Gemini로 플레이북 만들기 및 수정하기

다음에서 지원:

기본적인 자연어 프롬프트를 사용하여 플레이북을 만들고 수정하는 방법을 알아보면 Gemini를 사용하여 보안 운영을 간소화할 수 있습니다.

프롬프트를 사용하여 플레이북 만들기

Gemini 프롬프트를 사용하여 플레이북을 만들려면 다음 단계를 따르세요.

  1. 응답 > 플레이북으로 이동합니다.

  2. 추가 추가를 클릭하고 새 플레이북을 만듭니다.

  3. 플레이북의 폴더와 적용되는 환경을 선택합니다.

  4. 만들기를 클릭합니다.

  5. 새 플레이북 창에서 Gemini로 플레이북 만들기를 선택합니다.

  6. 프롬프트 창에 영어로 포괄적이고 체계적인 프롬프트를 입력합니다. 플레이북 프롬프트를 작성하는 방법에 대한 자세한 내용은 Gemini 플레이북 생성을 위한 프롬프트 작성을 참고하세요.

  7. 플레이북 생성을 클릭합니다. 생성된 플레이북이 포함된 미리보기 창이 표시됩니다. 필요한 경우 수정 수정을 클릭하여 프롬프트를 상세검색합니다.

  8. 플레이북 만들기를 클릭합니다.

프롬프트를 사용하여 플레이북 수정

  1. 필요한 플레이북을 선택하고 Gemini로 플레이북 수정을 선택합니다.
  2. 필요한 변경사항을 추가합니다. 수정된 플레이북이 포함된 미리보기 창에 이전 버전과 이후 버전이 표시됩니다. 필요에 따라 뒤로를 클릭하고 프롬프트를 수정합니다.
  3. 변경이 완료되면 플레이북 수정을 클릭합니다.

Gemini가 만든 플레이북에 대한 의견 제공

제공된 옵션 중 하나를 선택하고 추가 의견을 추가합니다.

  • 플레이북 결과가 좋으면 thumb_up 좋아요를 클릭합니다. 추가 의견 필드에 더 많은 정보를 추가할 수 있습니다.
  • 플레이북 결과가 예상과 다르면 thumb_down 싫어요를 클릭합니다.

Gemini 플레이북 생성을 위한 프롬프트 작성

Gemini 플레이북 기능은 자연어 입력을 기반으로 트리거, 작업, 차단, 조건을 포함한 Google SecOps 플레이북을 만듭니다. 효과적인 플레이북을 생성하려면 명확하고 구체적이며 잘 구성된 프롬프트를 입력해야 합니다. 출력의 품질은 입력의 품질에 직접적인 영향을 받습니다.

Gemini를 사용한 플레이북 생성 기능

Gemini 플레이북 생성 기능을 사용하면 다음 작업을 할 수 있습니다.

  • 작업, 트리거, 흐름, 블록을 사용하여 새 플레이북을 만듭니다.
  • 다운로드된 모든 상업용 및 맞춤 통합을 사용합니다.
  • 프롬프트에 특정 작업, 블록, 통합 이름을 플레이북 단계로 입력합니다.
  • 특정 통합과 이름이 지정되지 않은 흐름을 설명하는 프롬프트 이해하기
  • SOAR 응답 기능에서 지원되는 조건 흐름을 사용합니다.
  • 플레이북에 필요한 트리거를 감지합니다.

프롬프트를 사용하여 플레이북을 만들 때는 다음 작업을 할 수 없습니다.

  • 플레이북 블록을 만듭니다.
  • 플레이북에서 병렬 작업을 사용합니다.
  • 다운로드 및 설치되지 않은 통합을 사용합니다.
  • 통합 인스턴스를 사용합니다.

Gemini를 사용한 플레이북 편집 기능

Gemini 플레이북 수정 기능을 사용하면 다음 작업을 할 수 있습니다.

  • 플레이북의 원하는 위치에 플레이북 단계를 추가합니다.
  • 플레이북 단계를 삭제합니다.
  • 플레이북 트리거를 수정합니다.
  • 플레이북에서 단계를 이동합니다.
  • 작업, 블록 또는 통합을 해당 항목으로 바꿉니다.

