Creare e modificare un playbook con Gemini

Supportato in:

Puoi utilizzare Gemini per semplificare le tue operazioni di sicurezza imparando a creare e modificare playbook utilizzando prompt di base in linguaggio naturale.

Crea un playbook utilizzando i prompt

Per creare un playbook utilizzando i prompt di Gemini:

  1. Vai a Risposta > Playbook.

  2. Fai clic su Aggiungi Aggiungi e crea un nuovo playbook.

  3. Scegli la cartella per il playbook e l'ambiente a cui si applica.

  4. Fai clic su Crea.

  5. Nel nuovo riquadro del playbook, seleziona Crea playbook con Gemini.

  6. Nel riquadro dei prompt, inserisci un prompt completo e ben strutturato in inglese. Per ulteriori informazioni su come scrivere un prompt del playbook, consulta Scrivere prompt per la creazione di playbook Gemini.

  7. Fai clic su Genera playbook. Viene visualizzato un riquadro di anteprima con il playbook generato. Se necessario, fai clic su Modifica Modifica per perfezionare il prompt.

  8. Fai clic su Crea playbook.

Modificare un playbook utilizzando i prompt

  1. Seleziona il playbook richiesto e poi Modifica playbook con Gemini.
  2. Aggiungi le modifiche necessarie. Un riquadro di anteprima con il playbook modificato mostra le versioni precedenti e successive. Fai clic su Indietro e perfeziona il prompt, se necessario.
  3. Al termine delle modifiche, fai clic su Modifica playbook.

Fornire feedback sui playbook creati da Gemini

Seleziona una delle opzioni fornite e aggiungi un feedback aggiuntivo:

  • Se i risultati del playbook sono buoni, fai clic su thumb_up Mi piace. Puoi aggiungere ulteriori informazioni nel campo Feedback aggiuntivo.
  • Se i risultati del playbook non sono stati quelli previsti, fai clic su thumb_down Non mi piace.

Scrivere prompt per la creazione di playbook Gemini

La funzionalità Playbook Gemini crea playbook di Google SecOps (inclusi trigger, azioni, blocchi e condizioni) in base al tuo input in linguaggio naturale. Per generare un playbook efficace, devi inserire prompt chiari, specifici e ben strutturati. La qualità dell'output è direttamente influenzata dalla qualità dell'input.

Funzionalità di creazione di playbook con Gemini

Con la funzionalità di creazione dei playbook di Gemini puoi:

  • Crea nuovi playbook con azioni, trigger, flussi e blocchi.
  • Utilizzare tutte le integrazioni commerciali e personalizzate scaricate.
  • Inserisci azioni, blocchi e nomi di integrazione specifici nel prompt come passaggi del playbook.
  • Comprendere i prompt per descrivere il flusso in cui non vengono specificati integrazioni e nomi specifici.
  • Utilizza i flussi di condizioni come supportato nelle funzionalità di risposta SOAR.
  • Rileva quale trigger è necessario per il playbook.

Quando crei playbook utilizzando i prompt, non puoi:

  • Crea blocchi del playbook.
  • Utilizza le azioni parallele nei playbook.
  • Utilizza integrazioni che non sono state scaricate e installate.
  • Utilizza le istanze di integrazione.

Funzionalità di modifica dei playbook con Gemini

Con la funzionalità di modifica del playbook di Gemini puoi:

  • Aggiungi i passaggi del playbook in qualsiasi punto del playbook.
  • Elimina qualsiasi passaggio del playbook.
  • Modifica l'attivatore del playbook.
  • Sposta i passaggi nel playbook.
  • Sostituisci azioni, blocchi o integrazioni con le loro controparti corrispondenti.

Non puoi eseguire le seguenti operazioni quando modifichi i playbook utilizzando i prompt:

  • Modifica le condizioni.

Creare prompt efficaci

Per assicurarti che la funzionalità Playbook di Gemini generi il flusso di lavoro più accurato e automatizzato possibile, ti consigliamo di seguire queste best practice per scrivere i prompt in linguaggio naturale:

  • Sii specifico con le integrazioni: utilizza nomi di integrazione specifici (ad esempio "Arricchisci con VirusTotal") solo se l'integrazione è già installata e configurata nel tuo ambiente.

  • Sfrutta la specializzazione di Gemini: Gemini è progettato per creare playbook in linea con la risposta agli incidenti, il rilevamento delle minacce e i flussi di lavoro di sicurezza automatizzati. Personalizza i prompt in base a questi casi d'uso relativi alla sicurezza.

  • Definisci la logica: assicurati che il prompt descriva chiaramente la logica completa:

    • Inizia con un obiettivo chiaro (ad esempio, la gestione degli avvisi di malware).
    • Specifica l'attivatore che attiva il playbook (ad esempio, alla ricezione di un avviso).
    • Specifica le azioni (ad esempio, arricchire i dati, mettere in quarantena i file).
    • Includi la condizione per queste azioni (ad esempio, in base ai risultati dell'analisi delle minacce).

Esempi di prompt per la creazione di playbook di Gemini

Questa sezione mostra esempi pratici che evidenziano come obiettivi chiari, trigger definiti, azioni specifiche e risposte condizionali collaborano per creare flussi di lavoro di sicurezza automatizzati ed efficaci.

Esempio: prompt con il nome dell'integrazione

L'esempio seguente mostra un prompt ben strutturato che utilizza il nome di un'integrazione:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Questo prompt contiene i quattro componenti definiti in precedenza:

  • Obiettivo chiaro: ha un obiettivo definito, ovvero la gestione degli avvisi relativi al malware.
  • Attivatore specifico: l'attivazione si basa su un evento specifico, la ricezione di un avviso di malware.
  • Azioni del playbook: arricchisce un'entità SOAR di Google Security Operations con dati provenienti da un'integrazione di terze parti (VirusTotal).
  • Risposta condizionale: specifica una condizione basata sui risultati precedenti. Ad esempio, se l'hash del file risulta dannoso, il file deve essere messo in quarantena.

Esempio: prompt per flusso di azioni

Il seguente esempio mostra un prompt ben strutturato, ma descrive il flusso senza menzionare il nome specifico dell'integrazione.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

La funzionalità di creazione di playbook di Gemini è in grado di prendere questa descrizione di un'azione, ad esempio arricchire un hash di file, e di esaminare le integrazioni installate per trovare quella più adatta.

La funzionalità di creazione del playbook di Gemini può scegliere solo tra le integrazioni già installate nel tuo ambiente.

Trigger personalizzati

Oltre a utilizzare i trigger standard, puoi personalizzare un trigger nel prompt del playbook. Puoi specificare segnaposto per i seguenti oggetti:

  • Avviso
  • Evento
  • Entità
  • Ambiente
  • Testo libero

Nell'esempio seguente, il testo libero viene utilizzato per creare un trigger eseguito per tutte le email della cartella Email sospette, ad eccezione di quelle che contengono la parola [TEST] nell'oggetto.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Esempio: prompt ben strutturati

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Creare playbook da prompt di grandi dimensioni in formato libero

Puoi anche creare un playbook da un prompt dettagliato contenente testo in formato libero. Ad esempio, crea un prompt che descriva i passaggi di correzione per un attacco informatico specifico. Più descrivi con precisione lo scenario, maggiore sarà l'accuratezza del playbook generato.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.