Utilizzare l'agente di triage e indagine (TIN) per esaminare gli avvisi

Supportato in:

Google secops

L'agente di triage e indagine (TIN) è un assistente di indagine basato sull'AI incorporato in Google Security Operations. Determina se gli avvisi sono veri o falsi positivi, quindi fornisce una spiegazione riassuntiva della sua valutazione.

TIN analizza gli avvisi in Google SecOps utilizzando i principi di Mandiant e le best practice del settore. Valuta gli avvisi in entrata, esegue un piano di indagine e fornisce un'analisi strutturata che include sia i risultati che il ragionamento.

Per un elenco delle autorizzazioni IAM richieste per l'utilizzo dell'agente, consulta Agente di triage e indagine (TIN).

Strumenti di indagine

L'agente utilizza i seguenti strumenti integrati per completare l'analisi:

Query di ricerca dinamiche: esegue e perfeziona le ricerche in SecOps per raccogliere contesto aggiuntivo per l'avviso.
Arricchimento GTI: arricchisce gli indicatori di compromissione con i dati di Google Threat Intelligence (GTI), inclusi domini, URL e hash.
Analisi della riga di comando: analizza le righe di comando per spiegare le azioni in linguaggio naturale.
Ricostruzione dell'albero dei processi: analizza i processi nell'avviso per mostrare la sequenza completa di attività di sistema correlate.

Trigger TIN

Puoi attivare TIN automaticamente o manualmente. Ogni tenant può eseguire fino a 10 indagini all'ora (5 manuali e 5 automatiche). Ogni indagine in genere viene completata in media in 60 secondi e viene eseguita per un massimo di 20 minuti. Non esiste una coda di indagini. L'agente non analizza automaticamente gli avvisi generati oltre il limite.

Indagini automatiche

L'agente esamina automaticamente gli avvisi che contengono eventi con i valori metadata.log_type pertinenti.

La tabella seguente elenca i valori metadata.log_type supportati e le relative origini:

Origine	`metadata.log_type` values
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Altro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Indagini manuali

Per eseguire manualmente un'indagine:

In Google SecOps, vai alla pagina Avvisi e IOC.
Seleziona un avviso e fai clic su Esegui indagine.

Puoi anche accedere a un avviso in una richiesta ed eseguire un'indagine. Al termine della procedura, il banner viene aggiornato a Visualizza indagine. Puoi fare clic su questo banner per visualizzare i dettagli di un'indagine.

Vai alle indagini

Puoi accedere alle indagini passate o in corso da qualsiasi punto di Google SecOps.

Fai clic su nell'interfaccia di Google SecOps.
Fai clic su nel pannello di navigazione.
Fai clic su keyboard_arrow_down accanto all'elenco delle indagini per espandere il riquadro.
Nell'elenco, seleziona un elemento per aprire i risultati dell'indagine.

Ogni voce di indagine include il nome dell'avviso, l'ora di completamento e il riepilogo dell'indagine Gemini. Se lo stesso avviso viene esaminato più volte, ogni indagine viene visualizzata come voce separata nell'elenco delle indagini.

Esaminare un'indagine

Ogni indagine si apre in una visualizzazione dettagliata che riassume l'analisi di Gemini, il suo ragionamento e i dati di supporto utilizzati.

Questa visualizzazione è composta dai seguenti componenti:

Riepilogo
Cronologia dell'indagine
Visualizzare un avviso o eseguire di nuovo un'indagine
Passaggi successivi consigliati
Feedback

Riepilogo

Nella parte superiore del riquadro, la sezione Riepilogo di Gemini fornisce una breve descrizione dell'avviso e dei risultati dell'indagine.

Il riepilogo fornisce le seguenti informazioni:

Disposizione: indica se Gemini ha determinato che l'avviso è un vero o falso positivo.
Livello di confidenza: descrive la confidenza di Gemini nella sua valutazione. Questa valutazione si basa sull'avviso e sui dati di indagine disponibili.
Spiegazione del riepilogo: descrive l'avviso e come Gemini è giunto alla sua conclusione.

