Usa el agente de clasificación e investigación (TIN) para investigar alertas

Compatible con:

Google SecOps

El agente de clasificación e investigación (TIN) es un asistente de investigación potenciado por IA integrado en Google Security Operations. Determina si las alertas son verdaderos o falsos positivos y, luego, proporciona una explicación resumida de su evaluación.

TIN analiza las alertas en Google SecOps con los principios de Mandiant y las prácticas recomendadas de la industria. Evalúa las alertas entrantes, ejecuta un plan de investigación y proporciona un análisis estructurado que incluye sus hallazgos y razonamientos.

Para obtener una lista de los permisos de IAM necesarios para usar el agente, consulta Agente de investigación y clasificación (TIN).

Herramientas de investigación

El agente usa las siguientes herramientas integradas para completar su análisis:

Búsquedas dinámicas: Ejecuta y perfecciona búsquedas en SecOps para recopilar contexto adicional sobre la alerta.
Enriquecimiento de GTI: Enriquecer los IoC con datos de Google Threat Intelligence (GTI), incluidos dominios, URLs y hashes
Análisis de línea de comandos: Analiza las líneas de comandos para explicar las acciones en lenguaje natural.
Reconstrucción del árbol de procesos: Analiza los procesos de la alerta para mostrar la secuencia completa de actividad del sistema relacionada.

TIN del activador

Puedes activar el TIN de forma automática o manual. Cada organización puede ejecutar hasta 10 investigaciones por hora (5 manuales y 5 automáticas). Cada investigación suele completarse en un promedio de 60 segundos y se ejecuta durante un máximo de 20 minutos. No hay una fila de investigación. El agente no analiza automáticamente las alertas que se generan más allá del límite.

Investigaciones automáticas

El agente investiga automáticamente las alertas que contienen eventos con los valores de metadata.log_type pertinentes.

En la siguiente tabla, se enumeran los valores de metadata.log_type admitidos y sus fuentes:

Fuente	Valores de `metadata.log_type`
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Otro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigaciones manuales

Para ejecutar una investigación de forma manual, sigue estos pasos:

En Google SecOps, ve a la página Alertas y IoCs.
Selecciona una alerta y haz clic en Ejecutar investigación.

También puedes navegar a una alerta en un caso y ejecutar una investigación sobre ella. Cuando se complete el proceso, el banner se actualizará a Ver investigación. Puedes hacer clic en este banner para ver los detalles de una investigación.

Navega a las investigaciones

Puedes acceder a las investigaciones pasadas o en curso desde cualquier lugar de Google SecOps.

Haz clic en en la interfaz de Google SecOps.
Haz clic en en el panel de navegación.
Haz clic en keyboard_arrow_down junto a la lista de investigación para expandir el panel.
En la lista, selecciona un elemento para abrir los resultados de la investigación.

Cada entrada de investigación incluye el nombre de la alerta, la hora de finalización y el resumen de la investigación de Gemini. Si la misma alerta se investiga varias veces, cada investigación aparecerá como una entrada independiente en la lista de investigaciones.

Revisa una investigación

Cada investigación se abre en una vista detallada que resume el análisis de Gemini, su razonamiento y los datos de respaldo que usó.

Esta vista tiene los siguientes componentes:

Resumen
Cronograma de investigación
Cómo ver una alerta o volver a ejecutar una investigación
Próximos pasos sugeridos
Comentarios

Resumen

En la parte superior del panel, la sección Resumen de Gemini proporciona una breve descripción de la alerta y los hallazgos de la investigación.

En el resumen, se proporciona la siguiente información:

Disposición: Indica si Gemini determinó que la alerta es un positivo verdadero o falso.
Nivel de confianza: Describe la confianza de Gemini en su evaluación. Esta evaluación se basa en la alerta y los datos de investigación disponibles.
Explicación del resumen: Describe la alerta y cómo Gemini llegó a su conclusión.

