Google описала AI-агентов для Google Security Operations

Google Cloud рассказала, как в Google Security Operations используются специализированные Gemini-агенты для генерации правил обнаружения, расследования инцидентов и ретроактивного поиска угроз. Часть возможностей уже доступна, часть находится в preview.

Google Cloud описала набор агентных функций в Google Security Operations — платформе для работы центров мониторинга безопасности (SOC). Компания позиционирует их как дополнение к Google AI Threat Defense, системе для защиты от атак, ускоренных с помощью ИИ.

Главный новый элемент — Detection Engineering agent, доступный в preview. Он должен автоматически преобразовывать новые шаблоны эксплуатации уязвимостей в правила обнаружения для конкретной среды заказчика. В качестве входных данных Google называет собственную threat intelligence-информацию, материалы Mandiant, отчеты red team и purple team, данные анализа вредоносного ПО, открытые репозитории правил и внутреннюю телеметрию организации.

Агент не только предлагает правила, но и проверяет их на синтетических событиях, чтобы выявлять пробелы в покрытии до появления реальной атаки. Google приводит пример аудита по атаке на цепочку поставки Axios: система обнаружила, что существующие правила видели часть этапов атаки, но не закрывали начальный NPM postinstall dropper и финальный выход к C2-инфраструктуре.

В Google Security Operations также уже общедоступен Triage and Investigation agent, который автономно разбирает оповещения, собирает доказательства и выдает заключение для аналитиков. По данным Google, этот агент обработал более 5 млн оповещений; компания утверждает, что типичный ручной разбор на 30 минут сокращается до примерно 60 секунд с помощью Gemini.

Еще две функции находятся в preview: Agentic automation для автоматизации реагирования через сочетание AI-агентов и детерминированных корпоративных playbook, а также Threat Hunting agent для поиска скрытых признаков компрометации в исторической телеметрии. Google подчеркивает, что критические действия при реагировании должны оставаться под контролем аналитиков.