Crear y editar una guía con Gemini

Disponible en:

Puedes usar Gemini para optimizar tus operaciones de seguridad. Para ello, aprende a crear y editar guías con peticiones básicas en lenguaje natural.

Crear una guía con peticiones

Para crear una guía con peticiones de Gemini, sigue estos pasos:

  1. Ve a Respuesta > Playbooks.

  2. Haz clic en Añadir Añadir y crea un nuevo manual de respuestas.

  3. Elige la carpeta del manual y el entorno al que se aplica.

  4. Haz clic en Crear.

  5. En el nuevo panel de guía, selecciona Crear guía con Gemini.

  6. En el panel de peticiones, escribe una petición completa y bien estructurada en inglés. Para obtener más información sobre cómo escribir una petición para crear un manual de procedimientos, consulta el artículo Escribir peticiones para crear manuales de procedimientos de Gemini.

  7. Haz clic en Generar guía. Se muestra un panel de vista previa con el manual generado. Haz clic en Editar Editar para perfeccionar la petición, si es necesario.

  8. Haz clic en Crear guía.

Editar una guía con peticiones

  1. Selecciona la guía que quieras y, a continuación, Editar guía con Gemini.
  2. Añade los cambios necesarios. En un panel de vista previa con el manual editado, se muestran las versiones anterior y posterior. Haz clic en Atrás y perfecciona la petición según sea necesario.
  3. Cuando hayas terminado de hacer los cambios, haz clic en Editar manual.

Enviar comentarios sobre las guías creadas por Gemini

Selecciona una de las opciones proporcionadas y añade más comentarios:

  • Si los resultados de la guía son buenos, haz clic en thumb_up Me gusta. Puedes añadir más información en el campo Comentarios adicionales.
  • Si los resultados del manual no son los esperados, haz clic en thumb_down No me gusta.

Escribir peticiones para crear una guía de Gemini

La función Guía de Gemini crea guías de Google SecOps (incluidos activadores, acciones, bloques y condiciones) a partir de tus entradas en lenguaje natural. Para generar un manual de estrategias eficaz, debes introducir peticiones claras, específicas y bien estructuradas. La calidad del resultado depende directamente de la calidad de la entrada.

Funciones de creación de guías con Gemini

Puedes hacer lo siguiente con la función de creación de guías de Gemini:

  • Crea nuevas guías con acciones, activadores, flujos y bloques.
  • Usar todas las integraciones comerciales y personalizadas descargadas.
  • Incluye acciones, bloques e integraciones específicos en la petición como pasos de la guía.
  • Entender las peticiones para describir el flujo cuando no se proporcionan integraciones ni nombres específicos.
  • Usa los flujos de condiciones tal como se admiten en las funciones de respuesta de SOAR.
  • Detecta qué activador es necesario para el cuaderno de estrategias.

No puedes hacer lo siguiente al crear guías con peticiones:

  • Crea bloques de guía.
  • Usar acciones paralelas en guías.
  • Usar integraciones que no se hayan descargado ni instalado.
  • Usa instancias de integración.

Funciones de edición de guías con Gemini

Puedes hacer lo siguiente con la función de edición de planes de acción de Gemini:

  • Añade pasos de la guía en cualquier parte de la guía.
  • Elimina cualquier paso de la guía.
  • Modificar el activador de la guía.
  • Mueve los pasos en la guía.
  • Sustituye acciones, bloques o integraciones por sus equivalentes.

No puedes hacer lo siguiente al editar manuales de estrategias con peticiones:

  • Edita las condiciones.

Escribir peticiones eficaces

FPara asegurarte de que la función Guía de Gemini genere el flujo de trabajo más preciso y automatizado posible, te recomendamos que sigas estas prácticas recomendadas para escribir tus peticiones en lenguaje natural:

  • Sé específico con las integraciones: usa nombres de integración específicos (por ejemplo, "enriquecer con VirusTotal") solo si la integración ya está instalada y configurada en tu entorno.

  • Aprovecha la especialización de Gemini: Gemini se ha diseñado para crear guías que se ajusten a la respuesta a incidentes, la detección de amenazas y los flujos de trabajo de seguridad automatizados. Adapta tus peticiones a estos casos prácticos de seguridad.

  • Define la lógica: asegúrate de que tu petición detalla claramente la lógica completa:

    • Empieza con un objetivo claro (por ejemplo, gestionar las alertas de malware).
    • Especifica el activador que activa el manual de procedimientos (por ejemplo, al recibir una alerta).
    • Detalla las acciones (por ejemplo, enriquecer datos o poner en cuarentena archivos).
    • Incluye la condición de esas acciones (por ejemplo, en función de los resultados del análisis de amenazas).

Ejemplos de peticiones para crear guías de Gemini

En esta sección se muestran ejemplos prácticos que destacan cómo los objetivos claros, los activadores definidos, las acciones específicas y las respuestas condicionales se combinan para crear flujos de trabajo de seguridad automatizados y eficaces.

Ejemplo: petición con el nombre de la integración

En el siguiente ejemplo se muestra una petición bien estructurada que incluye el nombre de una integración:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esta petición contiene los cuatro componentes definidos anteriormente:

  • Objetivo claro: tiene un objetivo definido, que es gestionar las alertas de malware.
  • Activador específico: la activación se basa en un evento específico, como recibir una alerta de malware.
  • Acciones de la guía: mejora una entidad de SOAR de Google Security Operations con datos de una integración de terceros (VirusTotal).
  • Respuesta condicional: especifica una condición que se basa en resultados anteriores. Por ejemplo, si se determina que el hash del archivo es malicioso, el archivo debe ponerse en cuarentena.

Ejemplo: flujo de petición por acción

En el siguiente ejemplo se muestra una petición bien estructurada, pero se describe el flujo sin mencionar el nombre de la integración específica.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La función de creación de planes de acción de Gemini puede tomar esta descripción de una acción (enriquecer un hash de archivo) y buscar entre las integraciones instaladas para encontrar la que mejor se adapte a esta acción.

La función de creación de planes de acción de Gemini solo puede elegir entre las integraciones que ya estén instaladas en tu entorno.

Activadores personalizados

Además de usar activadores estándar, puedes personalizar un activador en la petición del manual de procedimientos. Puede especificar marcadores de posición para los siguientes objetos:

  • Alerta
  • Evento
  • Entidad
  • Entorno
  • Texto libre

En el siguiente ejemplo, se usa texto libre para crear un activador que se ejecuta en todos los correos de la carpeta Correo sospechoso, excepto en aquellos que contengan la palabra [TEST] en el asunto.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Ejemplo: Peticiones bien estructuradas

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Crear libros de jugadas a partir de peticiones extensas de formato libre

También puedes crear un manual a partir de una petición detallada que contenga texto de formato libre. Por ejemplo, crea una petición que describa los pasos de corrección de un ciberataque específico. Cuanto más preciso sea el escenario, más exacto será el manual generado.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.