Playbook mit Gemini erstellen und bearbeiten

Unterstützt in:

Mit Gemini können Sie Ihre Sicherheitsvorgänge optimieren, indem Sie lernen, wie Sie Playbooks mit einfachen Prompts in natürlicher Sprache erstellen und bearbeiten.

Playbook mit Prompts erstellen

So erstellen Sie ein Playbook mit Gemini-Prompts:

  1. Klicken Sie auf Antwort > Playbooks.

  2. Klicken Sie auf Hinzufügen Hinzufügen, um ein neues Playbook zu erstellen.

  3. Wählen Sie den Ordner für Ihr Playbook und die Umgebung aus, auf die es angewendet werden soll.

  4. Klicken Sie auf Erstellen.

  5. Wählen Sie im neuen Playbook-Bereich Playbook mit Gemini erstellen aus.

  6. Geben Sie im Prompt-Bereich einen umfassenden und gut strukturierten Prompt auf Englisch ein. Weitere Informationen zum Schreiben eines Playbook-Prompts finden Sie unter Prompts für die Erstellung von Gemini-Playbooks schreiben.

  7. Klicken Sie auf Playbook generieren. Ein Vorschaufenster mit dem generierten Playbook wird angezeigt. Klicken Sie auf Bearbeiten Bearbeiten, um den Prompt bei Bedarf zu optimieren.

  8. Klicken Sie auf Playbook erstellen.

Playbook mit Prompts bearbeiten

  1. Wählen Sie das gewünschte Playbook und dann Playbook mit Gemini bearbeiten aus.
  2. Nehmen Sie die erforderlichen Änderungen vor. Im Vorschaufenster mit dem bearbeiteten Playbook sehen Sie die Versionen vor und nach der Bearbeitung. Klicken Sie auf Zurück und optimieren Sie den Prompt nach Bedarf.
  3. Wenn Sie alle Änderungen vorgenommen haben, klicken Sie auf Playbook bearbeiten.

Feedback zu von Gemini erstellten Playbooks geben

Wählen Sie eine der angezeigten Optionen aus und fügen Sie zusätzliches Feedback hinzu:

  • Wenn die Playbook-Ergebnisse gut sind, klicken Sie auf thumb_up Mag ich. Im Feld Zusätzliches Feedback können Sie weitere Informationen hinzufügen.
  • Wenn die Playbook-Ergebnisse nicht wie erwartet waren, klicken Sie auf thumb_down Mag ich nicht.

Prompts für die Erstellung von Gemini-Playbooks schreiben

Mit der Funktion Gemini Playbook werden Google SecOps-Playbooks (einschließlich Trigger, Aktionen, Blöcke und Bedingungen) auf Grundlage Ihrer Eingabe in natürlicher Sprache erstellt. Damit ein effektives Playbook generiert werden kann, müssen Sie klare, spezifische und gut strukturierte Prompts eingeben. Die Qualität der Ausgabe wird direkt von der Qualität der Eingabe beeinflusst.

Funktionen zum Erstellen von Playbooks mit Gemini

Mit der Funktion zum Erstellen von Playbooks mit Gemini haben Sie folgende Möglichkeiten:

  • Erstellen Sie neue Playbooks mit Aktionen, Triggern, Abläufen und Blöcken.
  • Alle heruntergeladenen kommerziellen und benutzerdefinierten Integrationen verwenden
  • Geben Sie bestimmte Aktionen, Blöcke und Integrationsnamen im Prompt als Playbook-Schritte an.
  • Prompts verstehen, in denen der Ablauf beschrieben wird, ohne dass bestimmte Integrationen und Namen angegeben werden.
  • Verwenden Sie Bedingungsabläufe, wie sie in den SOAR-Reaktionsfunktionen unterstützt werden.
  • Ermitteln Sie, welcher Trigger für das Playbook erforderlich ist.

Folgendes ist nicht möglich, wenn Sie Playbooks mit Prompts erstellen:

  • Playbook-Blöcke erstellen
  • Parallele Aktionen in Playbooks verwenden
  • Verwenden Sie Integrationen, die nicht heruntergeladen und installiert wurden.
  • Integrationsinstanzen verwenden

Funktionen der Playbook-Bearbeitung mit Gemini

Mit der Bearbeitungsfunktion für Gemini-Playbooks haben Sie folgende Möglichkeiten:

  • Sie können Playbook-Schritte an einer beliebigen Stelle im Playbook hinzufügen.
  • Sie können jeden Playbook-Schritt löschen.
  • Playbook-Trigger ändern.
  • Schritte im Playbook verschieben
  • Ersetzen Sie Aktionen, Blöcke oder Integrationen durch die entsprechenden Gegenstücke.

