelOne 
SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR

Manuelle Untersuchungen

So führen Sie eine Untersuchung manuell aus:

  1. Rufen Sie in Google SecOps die Seite Alerts and IOCs (Benachrichtigungen und IOCs) auf.

  2. Wählen Sie eine Benachrichtigung aus und klicken Sie auf Run Investigation (Untersuchung ausführen).

    Sie können sich die Untersuchungsergebnisse auch direkt in einem Fall ansehen. Wenn die TIN für Ihren Mandanten aktiviert ist, werden die Ergebnisse in die Inhalte der Fallzusammenfassung integriert, sobald eine Untersuchung abgeschlossen ist.

  3. Während einer Untersuchung wird der Fortschritt im Banner angezeigt. Nach Abschluss wird im Banner eine Zusammenfassung des Ergebnisses angezeigt. Klicken Sie im Banner auf Untersuchung ansehen, um die Analyse aufzurufen.

Sie können von überall in Google SecOps auf vergangene oder laufende Untersuchungen zugreifen.

  1. Klicken Sie in der Google SecOps-Benutzeroberfläche auf Sternsymbol für Gemini-Prüfungen.

  2. Klicken Sie im Navigationsbereich auf Schaltfläche zum Öffnen von Gemini Investigation.

  3. Klicken Sie neben der Liste der Untersuchungen auf keyboard_arrow_down, um das Feld zu maximieren.

  4. Wählen Sie in der Liste ein Element aus, um die Prüfungsergebnisse zu öffnen.

Jeder Untersuchungseintrag enthält den Namen der Benachrichtigung, die Abschlusszeit und die Zusammenfassung der Gemini-Untersuchung. Wenn derselbe Hinweis mehrmals untersucht wird, wird jede Untersuchung als separater Eintrag in der Untersuchungsliste angezeigt.

Prüfung ansehen

Jede Untersuchung wird in einer Detailansicht geöffnet, in der die Analyse von Gemini, die Begründung und die verwendeten unterstützenden Daten zusammengefasst sind.

Diese Ansicht hat die folgenden Komponenten:

Zusammenfassung

Oben im Bereich finden Sie im Abschnitt Zusammenfassung von Gemini eine kurze Beschreibung der Benachrichtigung und der Ergebnisse der Untersuchung.

Die Zusammenfassung enthält die folgenden Informationen:

  • Disposition: Gibt an, ob Gemini die Benachrichtigung als „echt“ oder „falsch positiv“ eingestuft hat.
  • Konfidenzniveau: Beschreibt, wie sicher sich Gemini bei der Bewertung ist. Diese Bewertung basiert auf der Benachrichtigung und den verfügbaren Prüfdaten.
  • Zusammenfassung: Beschreibt die Benachrichtigung und wie Gemini zu seiner Schlussfolgerung gelangt ist.

Zeitachse der Prüfung

Die TIN-Prüfung folgt einem strukturierten, mehrstufigen Zeitplan, der darauf ausgelegt ist, Rohbenachrichtigungen in verwertbare Informationen umzuwandeln. Diese Zwischenschritte werden zwar hauptsächlich vom Agenten verwendet, um Kontext zu erstellen und seine Analyse zu verfeinern, sie sind aber auch in der Untersuchungszeitachse in der Weboberfläche sichtbar. So erhalten Sicherheitsanalysten einen klaren Überblick über den Fortschritt der Untersuchung des Agenten.

Erste Bewertung und Risikopriorisierung

Die Untersuchung beginnt mit einer sofortigen Bewertung der Benachrichtigung, um einen grundlegenden Kontext zu schaffen. In dieser Phase analysiert der Agent automatisch die Benachrichtigungsdetails und Metadaten, um Aktivitäten zu identifizieren, die mit hoher Wahrscheinlichkeit harmlos sind. Wenn eine Benachrichtigung als geringes Risiko eingestuft wird, schließt der Agent die Untersuchung ab.

Kontextbezogene Anreicherung und Sammlung von Beweismitteln

Der Agent führt mehrere parallele Analyseschritte aus, um ein umfassendes Bild der verdächtigen Aktivität zu erstellen. Dabei werden interne und externe Informationen genutzt:

  • Google Threat Intelligence-Anreicherung (GTI): Identifiziert und bewertet Kompromittierungsindikatoren (Indicators of Compromise, IoCs) wie Datei-Hashes, IP-Adressen und Domains anhand von Google Threat Intelligence und VirusTotal, um bekannte schädliche Entitäten zu identifizieren.

