コンテンツにスキップ

4. Gemini 活用

Gemini in SecOps を使った「自然言語でのログ検索」の方法を確認します。

4.3 ログ調査支援

シナリオの続きとして、関連するログが一番多かった端末 (tim.smith) を調査しましょう。

先ほどの画面から継続してログを調査することもできますが、ここでは新規に Gemini を使った検索方法を確認します。

1.画面左上の Google SecOps ボタン をクリックして、トップページに移動します。

image-20250317225134672

2.画面右上の Gemini ボタン をクリックすると、画面右にチャットウィンドウが開きます。

image-20250317225326018

3.右下のチャットボックス (Enter a prompt here) に 下記のプロンプトを入力 して実行します。

tim.smith に関連する直近1か月間のイベントを表示

または、

Show me latest 1 month events associated with tim.smith.

image-20251129222357363

4.Gemini がクエリを作成して、チャットボックスに表示します。内容を確認して Run Search ボタンをクリックします。

image-20251129222528069

5.クエリの実行結果が画面左側に表示されます。このように、Gemini チャットウィンドウ経由でもクエリを容易に実行することができます。

image-20251129222706894

6. OVERVIEW 画面下部の の Entity summary パネルで、このユーザ情報も確認できます。 勤務地や従業員番号、役職や電話番号などです。これはエンリッチ機能の一つで、 ActiveDirectory や Okta などから情報を取得したものです。このように SecOps は調査で必要となる参考情報を付加して支援することができます。

image-20251129222829117

7.ResultsAlerts タブに移動することで、さらに詳細を確認していくことができます。もしくは、先ほどと同じように Gemini に具体的な調査を依頼してクエリを生成することもできます。

image-20251129222849728

8.「脅威ハンティング」で発見した事象に対して、追加調査も Gemini の支援を受けて進めていくことができます。実際の対応では追加調査を進めますが、今回は AI 活用の体験が目的ですので、このステップはここで終了です。 次のステップ に移動します。