Usar o agente de triagem e investigação (TIN) para investigar alertas

Compatível com:

Google SecOps

O agente de triagem e investigação (TIN, na sigla em inglês) é um assistente de investigação com tecnologia de IA integrado ao Google Security Operations. Ele determina se os alertas são verdadeiros ou falsos positivos e fornece uma explicação resumida da avaliação.

O TIN analisa alertas no Google SecOps usando princípios da Mandiant e práticas recomendadas do setor. Ele avalia os alertas recebidos, executa um plano de investigação e fornece uma análise estruturada que inclui as descobertas e o raciocínio.

Para conferir uma lista das permissões do IAM necessárias para usar o agente, consulte Agente de triagem e investigação (TIN).

Ferramentas de investigação

O agente usa as seguintes ferramentas integradas para concluir a análise:

Consultas dinâmicas de pesquisa: executam e refinam pesquisas no SecOps para coletar mais contexto para o alerta.
Aperfeiçoamento da GTI: aperfeiçoa os IoCs com dados do Google Threat Intelligence (GTI), incluindo domínios, URLs e hashes.
Análise de linha de comando: analisa linhas de comando para explicar ações em linguagem natural.
Reconstrução da árvore de processos: analisa os processos no alerta para mostrar a sequência completa de atividades relacionadas do sistema.

TIN de acionamento

É possível acionar o TIN de forma automática ou manual. Cada locatário pode executar até 10 investigações por hora (5 manuais e 5 automáticas). Cada investigação normalmente é concluída em uma média de 60 segundos e é executada por um máximo de 20 minutos. Não há uma fila de investigações. O agente não analisa automaticamente os alertas gerados além do limite.

Investigações automáticas

O agente investiga automaticamente alertas que contêm eventos com os valores relevantes de metadata.log_type.

A tabela a seguir lista os valores de metadata.log_type compatíveis e as fontes deles:

Origem	`metadata.log_type` valores
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Outro	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigações manuais

Para executar uma investigação manual:

No Google SecOps, acesse a página Alertas e IoCs.
Selecione um alerta e clique em Executar investigação.

Você também pode navegar até um alerta em um caso e executar uma investigação para ele. O banner é atualizado para Ver investigação quando o processo é concluído. Clique nele para ver os detalhes de uma investigação.

Acesse "Investigações".

É possível acessar investigações concluídas ou em andamento de qualquer lugar no Google SecOps.

Clique em na interface do Google SecOps.
Clique em no painel de navegação.
Clique em keyboard_arrow_down ao lado da lista de investigações para abrir o painel.
Na lista, selecione um item para abrir os resultados da investigação.

Cada entrada de investigação inclui o nome do alerta, o tempo de conclusão e o resumo da investigação do Gemini. Se o mesmo alerta for investigado várias vezes, cada investigação vai aparecer como uma entrada separada na lista.

Analisar uma investigação

Cada investigação é aberta em uma visualização detalhada que resume a análise, o raciocínio e os dados de apoio usados pelo Gemini.

Essa visualização tem os seguintes componentes:

Resumo
Linha do tempo da investigação
Ver um alerta ou executar uma investigação novamente
Próximas etapas sugeridas
Feedback

Resumo

Na parte de cima do painel, a seção Resumo do Gemini oferece uma breve descrição do alerta e das descobertas da investigação.

O resumo fornece as seguintes informações:

Disposição: indica se o Gemini determinou que o alerta é um verdadeiro ou falso positivo.
Nível de confiança: descreve a confiança do Gemini na avaliação. Essa avaliação é baseada no alerta e nos dados de investigação disponíveis.
Explicação resumida: descreve o alerta e como o Gemini chegou à conclusão.

Cronograma da investigação

A investigação de TIN segue um cronograma estruturado de várias etapas projetado para transformar alertas brutos em inteligência útil. Embora essas etapas intermediárias sejam usadas principalmente pelo agente para criar contexto e refinar a análise, elas também ficam visíveis na Linha do tempo da investigação na interface da Web, oferecendo aos analistas de segurança uma visibilidade clara do progresso da investigação do agente.

Avaliação inicial e priorização de riscos

A investigação começa com uma avaliação imediata do alerta para estabelecer um contexto de referência. Nessa etapa, o agente analisa automaticamente os detalhes e os metadados do alerta para identificar atividades benignas de alta confiança. Se um alerta for classificado como de baixo risco, o agente vai concluir a investigação.

Aprimoramento contextual e coleta de evidências

O agente executa várias etapas de análise paralela para criar uma imagem abrangente da atividade suspeita usando inteligência interna e externa:

Enriquecimento do Google Threat Intelligence (GTI): identifica e avalia indicadores de comprometimento (IoCs), como hashes de arquivos, endereços IP e domínios, com base no Google Threat Intelligence e no VirusTotal para identificar entidades maliciosas conhecidas.
Análise do gráfico de contexto de entidade (ECG): recupera dados de prevalência, como quando uma entidade foi vista pela primeira ou última vez, para fornecer um contexto ambiental mais profundo e analisar as relações entre entidades.
Coleta de contexto de rede: extrai mais contexto relacionado ao tráfego de rede realizando pesquisas direcionadas para identificar padrões suspeitos.
Integração de metadados do caso: recupera um contexto mais amplo do caso a que o alerta pertence, incorporando metadados como tags e prioridade à investigação.
Construção de árvore de processos: cria a hierarquia de execução dos processos do sistema para ajudar os analistas a entender exatamente como uma ação suspeita foi iniciada e quais ações subsequentes ela realizou.

Investigação adaptativa

Com base nas descobertas das etapas anteriores da investigação, o agente determina dinamicamente a próxima ação:

Avalia descobertas: analisa as informações coletadas nas etapas anteriores para identificar possíveis lacunas ou novas linhas de investigação.
Realiza pesquisas detalhadas: gera novos planos de forma iterativa e executa ferramentas especializadas, como enriquecimento de GTI, análise de ECG, análise avançada de linha de comando ou pesquisas direcionadas para descobrir ameaças ocultas.

Ver um alerta ou executar uma investigação novamente

Com o painel de investigação, você pode fazer o seguinte:

Ver alerta: abre os detalhes do alerta na visualização do SIEM do Google SecOps.
Executar a investigação novamente: executa a análise do mesmo alerta outra vez.

Próximas etapas sugeridas

Em todas as investigações, o Gemini oferece mais etapas de investigação. Essas etapas recomendam outras ações ou fontes de dados para os analistas explorarem.

À medida que o agente é atualizado, essas sugestões podem ser ampliadas para incluir orientações de correção.

Feedback

Cada investigação inclui os ícones thumb_up Gostei e thumb_down Não gostei para coletar feedback. Concentre seu feedback no veredito de gravidade, porque isso ajuda a refinar a classificação de ameaças do Gemini.

Cloud Audit Logging

Para ativar o registro de auditoria do TIN:

No console do Google Google Cloud , acesse IAM > Registro de auditoria.
Pesquise API Chronicle.
Na guia Tipos de permissão do painel API Chronicle, marque a caixa de seleção Leitura de administrador.

Acessar registros de auditoria

Para acessar os registros de auditoria:

No console do Google Google Cloud , acesse Monitoring > Explorador de registros.
Pesquise os registros que você quer acessar.
- Para ver todos os registros de auditoria do Google SecOps, pesquise protoPayload.serviceName: "chronicle.googleapis.com".
- Para ver apenas os registros de TIN, pesquise os métodos relacionados.
  
  Por exemplo, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" e protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.