Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menggunakan Agen Penilai Tingkat Prioritas dan Penyelidikan untuk menyelidiki notifikasi

Didukung di:

Google secops

Agen Penilai Tingkat Prioritas dan Penyelidikan (TIN) adalah asisten penyelidikan yang didukung AI dan disematkan di Google Security Operations. Agen ini menentukan apakah notifikasi adalah hasil positif benar atau positif palsu, lalu memberikan penjelasan ringkas untuk penilaiannya.

TIN menganalisis notifikasi di Google SecOps menggunakan prinsip Mandiant dan praktik terbaik industri. Agen ini mengevaluasi notifikasi yang masuk, menjalankan rencana penyelidikan, dan memberikan analisis terstruktur yang mencakup temuan dan alasannya.

Untuk mengetahui daftar izin IAM yang diperlukan untuk menggunakan agen, lihat Agen Penilai Tingkat Prioritas dan Penyelidikan (TIN).

Alat investigasi

Agen menggunakan alat bawaan berikut untuk menyelesaikan analisisnya:

Kueri penelusuran dinamis: Menjalankan dan menyempurnakan penelusuran di SecOps untuk mengumpulkan konteks tambahan untuk notifikasi.
Pengayaan GTI: Memperkaya IoC dengan data Google Threat Intelligence (GTI), termasuk domain, URL, dan hash.
Analisis command line: Menganalisis command line untuk menjelaskan tindakan dalam bahasa natural.
Rekonstruksi pohon proses: Menganalisis proses dalam notifikasi untuk menampilkan urutan lengkap aktivitas sistem terkait.

Memicu TIN

Anda dapat memicu TIN secara otomatis atau manual. Setiap penyelidikan biasanya selesai dalam rata-rata 60 detik dan berjalan maksimal 20 menit. Tidak ada antrean penyelidikan. Agen tidak otomatis menganalisis notifikasi yang dibuat di luar batas.

Batas penggunaan uji coba

Semua pelanggan Google SecOps Enterprise, Enterprise Plus, dan Google Unified Security memenuhi syarat untuk uji coba gratis TIN mulai 1 April 2026 hingga 30 Juni 2026.

Penggunaan organisasi Anda selama periode uji coba tunduk pada batas berikut:

Tingkat pelanggan	Batas total per jam	Rincian batas
Enterprise	10 penyelidikan	Hingga 5 penyelidikan otomatis dan 5 penyelidikan manual per jam. Jika penyelidikan otomatis dinonaktifkan, hingga 5 penyelidikan manual dapat dijalankan per jam.
Enterprise Plus atau Google Unified Security	20 penyelidikan	Hingga 10 penyelidikan otomatis dan 10 penyelidikan manual per jam. Jika penyelidikan otomatis dinonaktifkan, hingga 10 penyelidikan manual dapat dijalankan per jam.

Kapasitas penyelidikan otomatis yang tidak digunakan tidak ditransfer ke penyelidikan manual. Jika organisasi Anda mencapai batas per jam, Anda harus menunggu hingga jam berikutnya agar kuota direset.

Sebagian besar penyelidikan selesai dalam waktu sekitar 60 detik dan dapat berjalan maksimal 20 menit. TIN tidak mengantrekan penyelidikan. Setelah Anda mencapai kuota per jam, agen tidak akan memulai penyelidikan.

Untuk mengetahui detail selengkapnya tentang uji coba gratis, lihat detail uji coba Agentic SOC.

Jika Anda memerlukan kapasitas lebih besar dari batas, hubungi teknisi pelanggan Google SecOps untuk membahas peningkatan kuota.

Setelan penyelidikan otomatis

Penyelidikan otomatis diaktifkan secara default jika Anda memiliki izin administrator yang diperlukan dan memilih untuk menggunakan agen. Untuk memverifikasi atau mengubah setelan ini, buka Setelan > Setelan SIEM > Penyelidikan Gemini.

Jika diaktifkan, agen akan menggunakan setelan default untuk menyelidiki semua jenis log yang didukung secara default. Anda dapat menyesuaikan waktu penyelidikan dan kriteria filter untuk mengontrol notifikasi mana yang diselidiki.

Waktu penyelidikan

Anda dapat mengonfigurasi kapan penyelidikan dimulai setelah notifikasi dibuat. Secara default, penyelidikan dimulai lima menit setelah notifikasi dibuat untuk memperhitungkan peristiwa yang masih masuk dan memerlukan korelasi.

Anda dapat mengubah penundaan ini hingga maksimal 20 menit dari daftar di panel setelan.

