Crie e edite um manual com o Gemini

Compatível com:

Pode usar o Gemini para simplificar as suas operações de segurança aprendendo a criar e editar manuais de procedimentos com comandos básicos de linguagem natural.

Crie um manual com comandos

Para criar um manual com comandos do Gemini, faça o seguinte:

  1. Aceda a Resposta > Playbooks.

  2. Clique em adicionar Adicionar e crie um novo manual de soluções.

  3. Escolha a pasta para o seu manual e o ambiente ao qual se aplica.

  4. Clique em Criar.

  5. No novo painel do manual de soluções, selecione Criar manual de soluções com o Gemini.

  6. No painel de comandos, introduza um comando abrangente e bem estruturado em inglês. Para mais informações sobre como escrever um comando do playbook, consulte o artigo Escreva comandos para a criação de playbooks do Gemini.

  7. Clique em Gerar manual de estratégias. É apresentado um painel de pré-visualização com o manual de estratégias gerado. Clique em editar Editar para refinar o comando, se necessário.

  8. Clique em Criar manual de soluções.

Edite um manual de estratégias com comandos

  1. Selecione o guia interativo necessário e, de seguida, Edite o guia interativo com o Gemini.
  2. Adicione as alterações necessárias. Um painel de pré-visualização com o manual editado mostra as versões antes e depois. Clique em Anterior e refine o comando, conforme necessário.
  3. Quando terminar as alterações, clique em Editar manual de soluções.

Envie feedback sobre manuais de estratégias criados pelo Gemini

Selecione uma das opções apresentadas e adicione feedback adicional:

  • Se os resultados do manual de soluções forem bons, clique em thumb_up Gosto. Pode adicionar mais informações no campo Feedback adicional.
  • Se os resultados do manual não foram os esperados, clique em thumb_down Não gosto.

Escreva comandos para a criação de manuais de estratégias do Gemini

A funcionalidade Gemini Playbook cria playbooks do Google SecOps (incluindo acionadores, ações, blocos e condições) com base na sua entrada de linguagem natural. Para gerar um manual eficaz, tem de introduzir comandos claros, específicos e bem estruturados. A qualidade do resultado é diretamente influenciada pela qualidade da entrada.

Capacidades de criação de manuais de soluções com o Gemini

Pode fazer o seguinte com a funcionalidade de criação de manuais de vendas do Gemini:

  • Crie novos manuais de soluções com ações, acionadores, fluxos e blocos.
  • Usar todas as integrações comerciais e personalizadas transferidas.
  • Inclua ações, blocos e nomes de integração específicos no comando como passos do manual de procedimentos.
  • Compreender os comandos para descrever o fluxo em que não são fornecidas integrações nem nomes específicos.
  • Use fluxos de condições, conforme suportado nas capacidades de resposta de SOAR.
  • Detetar que acionador é necessário para o manual de estratégias.

Não pode fazer o seguinte quando cria manuais de soluções com comandos:

  • Criar blocos de manuais de soluções.
  • Use ações paralelas em manuais de soluções.
  • Usar integrações que não foram transferidas nem instaladas.
  • Use instâncias de integração.

Capacidades de edição de manuais com o Gemini

Pode fazer o seguinte com a funcionalidade de edição do manual de estratégias do Gemini:

  • Adicione passos do guia interativo em qualquer parte do guia interativo.
  • Eliminar qualquer passo do manual de soluções.
  • Modifique o acionador do guia interativo.
  • Mova os passos no manual de estratégias.
  • Substitua ações, blocos ou integrações pelas respetivas contrapartes.

Não pode fazer o seguinte quando edita manuais de estratégias com comandos:

  • Edite as condições.

Crie comandos eficazes

Para garantir que a funcionalidade do Guia interativo do Gemini gera o fluxo de trabalho mais preciso e automatizado possível, recomendamos que siga estas práticas recomendadas para escrever os seus comandos de linguagem natural:

  • Seja específico com as integrações: use nomes de integração específicos (por exemplo, "enriquecer com o VirusTotal") apenas se a integração já estiver instalada e configurada no seu ambiente.

  • Tire partido da especialização do Gemini: o Gemini foi concebido para criar guias interativos alinhados com a resposta a incidentes, a deteção de ameaças e os fluxos de trabalho de segurança automatizados. Personalize os seus comandos para estes exemplos de utilização de segurança.

  • Defina a lógica: certifique-se de que o comando detalha claramente a lógica completa:

    • Comece com um objetivo claro (por exemplo, gerir alertas de software malicioso).
    • Especifique o acionador que ativa o livro de jogadas (por exemplo, após receber um alerta).
    • Detalhe as ações (por exemplo, enriquecer dados, colocar ficheiros em quarentena).
    • Inclua a condição para essas ações (por exemplo, com base nos resultados da análise de ameaças).

Exemplos de comandos para a criação de manuais do Gemini

Esta secção mostra exemplos práticos que realçam como os objetivos claros, os acionadores definidos, as ações específicas e as respostas condicionais funcionam em conjunto para criar fluxos de trabalho de segurança automatizados eficazes.

Exemplo: comando com o nome da integração

O exemplo seguinte mostra um comando bem estruturado que usa um nome de integração:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Este comando contém os quatro componentes definidos anteriormente:

  • Objetivo claro: tem um objetivo definido, que é lidar com alertas de software malicioso.
  • Acionador específico: a ativação baseia-se num evento específico, receber um alerta de software malicioso.
  • Ações do manual de procedimentos: melhora uma entidade SOAR do Google Security Operations com dados de uma integração de terceiros (VirusTotal).
  • Resposta condicional: especifica uma condição baseada em resultados anteriores. Por exemplo, se o hash do ficheiro for considerado malicioso, o ficheiro deve ser colocado em quarentena.

Exemplo: comando por fluxo de ações

O exemplo seguinte mostra um comando bem estruturado, mas descreve o fluxo sem mencionar o nome da integração específico.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

A funcionalidade de criação de guias interativos do Gemini é capaz de usar esta descrição de uma ação (enriquecer um hash de ficheiro) e procurar nas integrações instaladas aquela que melhor se adequa a esta ação.

A funcionalidade de criação de manuais de estratégias do Gemini só pode escolher entre integrações já instaladas no seu ambiente.

Acionadores personalizados

Além de usar acionadores padrão, pode personalizar um acionador no comando do manual de estratégias. Pode especificar marcadores de posição para os seguintes objetos:

  • Alerta
  • Evento
  • Entidade
  • Ambiente
  • Texto livre

No exemplo seguinte, o texto livre é usado para criar um acionador que é executado para todos os emails da pasta email suspeito, exceto para os emails que contêm a palavra [TEST] na linha de assunto do email.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Exemplo: comandos bem estruturados

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Criar manuais de estratégias a partir de comandos de forma livre grandes

Também pode criar um guião de execução a partir de um comando detalhado que contenha texto de forma livre. Por exemplo, crie um comando que descreva os passos de remediação para um ataque cibernético específico. Quanto mais precisamente descrever o cenário, maior é a precisão do manual gerado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.