Criar e editar um playbook com o Gemini

Compatível com:

Você pode usar o Gemini para simplificar suas operações de segurança aprendendo a criar e editar playbooks com comandos básicos de linguagem natural.

Criar um playbook usando comandos

Para criar um playbook usando comandos do Gemini, faça o seguinte:

  1. Acesse Resposta > Playbooks.

  2. Clique em adicionar Adicionar e crie um novo playbook.

  3. Escolha a pasta do playbook e o ambiente a que ele se aplica.

  4. Clique em Criar.

  5. No novo painel de playbook, selecione Criar playbook com o Gemini.

  6. No painel de comandos, insira um comando abrangente e bem estruturado em inglês. Para mais informações sobre como escrever um comando de playbook, consulte Escrever comandos para a criação de playbooks do Gemini.

  7. Clique em Gerar playbook. Um painel de visualização com o playbook gerado é exibido. Clique em editar Editar para refinar o comando, se necessário.

  8. Clique em Criar playbook.

Editar um playbook usando comandos

  1. Selecione o playbook necessário e clique em Editar playbook com o Gemini.
  2. Adicione as mudanças necessárias. Um painel de visualização com o playbook editado mostra as versões antes e depois. Clique em Voltar e refine o comando, conforme necessário.
  3. Quando terminar as mudanças, clique em Editar playbook.

Enviar feedback sobre playbooks criados pelo Gemini

Selecione uma das opções fornecidas e adicione mais feedback:

  • Se os resultados do playbook forem bons, clique em thumb_up Gostei. Você pode adicionar mais informações no campo Outros comentários.
  • Se os resultados do playbook não foram os esperados, clique em thumb_down Não gostei.

Escrever comandos para a criação de manuais do Gemini

O recurso Playbook do Gemini cria playbooks do Google SecOps (incluindo gatilhos, ações, blocos e condições) com base na sua entrada de linguagem natural. Para gerar um playbook eficaz, você precisa inserir comandos claros, específicos e bem estruturados. A qualidade da saída é diretamente influenciada pela qualidade da entrada.

Recursos de criação de playbook com o Gemini

Com o recurso de criação de playbook do Gemini, você pode:

  • Crie novos manuais com ações, gatilhos, fluxos e blocos.
  • Use todas as integrações comerciais e personalizadas baixadas.
  • Coloque ações, blocos e nomes de integração específicos no comando como etapas do playbook.
  • Entenda os comandos para descrever o fluxo em que integrações e nomes específicos não são fornecidos.
  • Use fluxos de condição conforme compatibilidade com recursos de resposta da SOAR.
  • Detecte qual gatilho é necessário para o playbook.

Não é possível fazer o seguinte ao criar playbooks usando comandos:

  • Crie blocos de playbook.
  • Use ações paralelas em playbooks.
  • Usar integrações que não foram baixadas e instaladas.
  • Use instâncias de integração.

Recursos de edição de playbook com o Gemini

Com o recurso de edição de manuais do Gemini, você pode:

  • Adicione etapas em qualquer lugar do playbook.
  • Exclua qualquer etapa do playbook.
  • Modificar o acionador do playbook.
  • Mova as etapas no playbook.
  • Substitua ações, blocos ou integrações pelos equivalentes correspondentes.

Não é possível fazer o seguinte ao editar playbooks usando comandos:

  • Edite as condições.

Elaborar comandos eficientes

Para garantir que o recurso Manual do Gemini gere o fluxo de trabalho mais preciso e automatizado possível, recomendamos seguir estas práticas recomendadas ao escrever comandos em linguagem natural:

  • Seja específico com as integrações: use nomes específicos de integração (por exemplo, "enriquecer com o VirusTotal") somente se a integração já estiver instalada e configurada no seu ambiente.

  • Aproveite a especialização do Gemini: o Gemini foi projetado para criar playbooks que se alinham à resposta a incidentes, à detecção de ameaças e aos fluxos de trabalho de segurança automatizados. Adapte seus comandos a esses casos de uso de segurança.

  • Defina a lógica: verifique se o comando detalha claramente toda a lógica:

    • Comece com um objetivo claro, por exemplo, gerenciar alertas de malware.
    • Especifique o acionador que ativa o playbook (por exemplo, ao receber um alerta).
    • Detalhe as ações (por exemplo, enriquecer dados, colocar arquivos em quarentena).
    • Inclua a condição dessas ações (por exemplo, com base nos resultados da análise de ameaças).

Exemplos de comandos para criar um manual do Gemini

Esta seção mostra exemplos práticos que destacam como objetivos claros, gatilhos definidos, ações específicas e respostas condicionais funcionam juntos para criar fluxos de trabalho de segurança automatizados e eficazes.

Exemplo: comando com o nome da integração

O exemplo a seguir mostra um comando bem estruturado usando um nome de integração:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

Esse comando contém os quatro componentes definidos anteriormente:

  • Objetivo claro: tem uma meta definida, que é lidar com alertas de malware.
  • Gatilho específico: a ativação se baseia em um evento específico, como receber um alerta de malware.
  • Ações do playbook: aprimora uma entidade SOAR do Google Security Operations com dados de uma integração de terceiros (VirusTotal).
  • Resposta condicional: especifica uma condição baseada em resultados anteriores. Por exemplo, se o hash do arquivo for considerado malicioso, ele deverá ser colocado em quarentena.

Exemplo: comando por fluxo de ação

O exemplo a seguir mostra um comando bem estruturado, mas descreve o fluxo sem mencionar o nome específico da integração.

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

O recurso de criação de playbook do Gemini consegue pegar essa descrição de uma ação (enriquecer um hash de arquivo) e procurar nas integrações instaladas para encontrar a que melhor se adapta a essa ação.

O recurso de criação de playbook do Gemini só pode escolher entre as integrações que já estão instaladas no seu ambiente.

Gatilhos personalizados

Além de usar acionadores padrão, você pode personalizar um acionador no comando do playbook. É possível especificar marcadores de posição para os seguintes objetos:

  • Alerta
  • Evento
  • Entidade
  • Ambiente
  • Texto livre

No exemplo a seguir, o texto livre é usado para criar um acionador que é executado para todos os e-mails da pasta E-mail suspeito, exceto aqueles que contêm a palavra [TESTE] na linha de assunto.

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

Exemplo: comandos bem estruturados

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

Como criar playbooks com comandos longos de formato livre

Você também pode criar um playbook usando um comando detalhado com texto livre. Por exemplo, crie um comando que descreva as etapas de correção de um ataque cibernético específico. Quanto mais precisa for a descrição, maior será a acurácia do playbook gerado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.