Kriteria penyelidikan

Anda dapat menentukan kriteria kustom untuk memicu penyelidikan otomatis hanya untuk notifikasi tertentu. Jika tidak ada kriteria kustom yang ditentukan, agen akan menyelidiki semua notifikasi yang cocok dengan jenis log yang didukung dan tercantum di Jenis log yang didukung secara default.

Untuk membuat setelan penyelidikan otomatis kustom:

Klik add.
Pilih kolom UDM dari daftar. Kolom yang didukung mencakup:
- detection.rule_id
- detection.rule_name
- udm.metadata.event_type
- udm.metadata.log_type
- udm.metadata.product_event_type
- udm.metadata.product_name
- udm.metadata.vendor_name
- udm.about.entity_metadata.product_name
- udm.principal.user.userid
Pilih operator untuk mengevaluasi kolom (= atau !=).
Masukkan atau pilih nilai untuk kolom. Nilai dalam daftar didasarkan pada nilai yang diamati di lingkungan Anda.
Gunakan operator logika (AND atau OR) untuk menggabungkan beberapa kriteria.
Klik Simpan untuk menerapkan setelan Anda.

Jenis Log yang Didukung Secara Default

Agen mendukung penyelidikan otomatis untuk notifikasi yang berisi peristiwa dengan nilai metadata.log_type berikut:

Sumber	Nilai `metadata.log_type`
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Lainnya	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.
SentinelOne	`SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`

Penyelidikan manual

Untuk menjalankan penyelidikan secara manual:

Di Google SecOps, buka halaman Notifikasi dan IOC.
Pilih notifikasi, lalu klik Jalankan Penyelidikan.

Anda juga dapat melihat hasil penyelidikan langsung dalam kasus. Jika TIN diaktifkan untuk tenant Anda, hasil akan diintegrasikan ke dalam konten Ringkasan Kasus setelah penyelidikan selesai.
Saat penyelidikan sedang berjalan, banner akan menunjukkan progres. Setelah selesai, banner akan menampilkan ringkasan hasil. Klik Lihat Penyelidikan di banner untuk meninjau analisis.

Membuka penyelidikan

Anda dapat mengakses penyelidikan yang lalu atau yang sedang berlangsung dari mana saja di Google SecOps.

Klik di antarmuka Google SecOps.
Klik di panel navigasi.
Klik keyboard_arrow_down di samping daftar penyelidikan untuk meluaskan panel.
Dalam daftar, pilih item untuk membuka hasil penyelidikan.

Setiap entri penyelidikan mencakup nama notifikasi, waktu penyelesaian, dan ringkasan penyelidikan Gemini. Jika notifikasi yang sama diselidiki beberapa kali, setiap penyelidikan akan muncul sebagai entri terpisah dalam daftar penyelidikan.

Meninjau penyelidikan

Setiap penyelidikan akan terbuka dalam tampilan mendetail yang meringkas analisis Gemini, alasannya, dan data pendukung yang digunakannya.

Tampilan ini memiliki komponen berikut:

Ringkasan
Linimasa penyelidikan
Melihat notifikasi atau menjalankan kembali penyelidikan
Langkah selanjutnya yang disarankan
Masukan

Ringkasan

Di bagian atas panel, bagian Ringkasan oleh Gemini memberikan deskripsi singkat tentang notifikasi dan temuan penyelidikan.

Ringkasan memberikan informasi berikut:

Disposisi: Menunjukkan apakah Gemini menentukan notifikasi sebagai hasil positif benar atau positif palsu.
Tingkat keyakinan: Menjelaskan keyakinan Gemini dalam penilaiannya. Penilaian ini didasarkan pada notifikasi dan data penyelidikan yang tersedia.
Penjelasan ringkasan: Menjelaskan notifikasi dan cara Gemini mencapai kesimpulannya.

Linimasa penyelidikan

Penyelidikan TIN mengikuti linimasa terstruktur dan multi-tahap yang dirancang untuk mengubah notifikasi mentah menjadi kecerdasan yang dapat ditindaklanjuti. Meskipun langkah-langkah perantara ini terutama digunakan oleh agen untuk membangun konteks dan menyempurnakan analisisnya, langkah-langkah ini juga terlihat dalam Linimasa penyelidikan di antarmuka web, sehingga memberikan visibilitas yang jelas kepada analis keamanan tentang progres penyelidikan agen.

Penilaian awal dan penentuan prioritas risiko

Penyelidikan dimulai dengan evaluasi langsung terhadap notifikasi untuk menetapkan konteks dasar. Selama tahap ini, agen akan otomatis menganalisis detail dan metadata notifikasi untuk mengidentifikasi aktivitas jinak dengan tingkat keyakinan tinggi. Jika notifikasi diklasifikasikan sebagai risiko rendah, agen akan mengakhiri penyelidikan.

