使用 Triage and Investigation Agent (TIN) 调查提醒

支持的平台：

Google SecOps

Triage and Investigation Agent (TIN) 是一款嵌入在 Google Security Operations 中的 AI 赋能调查助理。它会确定提醒是真阳性还是假阳性，然后提供评估的简要说明。

TIN 会使用 Mandiant 原则和行业最佳实践来分析 Google SecOps 中的提醒。它会评估传入的提醒、执行调查计划，并提供结构化分析，其中包含其发现和推理。

如需查看使用该代理所需的 IAM 权限列表，请参阅 Triage and Investigation Agent (TIN)。

调查工具

智能体使用以下内置工具来完成分析：

动态搜索查询：在 SecOps 中运行和优化搜索，以收集有关警报的更多背景信息。
GTI 丰富化：使用 Google Threat Intelligence (GTI) 数据（包括网域、网址和哈希）丰富 IoC。
命令行分析：分析命令行，以自然语言解释操作。
进程树重建：分析提醒中的进程，以显示相关系统活动的完整序列。

触发 TIN

您可以自动或手动触发 TIN。每个租户每小时最多可以运行 10 次调查（5 次手动调查和 5 次自动调查）。每次调查通常平均在 60 秒内完成，最多运行 20 分钟。没有调查队列。代理不会自动分析超出限额的提醒。

自动调查

代理会自动调查包含具有相关 metadata.log_type 值的事件的提醒。

下表列出了受支持的 metadata.log_type 值及其来源：

来源	`metadata.log_type` 个值
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
其他	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

人工调查

如需手动运行调查，请执行以下操作：

在 Google SecOps 中，前往提醒和 IoC 页面。
选择一个提醒，然后点击运行调查。

您还可以前往相应支持请求中的提醒，并针对该提醒运行调查。流程完成后，横幅会更新为查看调查。您可以点击此横幅来查看调查的详细信息。

前往调查

您可以在 Google SecOps 中随时访问以往或正在进行的调查。

在 Google SecOps 界面中点击。
点击导航面板中的。
点击调查列表旁边的 keyboard_arrow_down 以展开面板。
在列表中，选择相应项以打开调查结果。

每个调查条目都包含提醒名称、完成时间和 Gemini 调查摘要。如果同一提醒被多次调查，每次调查都会在调查列表中显示为单独的条目。

查看调查

每次调查都会在详细视图中打开，其中总结了 Gemini 的分析、推理以及所用的支持数据。

此视图包含以下组件：

摘要
调查时间安排
查看提醒或重新运行调查
建议的后续步骤
反馈

摘要

在面板顶部，“Gemini 总结”部分简要介绍了相应提醒和调查结果。

摘要提供以下信息：

处置：表示 Gemini 是否确定相应提醒为真阳性或假阳性。
置信度：描述 Gemini 对其评估的置信度。此评估基于提醒和可用的调查数据。
总结说明：描述了提醒以及 Gemini 得出结论的方式。

调查时间轴

TIN 调查遵循结构化的多阶段时间表，旨在将原始提醒转化为可据以采取行动的情报。虽然这些中间步骤主要供代理用于构建上下文和优化分析，但它们也会显示在网页界面中的调查时间轴内，让安全分析师清楚地了解代理的调查进度。

初始评估和风险优先级划分

调查首先要立即评估提醒，以确定基准背景信息。在此阶段，代理会自动分析提醒详细信息和元数据，以识别置信度较高的良性活动。如果提醒被归类为低风险，代理会结束调查。

情境丰富和证据收集

该代理会执行多个并行分析步骤，利用内部和外部情报全面了解可疑活动：

Google Threat Intelligence (GTI) 丰富化：根据 Google Threat Intelligence 和 VirusTotal 识别和评估入侵迹象 (IoC)，例如文件哈希、IP 地址和网域，以识别已知的恶意实体。
实体上下文图 (ECG) 分析：检索流行度数据（例如实体首次或最后一次出现的时间），以提供更深层次的环境背景信息并分析实体之间的关系。
网络上下文收集：通过执行有针对性的搜索来识别可疑模式，从而提取与网络流量相关的其他上下文。
案例元数据集成：从提醒所属的案例中检索更广泛的背景信息，并将标签和优先级等元数据纳入调查。
进程树构建：构建系统进程的执行层次结构，帮助分析师准确了解可疑操作的启动方式以及后续执行的操作。

自适应调查

根据之前调查步骤中的发现，智能体会动态确定下一步行动：

评估发现的结果：评估之前步骤中收集的信息，以发现潜在的缺口或新的调查途径。
执行深入研究：迭代生成新方案并执行专业工具，例如 GTI 丰富、ECG 分析、高级命令行分析或有针对性的搜索，以发现隐藏的威胁。

查看提醒或重新运行调查

借助调查面板，您可以执行以下操作：

查看提醒：在 Google SecOps SIEM 视图中打开提醒详情。
重新运行调查：针对同一提醒重新运行分析。

建议的后续步骤

对于所有调查，Gemini 都会提供进一步的调查步骤。这些步骤会建议分析师探索其他操作或数据源。

随着代理的更新，这些建议可以扩展到包含补救指导。

反馈

每项调查都包含 thumb_up “我喜欢”图标和 thumb_down “不喜欢”图标，用于收集反馈。请重点针对严重程度判定提供反馈，因为这有助于改进 Gemini 的威胁分类。

Cloud Audit Logging

如需为 TIN 启用审核日志记录，请执行以下操作：

在 Google Google Cloud 控制台中，依次前往 IAM > 审核日志记录。
搜索 Chronicle API。
在 Chronicle API 面板的权限类型标签页中，选中管理员读取复选框。

查看审核日志

如需查看审核日志，请执行以下操作：

在 Google Google Cloud 控制台中，依次前往 Monitoring > Logs Explorer。
搜索要查看的日志。
- 如需查看所有 Google SecOps 审核日志，请搜索 protoPayload.serviceName: "chronicle.googleapis.com"。
- 如需仅查看 TIN 日志，请搜索相关方法。
  
  例如，protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" 和 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"。