Cronograma de investigación

La investigación del TIN sigue un cronograma estructurado de varias etapas diseñado para transformar las alertas sin procesar en inteligencia práctica. Si bien el agente usa principalmente estos pasos intermedios para generar contexto y refinar su análisis, también son visibles en la línea de tiempo de investigación de la interfaz web, lo que proporciona a los analistas de seguridad una visibilidad clara del progreso de la investigación del agente.

Evaluación inicial y priorización de riesgos

La investigación comienza con una evaluación inmediata de la alerta para establecer un contexto de referencia. Durante esta etapa, el agente analiza automáticamente los detalles y los metadatos de las alertas para identificar actividad benigna con un alto nivel de confianza. Si una alerta se clasifica como de riesgo bajo, el agente finaliza la investigación.

Enriquecimiento contextual y recopilación de evidencia

El agente ejecuta varios pasos de análisis paralelos para crear una imagen integral de la actividad sospechosa aprovechando la inteligencia interna y externa:

Enriquecimiento de Google Threat Intelligence (GTI): Identifica y evalúa indicadores de compromiso (IoC), como hashes de archivos, direcciones IP y dominios, en función de Google Threat Intelligence y VirusTotal para identificar entidades maliciosas conocidas.
Análisis del gráfico de contexto de entidades (ECG): Recupera datos de prevalencia, como cuándo se vio una entidad por primera o última vez, para proporcionar un contexto ambiental más profundo y analizar las relaciones entre entidades.
Recopilación de contexto de red: Realiza búsquedas segmentadas para identificar patrones sospechosos y, así, extraer contexto adicional relacionado con el tráfico de red.
Integración de metadatos del caso: Recupera un contexto más amplio del caso al que pertenece la alerta, e incorpora metadatos como etiquetas y prioridad en la investigación.
Construcción del árbol de procesos: Construye la jerarquía de ejecución de los procesos del sistema para ayudar a los analistas a comprender exactamente cómo se inició una acción sospechosa y qué acciones posteriores se tomaron.

Investigación adaptable

Según los hallazgos de los pasos de investigación anteriores, el agente determina de forma dinámica el siguiente curso de acción:

Evalúa los hallazgos: Evalúa la información recopilada en los pasos anteriores para identificar posibles brechas o nuevas vías de investigación.
Realiza investigaciones detalladas: Genera de forma iterativa planes nuevos y ejecuta herramientas especializadas, como el enriquecimiento de GTI, el análisis de ECG, el análisis avanzado de línea de comandos o las búsquedas segmentadas para descubrir amenazas ocultas.

Cómo ver una alerta o volver a ejecutar una investigación

El panel de investigación te permite realizar las siguientes acciones:

Ver alerta: Abre los detalles de la alerta en la vista del SIEM de Google SecOps.
Volver a ejecutar la investigación: Vuelve a ejecutar el análisis para la misma alerta.

Próximos pasos sugeridos

En todas las investigaciones, Gemini proporciona pasos adicionales para la investigación. Estos pasos recomiendan acciones o fuentes de datos adicionales para que los analistas exploren.

A medida que se actualice el agente, estas sugerencias se pueden expandir para incluir orientación sobre la corrección.

Comentarios

Cada investigación incluye los íconos de thumb_up Me gusta y thumb_down No me gusta para recopilar comentarios. Enfoca tus comentarios en el veredicto de gravedad, ya que esto ayuda a definir mejor la clasificación de amenazas de Gemini.

Registros de auditoría de Cloud

Para habilitar el registro de auditoría del TIN, haz lo siguiente:

En la consola de Google Google Cloud , navega a IAM > Registro de auditoría.
Busca la API de Chronicle.
En la pestaña Tipos de permisos del panel API de Chronicle, selecciona la casilla de verificación Lectura de administración.

Ver registros de auditoría

Para ver los registros de auditoría, haz lo siguiente:

En la consola de Google Google Cloud Cloud, ve a Monitoring > Explorador de registros.
Busca los registros que quieres ver.
- Para ver todos los registros de auditoría de Google SecOps, busca protoPayload.serviceName: "chronicle.googleapis.com".
- Para ver solo los registros de TIN, busca los métodos relacionados.
  
  Por ejemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" y protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.