프롬프트를 사용하여 플레이북을 수정할 때는 다음 작업을 할 수 없습니다.

  • 조건을 수정합니다.

효과적인 프롬프트 구성

Gemini 플레이북 기능이 가장 정확하고 자동화된 워크플로를 생성할 수 있도록 자연어 프롬프트를 작성할 때 다음 권장사항을 따르는 것이 좋습니다.

  • 통합을 구체적으로 지정: 통합이 환경에 이미 설치 및 구성된 경우에만 특정 통합 이름 (예: 'VirusTotal로 보강')을 사용하세요.

  • Gemini 전문성 활용: Gemini는 침해 사고 대응, 위협 탐지, 자동화된 보안 워크플로에 부합하는 플레이북을 빌드하도록 설계되었습니다. 이러한 보안 사용 사례에 맞게 프롬프트를 조정하세요.

  • 로직 정의: 프롬프트에 전체 로직을 명확하게 설명해야 합니다.

    • 명확한 목표 (예: 멀웨어 알림 관리)로 시작합니다.
    • 플레이북을 활성화하는 트리거를 지정합니다 (예: 알림 수신 시).
    • 작업 (예: 데이터 보강, 파일 격리)을 자세히 설명합니다.
    • 작업의 조건 (예: 위협 분석 결과에 기반)을 포함합니다.

Gemini 플레이북 생성 프롬프트 예시

이 섹션에서는 명확한 목표, 정의된 트리거, 구체적인 작업, 조건부 응답이 함께 작동하여 효과적인 자동화된 보안 워크플로를 만드는 방법을 보여주는 실제 사례를 보여줍니다.

예: 통합 이름이 포함된 프롬프트

다음 예는 통합 이름을 사용하는 잘 구조화된 프롬프트를 보여줍니다.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

이 프롬프트에는 앞에서 정의한 네 가지 구성요소가 포함되어 있습니다.

  • 명확한 목표: 멀웨어 알림 처리라는 정의된 목표가 있습니다.
  • 특정 트리거: 악성코드 알림 수신과 같은 특정 이벤트에 따라 활성화됩니다.
  • 플레이북 작업: 서드 파티 통합(VirusTotal)의 데이터로 Google Security Operations SOAR 항목을 개선합니다.
  • 조건부 응답: 이전 결과를 기반으로 하는 조건을 지정합니다. 예를 들어 파일 해시가 악성인 것으로 확인되면 파일을 격리해야 합니다.

예: 작업 흐름별 프롬프트

다음 예시는 잘 구조화된 프롬프트를 보여주지만 특정 통합 이름을 언급하지 않고 흐름을 설명합니다.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini 플레이북 생성 기능은 파일 해시 보강과 같은 작업 설명을 가져와 설치된 통합을 살펴보고 이 작업에 가장 적합한 통합을 찾을 수 있습니다.

Gemini 플레이북 생성 기능은 환경에 이미 설치된 통합 중에서만 선택할 수 있습니다.

맞춤 트리거

표준 트리거를 사용하는 것 외에도 플레이북 프롬프트에서 트리거를 맞춤설정할 수 있습니다. 다음 객체의 자리표시자를 지정할 수 있습니다.

  • 알림
  • 이벤트
  • 항목
  • 환경
  • 자유 텍스트

다음 예에서는 이메일 제목에 [TEST] 라는 단어가 포함된 이메일을 제외한 의심스러운 이메일 폴더의 모든 이메일에 대해 실행되는 트리거를 만들기 위해 자유 텍스트를 사용합니다.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

예: 체계적으로 구성된 프롬프트

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

대규모 자유 형식 프롬프트로 플레이북 만들기

자유 형식 텍스트가 포함된 자세한 프롬프트에서 플레이북을 만들 수도 있습니다. 예를 들어 특정 사이버 공격의 해결 단계를 설명하는 프롬프트를 만듭니다. 시나리오를 더 정확하게 설명할수록 생성된 플레이북의 정확도가 높아집니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.