Folgendes ist nicht möglich, wenn Sie Playbooks mit Prompts bearbeiten:

  • Bedingungen bearbeiten

Effektive Prompts erstellen

Damit die Gemini Playbook-Funktion einen möglichst genauen und automatisierten Workflow generiert, empfehlen wir Ihnen, die folgenden Best Practices für das Verfassen von Prompts in natürlicher Sprache zu beachten:

  • Integrationen konkret angeben: Verwenden Sie bestimmte Integrationsnamen (z. B. „mit VirusTotal anreichern“) nur, wenn die Integration bereits in Ihrer Umgebung installiert und konfiguriert ist.

  • Gemini-Spezialisierung nutzen: Gemini wurde entwickelt, um Playbooks zu erstellen, die auf die Reaktion auf Vorfälle, die Erkennung von Bedrohungen und automatisierte Sicherheits-Workflows abgestimmt sind. Passen Sie Ihre Prompts an diese Sicherheitsanwendungsfälle an.

  • Logik definieren: Achten Sie darauf, dass in Ihrem Prompt die vollständige Logik klar beschrieben wird:

    • Beginnen Sie mit einem klaren Ziel, z. B. der Verwaltung von Malware-Warnungen.
    • Geben Sie den Trigger an, der das Playbook aktiviert (z. B. beim Empfang einer Benachrichtigung).
    • Geben Sie die Aktionen an, z. B. Daten anreichern oder Dateien unter Quarantäne stellen.
    • Geben Sie die Bedingung für diese Aktionen an, z. B. basierend auf den Ergebnissen der Bedrohungsanalyse.

Beispiel-Prompts für die Erstellung von Gemini-Playbooks

In diesem Abschnitt finden Sie praktische Beispiele, die veranschaulichen, wie klare Ziele, definierte Trigger, spezifische Aktionen und bedingte Antworten zusammenwirken, um effektive, automatisierte Sicherheits-Workflows zu erstellen.

Beispiel: Prompt mit Integrationsname

Das folgende Beispiel zeigt einen gut strukturierten Prompt mit einem Integrationsnamen:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Dieser Prompt enthält die vier oben definierten Komponenten:

  • Klares Ziel: Es gibt ein definiertes Ziel, nämlich den Umgang mit Malware-Warnungen.
  • Bestimmter Trigger: Die Aktivierung basiert auf einem bestimmten Ereignis, z. B. dem Erhalt einer Malware-Warnung.
  • Playbook-Aktionen: Eine Google Security Operations SOAR-Entität wird mit Daten aus einer Drittanbieterintegration (VirusTotal) angereichert.
  • Bedingte Antwort: Gibt eine Bedingung an, die auf vorherigen Ergebnissen basiert. Wenn beispielsweise festgestellt wird, dass der Dateihash schädlich ist, sollte die Datei unter Quarantäne gestellt werden.

Beispiel: Prompt nach Aktionsablauf

Das folgende Beispiel zeigt einen gut strukturierten Prompt, beschreibt den Ablauf jedoch ohne Angabe des spezifischen Integrationsnamens.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Die Funktion zum Erstellen von Gemini-Playbooks kann diese Beschreibung einer Aktion – einen Datei-Hash anreichern – verwenden und die installierten Integrationen durchsuchen, um diejenige zu finden, die am besten zu dieser Aktion passt.

Für die Funktion zum Erstellen von Gemini-Playbooks können nur Integrationen ausgewählt werden, die bereits in Ihrer Umgebung installiert sind.

Benutzerdefinierte Trigger

Zusätzlich zu Standard-Triggern können Sie einen Trigger im Playbook-Prompt anpassen. Sie können Platzhalter für die folgenden Objekte angeben:

  • Benachrichtigung
  • Ereignis
  • Entität
  • Umgebung
  • Freier Text

Im folgenden Beispiel wird Freitext verwendet, um einen Trigger zu erstellen, der für alle E‑Mails aus dem Ordner Verdächtige E‑Mails ausgeführt wird, mit Ausnahme der E‑Mails, die das Wort [TEST] in der Betreffzeile enthalten.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Beispiel: Gut strukturierte Prompts

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Playbooks aus umfangreichen Prompts im freien Format erstellen

Sie können auch ein Playbook aus einem detaillierten Prompt mit Freitext erstellen. Sie können beispielsweise einen Prompt erstellen, in dem die Schritte zur Behebung eines bestimmten Cyberangriffs beschrieben werden. Je genauer Sie das Szenario beschreiben, desto genauer ist das generierte Playbook.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten