Membuat dan mengedit playbook dengan Gemini

Didukung di:

Anda dapat menggunakan Gemini untuk menyederhanakan operasi keamanan dengan mempelajari cara membuat dan mengedit playbook menggunakan perintah bahasa alami dasar.

Membuat playbook menggunakan perintah

Untuk membuat playbook menggunakan perintah Gemini, lakukan hal berikut:

  1. Buka Respons > Playbook.

  2. Klik tambahkan Tambahkan dan buat playbook baru.

  3. Pilih folder untuk playbook Anda dan lingkungan yang berlaku.

  4. Klik Buat.

  5. Di panel playbook baru, pilih Buat Playbook dengan Gemini.

  6. Di panel perintah, masukkan perintah yang komprehensif dan terstruktur dengan baik dalam bahasa Inggris. Untuk mengetahui informasi selengkapnya tentang cara menulis perintah playbook, lihat artikel Menulis perintah untuk pembuatan playbook Gemini.

  7. Klik Buat Playbook. Panel pratinjau dengan playbook yang dihasilkan akan ditampilkan. Klik edit Edit untuk menyempurnakan perintah, jika diperlukan.

  8. Klik Buat Playbook.

Mengedit playbook menggunakan perintah

  1. Pilih playbook yang diperlukan, lalu pilih Edit Playbook with Gemini.
  2. Tambahkan perubahan yang diperlukan. Panel pratinjau dengan playbook yang diedit akan menampilkan versi sebelum dan sesudah. Klik Kembali dan perbaiki perintah sesuai kebutuhan.
  3. Setelah selesai melakukan perubahan, klik Edit Playbook.

Memberikan masukan untuk playbook yang dibuat oleh Gemini

Pilih salah satu opsi yang disediakan dan tambahkan masukan tambahan:

  • Jika hasil playbook bagus, klik thumb_up Suka. Anda dapat menambahkan informasi selengkapnya di kolom Masukan Tambahan.
  • Jika hasil playbook tidak sesuai harapan, klik thumb_down Tidak suka.

Menulis perintah untuk pembuatan playbook Gemini

Fitur Playbook Gemini membuat playbook Google SecOps (termasuk pemicu, tindakan, pemblokiran, dan kondisi) berdasarkan input bahasa alami Anda. Untuk membuat playbook yang efektif, Anda harus memasukkan perintah yang jelas, spesifik, dan terstruktur dengan baik. Kualitas output dipengaruhi secara langsung oleh kualitas input.

Kemampuan pembuatan playbook dengan Gemini

Anda dapat melakukan hal berikut dengan fitur pembuatan playbook Gemini:

  • Buat playbook baru dengan tindakan, pemicu, alur, dan blok.
  • Gunakan semua integrasi komersial dan kustom yang didownload.
  • Masukkan tindakan, blok, dan nama integrasi tertentu dalam perintah sebagai langkah-langkah playbook.
  • Memahami perintah untuk mendeskripsikan alur yang tidak memberikan integrasi dan nama tertentu.
  • Gunakan alur kondisi sebagaimana didukung dalam kemampuan respons SOAR.
  • Mendeteksi pemicu mana yang diperlukan untuk playbook.

Anda tidak dapat melakukan hal berikut saat membuat playbook menggunakan perintah:

  • Buat blok playbook.
  • Gunakan tindakan paralel dalam playbook.
  • Menggunakan integrasi yang belum didownload dan diinstal.
  • Gunakan instance integrasi.

Kemampuan pengeditan playbook dengan Gemini

Anda dapat melakukan hal berikut dengan fitur pengeditan playbook Gemini:

  • Tambahkan langkah-langkah playbook di mana saja dalam playbook.
  • Hapus langkah playbook apa pun.
  • Ubah pemicu playbook.
  • Pindahkan urutan langkah-langkah di playbook.
  • Ganti tindakan, blok, atau integrasi dengan rekanannya yang sesuai.

Anda tidak dapat melakukan hal berikut saat mengedit playbook menggunakan perintah:

  • Edit ketentuan.

Menyusun perintah yang efektif

Untuk memastikan fitur Playbook Gemini menghasilkan alur kerja yang paling akurat dan otomatis, sebaiknya ikuti praktik terbaik berikut untuk menulis perintah bahasa alami Anda:

  • Bersikap spesifik dengan integrasi: Gunakan nama integrasi tertentu (misalnya, "perkaya dengan VirusTotal") hanya jika integrasi sudah diinstal dan dikonfigurasi di lingkungan Anda.

  • Manfaatkan spesialisasi Gemini: Gemini dirancang untuk membuat playbook yang selaras dengan respons insiden, deteksi ancaman, dan alur kerja keamanan otomatis. Sesuaikan perintah Anda dengan kasus penggunaan keamanan ini.

  • Tentukan logika: Pastikan perintah Anda menjelaskan logika sepenuhnya dengan jelas:

    • Mulailah dengan tujuan yang jelas (misalnya, mengelola pemberitahuan malware).
    • Tentukan pemicu yang mengaktifkan playbook (misalnya, saat menerima pemberitahuan".
    • Jelaskan tindakan (misalnya, memperkaya data, mengarantina file).
    • Sertakan kondisi untuk tindakan tersebut (misalnya, berdasarkan hasil analisis ancaman).

Contoh perintah untuk pembuatan playbook Gemini

Bagian ini menunjukkan contoh praktis yang menyoroti cara kerja tujuan yang jelas, pemicu yang ditentukan, tindakan spesifik, dan respons bersyarat bersama-sama untuk menciptakan alur kerja keamanan otomatis yang efektif.

Contoh: Perintah dengan nama integrasi

Contoh berikut menunjukkan perintah yang terstruktur dengan baik menggunakan nama integrasi:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Perintah ini berisi empat komponen yang ditentukan sebelumnya:

  • Tujuan yang jelas: Memiliki tujuan yang ditentukan, menangani pemberitahuan malware.
  • Pemicu spesifik: Aktivasi didasarkan pada peristiwa tertentu, menerima pemberitahuan malware.
  • Tindakan playbook: Meningkatkan kualitas entitas SOAR Google Security Operations dengan data dari integrasi pihak ketiga (VirusTotal).
  • Respons bersyarat: Menentukan kondisi yang didasarkan pada hasil sebelumnya. Misalnya, jika hash file terbukti berbahaya, file tersebut harus dikarantina.

Contoh: Alur perintah berdasarkan tindakan

Contoh berikut menunjukkan perintah yang terstruktur dengan baik, tetapi menjelaskan alur tanpa menyebutkan nama integrasi tertentu.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Fitur pembuatan playbook Gemini dapat menggunakan deskripsi tindakan ini—memperkaya hash file—dan menelusuri integrasi yang terinstal untuk menemukan integrasi yang paling sesuai dengan tindakan ini.

Fitur pembuatan playbook Gemini hanya dapat memilih dari integrasi yang sudah diinstal di lingkungan Anda.

Pemicu yang disesuaikan

Selain menggunakan pemicu standar, Anda dapat menyesuaikan pemicu di perintah playbook. Anda dapat menentukan placeholder untuk objek berikut:

  • Pemberitahuan
  • Acara
  • Entity
  • Lingkungan
  • Teks bebas

Dalam contoh berikut, teks bebas digunakan untuk membuat pemicu yang dijalankan untuk semua email dari folder email mencurigakan, kecuali email yang berisi kata [TEST] di baris subjek email.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Contoh: Perintah yang terstruktur dengan baik

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Membuat playbook dari perintah bentuk bebas yang panjang

Anda juga dapat membuat playbook dari perintah mendetail yang berisi teks bentuk bebas. Misalnya, buat perintah yang menjelaskan langkah-langkah perbaikan untuk serangan siber tertentu. Makin tepat Anda mendeskripsikan skenario, makin akurat playbook yang dihasilkan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.