Créer et modifier un playbook avec Gemini

Compatible avec :

Vous pouvez utiliser Gemini pour rationaliser vos opérations de sécurité en apprenant à créer et à modifier des playbooks à l'aide de requêtes de base en langage naturel.

Créer un playbook à l'aide de requêtes

Pour créer un playbook à l'aide des requêtes Gemini :

  1. Accédez à Réponse > Playbooks.

  2. Cliquez sur add Ajouter, puis créez un playbook.

  3. Choisissez le dossier de votre playbook et l'environnement auquel il s'applique.

  4. Cliquez sur Créer.

  5. Dans le nouveau volet "Playbook", sélectionnez Créer un playbook avec Gemini.

  6. Dans le volet des requêtes, saisissez une requête complète et bien structurée en anglais. Pour savoir comment rédiger un prompt de playbook, consultez Rédiger des prompts pour créer des playbooks Gemini.

  7. Cliquez sur Générer le playbook. Un volet d'aperçu contenant le playbook généré s'affiche. Cliquez sur Modifier Modifier pour affiner la requête, si nécessaire.

  8. Cliquez sur Créer un playbook.

Modifier un playbook à l'aide de requêtes

  1. Sélectionnez le playbook requis, puis Modifier le playbook avec Gemini.
  2. Apportez les modifications nécessaires. Un volet d'aperçu avec le playbook modifié affiche les versions avant et après. Cliquez sur Retour et affinez la requête si nécessaire.
  3. Une fois les modifications terminées, cliquez sur Modifier le playbook.

Envoyer des commentaires sur les playbooks créés par Gemini

Sélectionnez l'une des options proposées et ajoutez des commentaires :

  • Si les résultats du playbook sont bons, cliquez sur thumb_up J'aime. Vous pouvez ajouter des informations dans le champ Commentaires supplémentaires.
  • Si les résultats du playbook ne sont pas ceux attendus, cliquez sur thumb_down Je n'aime pas.

Rédiger des requêtes pour créer des playbooks Gemini

La fonctionnalité Playbook Gemini crée des playbooks Google SecOps (y compris des déclencheurs, des actions, des blocs et des conditions) en fonction de votre saisie en langage naturel. Pour générer un playbook efficace, vous devez saisir des requêtes claires, spécifiques et bien structurées. La qualité du résultat est directement influencée par la qualité de l'entrée.

Fonctionnalités de création de playbooks avec Gemini

Voici ce que vous pouvez faire avec la fonctionnalité de création de playbooks Gemini :

  • Créez des playbooks avec des actions, des déclencheurs, des flux et des blocs.
  • Utiliser toutes les intégrations commerciales et personnalisées téléchargées
  • Indiquez des actions, des blocs et des noms d'intégration spécifiques dans la requête en tant qu'étapes du playbook.
  • Comprendre les requêtes pour décrire le flux sans mentionner d'intégrations ni de noms spécifiques
  • Utilisez les flux de conditions tels qu'ils sont compatibles avec les fonctionnalités de réponse SOAR.
  • Déterminez le déclencheur nécessaire pour le playbook.

Lorsque vous créez des playbooks à l'aide d'instructions, vous ne pouvez pas effectuer les actions suivantes :

  • Créez des blocs de playbook.
  • Utilisez des actions parallèles dans les playbooks.
  • utiliser des intégrations qui n'ont pas été téléchargées ni installées ;
  • Utilisez des instances d'intégration.

Fonctionnalités de modification des playbooks avec Gemini

Voici ce que vous pouvez faire avec la fonctionnalité d'édition de playbooks Gemini :

  • Ajoutez des étapes de playbook où vous le souhaitez dans le playbook.
  • Supprimez une étape de playbook.
  • Modifier le déclencheur du playbook.
  • Déplacez des étapes dans le playbook.
  • Remplacez des actions, des blocs ou des intégrations par leurs équivalents.

Lorsque vous modifiez des playbooks à l'aide de requêtes, vous ne pouvez pas effectuer les actions suivantes :

  • Modifiez les conditions.

Écrire des requêtes efficaces

Pour que la fonctionnalité Guide Gemini génère le workflow le plus précis et le plus automatisé possible, nous vous recommandons de suivre ces bonnes pratiques pour rédiger vos requêtes en langage naturel :

  • Soyez précis avec les intégrations : n'utilisez des noms d'intégration spécifiques (par exemple, "enrichir avec VirusTotal") que si l'intégration est déjà installée et configurée dans votre environnement.

  • Exploitez la spécialisation de Gemini : Gemini est conçu pour créer des playbooks qui s'alignent sur la réponse aux incidents, la détection des menaces et les workflows de sécurité automatisés. Adaptez vos requêtes à ces cas d'utilisation liés à la sécurité.

  • Définissez la logique : assurez-vous que votre requête détaille clairement la logique complète :

    • Commencez par définir un objectif clair (par exemple, gérer les alertes de logiciels malveillants).
    • Spécifiez le déclencheur qui active le playbook (par exemple, lors de la réception d'une alerte).
    • Détaillez les actions (par exemple, enrichir les données, mettre les fichiers en quarantaine).
    • Incluez la condition pour ces actions (par exemple, en fonction des résultats de l'analyse des menaces).

Exemples de requêtes pour créer des playbooks Gemini

Cette section présente des exemples pratiques qui illustrent comment des objectifs clairs, des déclencheurs définis, des actions spécifiques et des réponses conditionnelles fonctionnent ensemble pour créer des workflows de sécurité automatisés et efficaces.

Exemple : requête avec le nom de l'intégration

L'exemple suivant montre une requête bien structurée utilisant un nom d'intégration :

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Cette requête contient les quatre composants définis précédemment :

  • Objectif clair : l'objectif est défini (gérer les alertes de logiciels malveillants).
  • Déclencheur spécifique : l'activation est basée sur un événement spécifique, comme la réception d'une alerte de logiciel malveillant.
  • Actions de playbook : améliorent une entité SOAR Google Security Operations avec des données issues d'une intégration tierce (VirusTotal).
  • Réponse conditionnelle : spécifie une condition basée sur les résultats précédents. Par exemple, si le hachage du fichier est jugé malveillant, le fichier doit être mis en quarantaine.

Exemple : Requête par flux d'action

L'exemple suivant montre une requête bien structurée, mais décrit le flux sans mentionner le nom spécifique de l'intégration.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La fonctionnalité de création de playbooks Gemini est capable de prendre cette description d'une action (enrichir un hachage de fichier) et de parcourir les intégrations installées pour trouver celle qui correspond le mieux à cette action.

La fonctionnalité de création de playbooks Gemini ne peut choisir que parmi les intégrations déjà installées dans votre environnement.

Déclencheurs personnalisés

En plus d'utiliser des déclencheurs standards, vous pouvez personnaliser un déclencheur dans l'invite du playbook. Vous pouvez spécifier des espaces réservés pour les objets suivants :

  • Alerte
  • Événement
  • Entité
  • Environnement
  • Texte libre

Dans l'exemple suivant, le texte libre est utilisé pour créer un déclencheur qui s'exécute pour tous les e-mails du dossier E-mails suspects, à l'exception de ceux dont l'objet contient le mot [TEST].

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Exemple : Requêtes bien structurées

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Créer des playbooks à partir de longs prompts en format libre

Vous pouvez également créer un playbook à partir d'une requête détaillée contenant du texte au format libre. Par exemple, créez une requête qui décrit les étapes de correction pour une cyberattaque spécifique. Plus vous décrivez précisément le scénario, plus le playbook généré sera précis.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.