使用 Gemini 建立及編輯應對手冊

支援的國家/地區:

您可以瞭解如何使用基本自然語言提示建立及編輯應對手冊,運用 Gemini 簡化安全作業。

使用提示建立應對手冊

如要使用 Gemini 提示建立應對手冊,請按照下列步驟操作:

  1. 依序前往「回應」>「劇本」

  2. 按一下「新增」 ,然後建立新的劇本。

  3. 選擇劇本的資料夾,以及劇本適用的環境。

  4. 點選「建立」

  5. 在新的應對手冊窗格中,選取「使用 Gemini 建立應對手冊」

  6. 在提示窗格中,以英文輸入結構清楚的完整提示。如要進一步瞭解如何撰寫劇本提示,請參閱這篇文章

  7. 按一下「生成應對手冊」。系統會顯示預覽窗格,當中包含生成的劇本。如有需要,請按一下「編輯」 ,修改提示。

  8. 按一下「建立 Playbook」

使用提示編輯應對手冊

  1. 選取所需應對手冊,然後選取「運用 Gemini 編輯應對手冊」
  2. 視需要新增變更。預覽窗格會顯示編輯前後的劇本版本。視需要按一下「返回」並調整提示。
  3. 完成變更後,按一下「編輯劇本」

對 Gemini 建立的應對手冊提供意見回饋

選取其中一個選項,並新增其他意見回饋:

  • 如果劇本結果良好,請按一下「喜歡」圖示 thumb_up 「喜歡」。您可以在「其他意見」欄位中新增更多資訊。
  • 如果劇本結果與預期不符,請按一下「不喜歡」圖示 thumb_down 「不喜歡」

撰寫提示,讓 Gemini 建立應對手冊

Gemini Playbook 功能會根據您輸入的自然語言,建立 Google SecOps 應對手冊 (包括觸發條件、動作、區塊和條件)。如要產生有效的行動手冊,請輸入清楚、具體且結構良好的提示。輸出內容的品質直接受到輸入內容品質影響。

使用 Gemini 建立應對手冊的功能

Gemini 應對手冊建立功能可執行下列操作:

  • 使用動作、觸發條件、流程和區塊建立新的教戰手冊。
  • 使用所有已下載的商業和自訂整合。
  • 在提示中輸入特定動作、方塊和整合名稱,做為應對手冊步驟。
  • 瞭解如何使用提示描述流程,但未提供特定整合和名稱。
  • 使用 SOAR 回應功能支援的條件流程。
  • 偵測劇本所需的觸發條件。

使用提示建立劇本時,無法執行下列操作:

  • 建立應對手冊區塊。
  • 在應對手冊中使用平行動作。
  • 使用尚未下載及安裝的整合功能。
  • 使用整合執行個體。

使用 Gemini 編輯應對手冊的功能

使用 Gemini 應對手冊編輯功能,你可以執行下列操作:

  • 在應對手冊的任何位置新增步驟。
  • 刪除任何應對手冊步驟。
  • 修改應對手冊觸發條件。
  • 調整應對手冊中的步驟順序。
  • 改用其他動作、模塊或整合功能。

使用提示編輯劇本時,無法執行下列操作:

  • 編輯條件。

撰寫有效的提示

為確保 Gemini Playbook 功能盡可能生成最準確的自動化工作流程,建議您遵循下列自然語言提示的最佳做法:

  • 具體說明整合項目:只有在環境中已安裝及設定整合項目時,才使用具體的整合項目名稱 (例如「使用 VirusTotal 擴充」)。

  • 運用 Gemini 專業知識:Gemini 可建構符合事件應變、威脅偵測和自動化安全工作流程的應對手冊。請根據這些安全用途調整提示。

  • 定義邏輯:請務必在提示中清楚詳述完整邏輯:

    • 首先,請先確立明確的目標 (例如管理惡意軟體快訊)。
    • 指定啟動應對手冊的觸發條件 (例如收到快訊時)。
    • 詳細說明動作 (例如:擴充資料、隔離檔案)。
    • 加入這些動作的條件 (例如根據威脅分析結果)。

Gemini 應對手冊的提示範例

本節將透過實用範例,說明明確目標、定義觸發條件、特定動作和條件式回應如何共同運作,建立有效的自動化安全防護工作流程。

範例:提示包含整合名稱

以下範例顯示使用整合名稱的結構化提示:

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file.

這個提示包含先前定義的四個元件:

  • 明確目標:有明確目標,可處理惡意軟體快訊。
  • 特定觸發條件:根據特定事件 (收到惡意軟體快訊) 啟動。
  • 應對手冊動作:透過第三方整合 (VirusTotal) 的資料,強化 Google Security Operations SOAR 實體。
  • 條件式回應:根據先前的結果指定條件。舉例來說,如果檔案雜湊值含有惡意內容,就應隔離該檔案。

範例:依動作流程顯示提示

以下範例顯示結構良好的提示,但說明流程時未提及特定整合名稱。

Write a playbook for malware alerts. The playbook should take the file hash from the alert and enrich it. If the file hash is malicious, quarantine the file.

Gemini 劇本建立功能可根據這項動作的說明 (例如:擴充檔案雜湊),在已安裝的整合項目中尋找最適合的項目。

Gemini Playbook 建立功能只能從環境中已安裝的整合項目中選擇。

自訂觸發條件

除了使用標準觸發條件外,您也可以在劇本提示中自訂觸發條件。您可以為下列物件指定預留位置:

  • 快訊
  • 事件
  • 實體
  • 環境
  • 任意文字

在下列範例中,系統會使用任意文字建立觸發條件,並針對「suspicious email」(可疑電子郵件) 資料夾中的所有電子郵件執行觸發條件,但主旨行包含「[TEST]」一詞的電子郵件除外。

Write a phishing playbook that'll be executed for all emails from the 'suspicious email' folder ([Event.email_folder]) that the subject does not contain '[TEST]' ([Event.subject]). The playbook should take the file hash and URL from the alert and enrich it with VirusTotal. If the file hash is malicious, quarantine the file. If the URL is malicious, block it in the firewall.

範例:結構良好的提示

Write a playbook for phishing alerts. The playbook enriches usernames, URLs and file hashes from the email and enriches them in available sources. If one of the findings is malicious, block the finding, remove the email from all the users' mailboxes and assign the case to tier 2.

Create a playbook for my Google Cloud Anomalous Access alert. The playbook should enrich user account information with Google Cloud IAM, and then enrich the IP information with VirusTotal. If the user is an admin and the IP is malicious, the user account should be disabled in IAM.

Write a playbook for suspicious login alerts. The playbook should enrich the IP address with VirusTotal and get GeoIP information. If VirusTotal reported more than 5 malicious engines and the IP address is from Iran or China, block the IP address in Checkpoint Firewall and send an email notification to zak@example.com.

根據大型任意形式提示建立應對手冊

您也可以透過包含任意形式文字的詳細提示建立劇本。舉例來說,您可以建立提示,說明特定網路攻擊的補救步驟。您描述情境越精確,生成的劇本就越準確。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。