Pengayaan kontekstual dan pengumpulan bukti

Agen menjalankan beberapa langkah analisis paralel untuk membangun gambaran komprehensif tentang aktivitas mencurigakan dengan memanfaatkan kecerdasan internal dan eksternal:

Pengayaan Google Threat Intelligence (GTI): Mengidentifikasi dan mengevaluasi indikator penyusupan (IoC), seperti hash file, alamat IP, dan domain terhadap Google Threat Intelligence dan VirusTotal untuk mengidentifikasi entity berbahaya yang diketahui.
Analisis Entity Context Graph (ECG): Mengambil data prevalensi, seperti kapan entity pertama atau terakhir terlihat, untuk memberikan konteks lingkungan yang lebih mendalam dan menganalisis hubungan antar-entity.
Pengumpulan konteks jaringan: Mengekstrak konteks tambahan yang terkait dengan traffic jaringan dengan melakukan penelusuran yang ditargetkan untuk mengidentifikasi pola yang mencurigakan.
Integrasi metadata kasus: Mengambil konteks yang lebih luas dari kasus tempat notifikasi berada, dengan menggabungkan metadata seperti tag dan prioritas ke dalam penyelidikan.
Konstruksi pohon proses: Membuat hierarki eksekusi proses sistem untuk membantu analis memahami dengan tepat bagaimana tindakan mencurigakan dimulai dan tindakan berikutnya yang diambil.

Penyelidikan Adaptif

Berdasarkan temuan dari langkah-langkah penyelidikan sebelumnya, agen akan menentukan tindakan selanjutnya secara dinamis:

Mengevaluasi temuan: Menilai informasi yang dikumpulkan pada langkah-langkah sebelumnya untuk mengidentifikasi potensi celah atau jalur baru untuk penyelidikan.
Melakukan riset mendalam: Membuat rencana baru secara berulang dan menjalankan alat khusus, seperti pengayaan GTI, analisis ECG, analisis command line lanjutan, atau penelusuran yang ditargetkan untuk mengungkap ancaman tersembunyi.

Melihat notifikasi atau menjalankan kembali penyelidikan

Panel penyelidikan memungkinkan Anda melakukan tindakan berikut:

Melihat notifikasi: Membuka detail notifikasi dalam tampilan Google SecOps SIEM.
Menjalankan kembali penyelidikan: Menjalankan kembali analisis untuk notifikasi yang sama.

Langkah selanjutnya yang disarankan

Untuk semua penyelidikan, Gemini memberikan langkah-langkah penyelidikan lebih lanjut. Langkah-langkah ini merekomendasikan tindakan atau sumber data tambahan untuk dieksplorasi oleh analis.

Saat agen diupdate, saran ini dapat diperluas untuk menyertakan panduan perbaikan.

Masukan

Setiap penyelidikan menyertakan thumb_up Suka dan thumb_down Tidak Suka ikon untuk mengumpulkan masukan. Fokuskan masukan Anda pada hasil tingkat keparahan karena hal ini membantu menyempurnakan klasifikasi ancaman Gemini.

Metrik TIN di dasbor

Google SecOps mengintegrasikan data operasional TIN ke dalam dasbor. Hal ini memungkinkan Anda memantau volume penyelidikan, performa agen, dan masukan pengguna. Anda dapat menggunakan metrik ini sebagai cara yang jelas untuk memantau penggunaan token keamanan untuk tujuan penagihan dan mengevaluasi nilai yang diberikan oleh agen.

Untuk mengetahui informasi selengkapnya, lihat Memantau performa Agen Penilai Tingkat Prioritas dan Penyelidikan (TIN) dengan dasbor.

Logging audit Cloud

Untuk mengaktifkan logging audit untuk TIN:

Di Google Google Cloud console, buka IAM > Logging Audit.
Cari Chronicle API.
Di tab Jenis Izin pada panel Chronicle API, centang kotak Admin Read.

Melihat log audit

Untuk melihat log audit:

Di Google Google Cloud console, buka Monitoring > Logs Explorer.
Cari log yang ingin Anda lihat.
- Untuk melihat semua log audit Google SecOps, telusuri protoPayload.serviceName: "chronicle.googleapis.com".
- Untuk hanya melihat log TIN, telusuri metode terkait.
  - Untuk menelusuri metode tertentu, gunakan protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" OR protoPayload.methodName="google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".
  - Untuk menelusuri semua metode TIN, gunakan protoPayload.methodName:"google.cloud.chronicle.v1alpha.InvestigationService". Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.