Cronologia dell'indagine

L'indagine TIN segue una sequenza temporale strutturata in più fasi progettata per trasformare gli avvisi non elaborati in informazioni utili. Sebbene questi passaggi intermedi vengano utilizzati principalmente dall'agente per creare il contesto e perfezionare l'analisi, sono visibili anche nella cronologia delle indagini nell'interfaccia web, fornendo agli analisti della sicurezza una visibilità chiara sullo stato di avanzamento dell'indagine dell'agente.

Valutazione iniziale e assegnazione della priorità di rischio

L'indagine inizia con una valutazione immediata dell'avviso per stabilire il contesto di base. Durante questa fase, l'agente analizza automaticamente i dettagli e i metadati degli avvisi per identificare attività benigne con un'alta affidabilità. Se un avviso viene classificato come a basso rischio, l'agente conclude l'indagine.

Arricchimento contestuale e raccolta di prove

L'agente esegue diversi passaggi di analisi parallela per creare un quadro completo dell'attività sospetta sfruttando l'intelligence interna ed esterna:

Arricchimento di Google Threat Intelligence (GTI): identifica e valuta indicatori di compromissione (IoC), come hash di file, indirizzi IP e domini rispetto a Google Threat Intelligence e VirusTotal per identificare entità dannose note.
Analisi del grafico del contesto delle entità (ECG): recupera i dati di prevalenza, ad esempio quando un'entità è stata vista per la prima o l'ultima volta, per fornire un contesto ambientale più approfondito e analizzare le relazioni tra le entità.
Raccolta del contesto di rete: estrae il contesto aggiuntivo relativo al traffico di rete eseguendo ricerche mirate per identificare pattern sospetti.
Integrazione dei metadati della richiesta: recupera un contesto più ampio dalla richiesta a cui appartiene l'avviso, incorporando metadati come tag e priorità nell'indagine.
Costruzione dell'albero dei processi: crea la gerarchia di esecuzione dei processi di sistema per aiutare gli analisti a capire esattamente come è stata avviata un'azione sospetta e quali azioni successive ha intrapreso.

Indagine adattiva

In base ai risultati dei passaggi di indagine precedenti, l'agente determina dinamicamente il corso d'azione successivo:

Valuta i risultati: valuta le informazioni raccolte nei passaggi precedenti per identificare potenziali lacune o nuovi modi di indagare.
Esegue ricerche approfondite: genera in modo iterativo nuovi piani ed esegue strumenti specializzati, come l'arricchimento GTI, l'analisi ECG, l'analisi avanzata della riga di comando o ricerche mirate per scoprire minacce nascoste.

Visualizzare un avviso o eseguire di nuovo un'indagine

Il pannello di indagine ti consente di eseguire le seguenti azioni:

Visualizza avviso: apre i dettagli dell'avviso nella visualizzazione Google SecOps SIEM.
Esegui di nuovo l'indagine: esegue di nuovo l'analisi per lo stesso avviso.

Passi successivi consigliati

Per tutte le indagini, Gemini fornisce ulteriori passaggi. Questi passaggi consigliano agli analisti azioni o origini dati aggiuntive da esplorare.

Man mano che l'agente viene aggiornato, questi suggerimenti possono essere ampliati per includere indicazioni per la correzione.

Feedback

Ogni indagine include le icone thumb_up Mi piace e thumb_down Non mi piace per raccogliere feedback. Concentra il tuo feedback sul verdetto di gravità, perché questo aiuta a perfezionare la classificazione delle minacce di Gemini.

Audit logging di Cloud

Per attivare l'audit logging per il TIN:

Nella console Google Cloud Google, vai a IAM > Logging di controllo.
Cerca API Chronicle.
Nella scheda Tipi di autorizzazione del riquadro API Chronicle, seleziona la casella di controllo Lettura amministratore.

Visualizza audit log

Per visualizzare gli audit log:

Nella console Google Cloud Google, vai a Monitoraggio > Esplora log.
Cerca i log che vuoi visualizzare.
- Per visualizzare tutti i log di controllo di Google SecOps, cerca protoPayload.serviceName: "chronicle.googleapis.com".
- Per visualizzare solo i log TIN, cerca i metodi correlati.
  
  Ad esempio, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.