  • Analyse des Entity Context Graph (ECG): Ruft Daten zur Häufigkeit ab, z. B. wann eine Entität zum ersten oder letzten Mal gesehen wurde, um einen tieferen Kontext zu liefern und Beziehungen zwischen Entitäten zu analysieren.

  • Erfassung des Netzwerkkontexts: Zusätzlicher Kontext zu Netzwerkverkehr wird extrahiert, indem gezielte Suchvorgänge durchgeführt werden, um verdächtige Muster zu erkennen.

  • Integration von Fallmetadaten: Ruft einen umfassenderen Kontext aus dem Fall ab, zu dem die Benachrichtigung gehört, und bezieht Metadaten wie Tags und Priorität in die Untersuchung ein.

  • Erstellung des Prozessbaums: Erstellt die Ausführungshierarchie von Systemprozessen, damit Analysten genau nachvollziehen können, wie eine verdächtige Aktion initiiert wurde und welche nachfolgenden Aktionen ausgeführt wurden.

Adaptive Untersuchung

Basierend auf den Ergebnissen der vorherigen Untersuchungsschritte bestimmt der Agent dynamisch die nächsten Schritte:

  • Ergebnisse bewerten: Informationen aus vorherigen Schritten werden analysiert, um potenzielle Lücken oder neue Untersuchungsansätze zu ermitteln.

  • Führt detaillierte Analysen durch: Generiert iterativ neue Pläne und führt spezielle Tools aus, z. B. GTI-Anreicherung, ECG-Analyse, erweiterte Befehlszeilenanalyse oder gezielte Suchvorgänge, um verborgene Bedrohungen aufzudecken.

Warnung ansehen oder Untersuchung noch einmal ausführen

Im Untersuchungsbereich können Sie die folgenden Aktionen ausführen:

  • Benachrichtigung ansehen: Öffnet die Benachrichtigungsdetails in der Google SecOps SIEM-Ansicht.
  • Prüfung noch einmal ausführen: Die Analyse für dieselbe Benachrichtigung wird noch einmal ausgeführt.

Vorgeschlagene nächste Schritte

Für alle Prüfungen schlägt Gemini weitere Prüfungsschritte vor. In diesen Schritten werden zusätzliche Aktionen oder Datenquellen empfohlen, die Analysten untersuchen können.

Wenn der Agent aktualisiert wird, können diese Vorschläge erweitert werden, um Anleitungen zur Fehlerbehebung zu enthalten.

Feedback

Jede Untersuchung enthält die Symbole thumb_up Mag ich und thumb_down Mag ich nicht, um Feedback zu sammeln. Konzentrieren Sie sich bei Ihrem Feedback auf das Schweregradurteil, da dies dazu beiträgt, die Bedrohungsklassifizierung von Gemini zu optimieren.

TIN-Messwerte in Dashboards

In Google SecOps werden die Betriebsdaten von TIN in Dashboards eingebunden. So können Sie das Untersuchungsvolumen, die Leistung von Kundenservicemitarbeitern und das Nutzerfeedback im Blick behalten. Sie können diese Messwerte verwenden, um den Verbrauch von Sicherheitstokens für Abrechnungszwecke zu überwachen und den Wert des Agents zu bewerten.

Weitere Informationen finden Sie unter Leistung des Triage and Investigation Agent (TIN) mit Dashboards überwachen.

Cloud-Audit-Logging

So aktivieren Sie das Audit-Logging für die Steuernummer:

  1. Rufen Sie in der Google Google Cloud Console IAM > Audit-Logging auf.
  2. Suchen Sie nach der Chronicle API.
  3. Aktivieren Sie im Bereich Chronicle API auf dem Tab Berechtigungstypen das Kästchen Lesen durch Administrator.

Audit-Logs ansehen

So rufen Sie Audit-Logs auf:

  1. Rufen Sie in der Google Google Cloud Console Monitoring > Log-Explorer auf.

  2. Suchen Sie nach den Logs, die Sie ansehen möchten.

    • Wenn Sie alle Google SecOps-Audit-Logs aufrufen möchten, suchen Sie nach protoPayload.serviceName: "chronicle.googleapis.com".

    • Wenn Sie nur TIN-Logs sehen möchten, suchen Sie nach den zugehörigen Methoden.

      • Wenn Sie nach bestimmten Methoden suchen möchten, verwenden Sie protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" OR protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".
      • Wenn Sie nach allen TIN-Methoden suchen möchten, verwenden Sie protoPayload.methodName:"google.cloud.chronicle.v1alpha.InvestigationService". Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten