Cómo crear y editar una guía con Gemini

Compatible con:

Puedes usar Gemini para optimizar tus operaciones de seguridad. Para ello, aprende a crear y editar guías con instrucciones básicas en lenguaje natural.

Crea una guía con instrucciones

Para crear una guía con instrucciones de Gemini, haz lo siguiente:

  1. Ve a Respuesta > Playbooks.

  2. Haz clic en Agregar Agregar y crea un nuevo plan de acción.

  3. Elige la carpeta de tu manual y el entorno al que se aplica.

  4. Haz clic en Crear.

  5. En el panel de la guía nueva, selecciona Crear guía con Gemini.

  6. En el panel de instrucciones, ingresa una instrucción integral y bien estructurada en inglés. Para obtener más información sobre cómo escribir una instrucción para crear una guía, consulta Escribe instrucciones para crear guías de Gemini.

  7. Haz clic en Generate Playbook. Se muestra un panel de vista previa con la guía generada. Haz clic en editar Editar para definir mejor la instrucción, si es necesario.

  8. Haz clic en Crear Playbook.

Cómo editar una guía con instrucciones

  1. Selecciona la guía requerida y, luego, Editar guía con Gemini.
  2. Agrega los cambios necesarios. Un panel de vista previa con el manual editado te muestra las versiones anterior y posterior. Haz clic en Atrás y define mejor la instrucción según sea necesario.
  3. Cuando termines de realizar los cambios, haz clic en Editar guía.

Proporciona comentarios sobre las guías creadas por Gemini

Selecciona una de las opciones proporcionadas y agrega comentarios adicionales:

  • Si los resultados de la guía son buenos, haz clic en thumb_up Me gusta. Puedes agregar más información en el campo Comentarios adicionales.
  • Si los resultados de la guía no fueron los esperados, haz clic en thumb_down No me gusta.

Escribe instrucciones para crear guías con Gemini

La función Gemini Playbook crea guías de Google SecOps (incluidos activadores, acciones, bloques y condiciones) según tu entrada en lenguaje natural. Para generar un manual eficaz, debes ingresar instrucciones claras, específicas y bien estructuradas. La calidad del resultado se ve directamente influenciada por la calidad de la entrada.

Funciones de creación de guías con Gemini

Con la función de creación de guías de Gemini, puedes hacer lo siguiente:

  • Crea guías nuevas con acciones, activadores, flujos y bloques.
  • Usar todas las integraciones comerciales y personalizadas descargadas
  • Coloca acciones, bloques y nombres de integración específicos en la instrucción como pasos de la guía.
  • Comprende las instrucciones para describir el flujo en el que no se proporcionan integraciones ni nombres específicos.
  • Usar flujos de condiciones, como se admite en las capacidades de respuesta de SOAR
  • Detecta qué activador es necesario para la guía.

No puedes hacer lo siguiente cuando creas guías con instrucciones:

  • Crea bloques de guías.
  • Usa acciones paralelas en las guías.
  • Usar integraciones que no se hayan descargado ni instalado
  • Usa instancias de integración.

Funciones de edición de guías con Gemini

Con la función de edición de la guía de Gemini, puedes hacer lo siguiente:

  • Agrega pasos de la guía en cualquier parte de la guía.
  • Borrar cualquier paso de la guía
  • Modificar el activador de la guía
  • Mueve pasos en la guía.
  • Reemplaza acciones, bloques o integraciones por sus contrapartes correspondientes.

No puedes hacer lo siguiente cuando editas guiones con mensajes:

  • Editar condiciones

Cómo crear instrucciones eficaces

Para asegurarte de que la función de Guía de Gemini genere el flujo de trabajo más preciso y automatizado posible, te recomendamos que sigas estas prácticas recomendadas para escribir tus instrucciones en lenguaje natural:

  • Sé específico con las integraciones: Usa nombres de integración específicos (por ejemplo, "Enriquecer con VirusTotal") solo si la integración ya está instalada y configurada en tu entorno.

  • Aprovecha la especialización de Gemini: Gemini está diseñado para crear guías que se alineen con la respuesta ante incidentes, la detección de amenazas y los flujos de trabajo de seguridad automatizados. Adapta tus instrucciones a estos casos de uso de seguridad.

  • Define la lógica: Asegúrate de que tu instrucción detalle claramente la lógica completa:

    • Comienza con un objetivo claro (por ejemplo, administrar alertas de software malicioso).
    • Especifica el activador que activa la guía (por ejemplo, al recibir una alerta).
    • Detalla las acciones (por ejemplo, enriquecer datos, poner en cuarentena archivos).
    • Incluye la condición para esas acciones (por ejemplo, en función de los resultados del análisis de amenazas).

Ejemplos de instrucciones para crear guías con Gemini

En esta sección, se muestran ejemplos prácticos que destacan cómo los objetivos claros, los activadores definidos, las acciones específicas y las respuestas condicionales funcionan en conjunto para crear flujos de trabajo de seguridad automatizados y eficaces.

Ejemplo: Instrucción con el nombre de la integración

En el siguiente ejemplo, se muestra una instrucción bien estructurada que usa el nombre de una integración:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esta instrucción contiene los cuatro componentes definidos anteriormente:

  • Objetivo claro: Tiene un objetivo definido, que es controlar las alertas de software malicioso.
  • Activador específico: La activación se basa en un evento específico, como recibir una alerta de software malicioso.
  • Acciones de la guía: Mejora una entidad de SOAR de Google Security Operations con datos de una integración de terceros (VirusTotal).
  • Respuesta condicional: Especifica una condición que se basa en resultados anteriores. Por ejemplo, si se detecta que el hash del archivo es malicioso, se debe poner en cuarentena.

Ejemplo: Instrucción por flujo de acción

En el siguiente ejemplo, se muestra una instrucción bien estructurada, pero se describe el flujo sin mencionar el nombre específico de la integración.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La función de creación de guías de Gemini puede tomar esta descripción de una acción (enriquecer un hash de archivo) y buscar entre las integraciones instaladas para encontrar la que mejor se adapte a esta acción.

La función de creación de guías de Gemini solo puede elegir entre las integraciones que ya están instaladas en tu entorno.

Activadores personalizados

Además de usar activadores estándar, puedes personalizar un activador en la instrucción del playbook. Puedes especificar marcadores de posición para los siguientes objetos:

  • Alerta
  • Evento
  • Entidad
  • Entorno
  • Texto libre

En el siguiente ejemplo, se usa texto libre para crear un activador que se ejecuta para todos los correos electrónicos de la carpeta correos electrónicos sospechosos, excepto para aquellos que contienen la palabra [PRUEBA] en el asunto.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Ejemplo: Instrucciones bien estructuradas

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Cómo crear guías a partir de instrucciones extensas de formato libre

También puedes crear un manual a partir de una instrucción detallada que contenga texto de formato libre. Por ejemplo, crea una instrucción que describa los pasos de corrección para un ciberataque específico. Cuanto más precisamente describas la situación, mayor será la precisión de la guía generada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.