Gemini を使用してハンドブックを作成、編集する

以下でサポートされています。

Gemini を使用して、基本的な自然言語プロンプトを使用してハンドブックを作成、編集する方法を学習し、セキュリティ オペレーションを効率化できます。

プロンプトを使用してプレイブックを作成する

Gemini プロンプトを使用してハンドブックを作成する手順は次のとおりです。

  1. [レスポンス] > [ハンドブック] に移動します。

  2. [ 追加 追加] をクリックして、新しいハンドブックを作成します。

  3. プレイブックのフォルダと、適用する環境を選択します。

  4. [作成] をクリックします。

  5. 新しいハンドブック ペインで、[Gemini を使用してハンドブックを作成する] を選択します。

  6. プロンプト ペインに、包括的で構造化されたプロンプトを英語で入力します。ハンドブックのプロンプトの作成方法については、Gemini ハンドブック作成用のプロンプトを作成するをご覧ください。

  7. [Generate Playbook] をクリックします。生成された Playbook のプレビュー ペインが表示されます。必要に応じて、[ 編集 編集] をクリックしてプロンプトを絞り込みます。

  8. [ハンドブックを作成] をクリックします。

プロンプトを使用してハンドブックを編集する

  1. 必要なハンドブックを選択し、[Gemini でハンドブックを編集] を選択します。
  2. 必要な変更を加えます。編集したプレイブックのプレビュー ペインに、編集前と編集後のバージョンが表示されます。必要に応じて [戻る] をクリックしてプロンプトを調整します。
  3. 変更が完了したら、[プレイブックを編集] をクリックします。

Gemini によって作成されたハンドブックに関するフィードバックを送信する

表示されたオプションから 1 つを選択し、追加のフィードバックを入力します。

  • プレイブックの結果が良好な場合は、 thumb_up 高く評価)をクリックします。[その他のフィードバック] フィールドで詳細情報を追加できます。
  • 結果が期待どおりでない場合は、 thumb_down 低評価をクリックします。

Gemini ハンドブック作成用のプロンプトを作成する

Gemini Playbook 機能は、自然言語の入力に基づいて Google SecOps ハンドブック(トリガー、アクション、ブロック、条件を含む)を作成します。効果的なハンドブックを生成するには、明確で具体的で構造化されたプロンプトを入力する必要があります。出力の品質は、入力の品質に直接影響されます。

Gemini を使用したハンドブックの作成機能

Gemini ハンドブックの作成機能を使用すると、次のことができます。

  • アクション、トリガー、フロー、ブロックを含む新しいハンドブックを作成します。
  • ダウンロードしたすべての商用統合とカスタム統合を使用します。
  • 特定の操作、ブロック、統合名をハンドブックのステップとしてプロンプトに入力します。
  • 特定の統合や名前が指定されていないフローを説明するプロンプトを理解します。
  • SOAR の対応機能でサポートされている条件フローを使用します。
  • ハンドブックに必要なトリガーを検出します。

プロンプトを使用してハンドブックを作成する場合、次のことはできません。

  • ハンドブック ブロックを作成します。
  • ハンドブックで並列アクションを使用します。
  • ダウンロードおよびインストールされていない統合を使用する。
  • 統合インスタンスを使用します。

Gemini を使用したハンドブックの編集機能

Gemini ハンドブックの編集機能を使用すると、次のことができます。

  • ハンドブックの任意の位置にハンドブックの手順を追加します。
  • ハンドブックの手順を削除する。
  • ハンドブックのトリガーを変更します。
  • ハンドブック内で手順を移動します。
  • アクション、ブロック、インテグレーションを対応するアクション、ブロック、インテグレーションに置き換えます。

プロンプトを使用してプレイブックを編集する場合、次のことはできません。

  • 条件を編集します。

効果的なプロンプトを作成する

Gemini Playbook 機能で可能な限り正確な自動ワークフローを生成するには、自然言語プロンプトの作成に次のベスト プラクティスを適用することをおすすめします。

  • 統合を具体的に指定する: 統合が環境にすでにインストールされ、構成されている場合にのみ、特定の統合名(「VirusTotal で拡充」など)を使用します。

  • Gemini の専門知識を活用する: Gemini は、インシデント対応、脅威検出、自動化されたセキュリティ ワークフローに沿ったハンドブックを構築するように設計されています。これらのセキュリティ ユースケースに合わせてプロンプトを調整します。

  • ロジックを定義する: プロンプトでロジック全体を明確に記述します。

    • 明確な目標(マルウェア アラートの管理など)から始めます。
    • ハンドブックを有効にするトリガーを指定します(例: アラートを受信したとき)。
    • アクション(データの拡充、ファイルの検疫など)の詳細を記述します。
    • これらのアクションの条件(脅威分析の結果に基づくなど)を含めます。

Gemini ハンドブック作成のプロンプトの例

このセクションでは、明確な目標、定義されたトリガー、特定のアクション、条件付きレスポンスが連携して効果的な自動セキュリティ ワークフローを作成する仕組みを示す実践的な例を紹介します。

例: 統合名を含むプロンプト

次の例は、統合名を使用した構造化されたプロンプトを示しています。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

このプロンプトには、前に定義した 4 つのコンポーネントが含まれています。

  • 明確な目標: マルウェア アラートの処理という明確な目標があります。
  • 特定のトリガー: マルウェア アラートの受信など、特定のイベントに基づいてアクティベーションが行われます。
  • ハンドブック アクション: サードパーティ統合(VirusTotal)のデータを使用して Google Security Operations SOAR エンティティを強化します。
  • 条件付きレスポンス: 以前の結果に基づく条件を指定します。たとえば、ファイル ハッシュが悪意のあるものと判明した場合は、ファイルを隔離する必要があります。

例: アクション フローによるプロンプト

次の例は、適切に構造化されたプロンプトを示していますが、特定の統合名を明示せずにフローを説明しています。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini ハンドブックの作成機能は、アクションの説明(ファイルハッシュの拡充)を取得し、インストールされている統合を調べて、このアクションに最適な統合を見つけることができます。

Gemini ハンドブックの作成機能では、環境にすでにインストールされている統合のみを選択できます。

カスタマイズされたトリガー

標準のトリガーを使用するだけでなく、プレイブックのプロンプトでトリガーをカスタマイズすることもできます。次のオブジェクトのプレースホルダを指定できます。

  • アラート
  • イベント
  • エンティティ
  • 環境
  • 自由テキスト

次の例では、不審なメールフォルダからのすべてのメール(メールの件名。

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

例: 適切に構造化されたプロンプト

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

大規模な自由形式のプロンプトからハンドブックを作成する

自由形式のテキストを含む詳細なプロンプトからプレイブックを作成することもできます。たとえば、特定のサイバー攻撃の修復手順を説明するプロンプトを作成します。シナリオを正確に記述するほど、生成されるハンドブックの精度が高くなります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。