תרחיש לדוגמה לשימוש ב-AI אקטיבי: תזמור של תהליכי עבודה של פעולות אבטחה

Last reviewed 2026-04-08 UTC

במסמך הזה מתוארת ארכיטקטורה ברמה גבוהה של מערכת AI מרובת סוכנים, שמבצעת תיאום של תהליכי חקירה וסיווג מורכבים במרכז תפעול אבטחה (SOC). מערכת הסוכנים מתזמנת תהליכי עבודה במערכות אבטחה שונות, כמו מערכות ניהול אבטחת מידע ואירועים (SIEM), פידים של מודיעין איומים, פלטפורמות לניהול מצב האבטחה בענן (CSPM) ופתרונות לזיהוי ותגובה בנקודות קצה (EDR). מערכת הסוכנים יכולה לבצע את הפעולות הבאות:

  • חיפוש התראות קריטיות מ-Google Security Operations.
  • העשרת ההתראות באמצעות Google Threat Intelligence.
  • חיפוש הגדרות שגויות של נכסים באמצעות כלי CSPM של צד שלישי.
  • הטמעת אישור של אדם שבתהליך.
  • אחזור טלמטריה מפורטת של נקודת קצה והיסטוריית ביצוע תהליכים מכלי EDR של צד שלישי כדי לחקור נקודת קצה שנפרצה או חשודה.

הארכיטקטורה הזו עוזרת לשפר את היעילות של המפעילים על ידי צמצום המעבר בין הקשרים, ומאפשרת למפעילים לבצע חקירות מורכבות ורב-שלביות באמצעות ממשק יחיד.

קהל היעד של המסמך הזה כולל ארכיטקטים ומפתחים שאחראים על תכנון, בנייה והטמעה של אפליקציות AI אקטיבי, ועל שילוב האפליקציות האלה עם מערכות אבטחה קיימות בסביבות ענן. קהל היעד כולל גם אנליסטים של SOC ואדמינים של מערכות שמפקחים על תפעול אבטחה (SecOps), משתמשים במודיעין איומי סייבר להגנה פרואקטיבית ומנהלים תהליכי עבודה חזקים של SecOps לזיהוי אירועים, לחקירה ולתגובה. במסמך מניחים שיש לכם הבנה בסיסית של מושגי AI אקטיבי, כולל מערכות מרובות סוכנים (MAS), שימוש בכלים אקטיביים ותזמור אקטיבי. במסמך מניחים גם שאתם מכירים תרחישי שימוש במודיעין איומי סייבר, תהליכי עבודה של תפעול אבטחה (SecOps) וכלים נפוצים לאבטחה. למידע על מודיעין איומי סייבר וכלים נפוצים לאבטחה, אפשר לעיין במאמר תרחישי שימוש במודיעין איומי סייבר ודוגמאות.

ארכיטקטורה

בהתאם לדרישות שלכם, תוכלו לבחור את מודלי הפריסה הבאים:

  • פריסה ב-Cloud Run: פלטפורמה מנוהלת ללא שרת שמאפשרת לפרוס את כל אפליקציית הסוכן, רכיבים בודדים או כלים בהתאמה אישית כנקודות קצה של HTTP שאפשר להתאים לעומס, בלי לנהל את התשתית הבסיסית.
  • Vertex AI Agent Engine עם פריסת Gemini Enterprise: סביבת זמן ריצה מנוהלת במלואה, שניתן להשתמש בה כדי לפרוס, להפעיל ולשנות את גודלן של אפליקציות מבוססות-סוכנים עם תקורה תפעולית מינימלית.

במאמר בחירת רכיבי הארכיטקטורה של AI אקטיבי מוסבר איך לבחור סביבת זמן ריצה של סוכן.

בכרטיסיות הבאות מוצגים תרשימי ארכיטקטורה שמציגים פריסה של Cloud Run ופריסה של Vertex AI Agent Engine עם Gemini Enterprise.

Cloud Run

בתרשים הבא מוצגת ארכיטקטורה מפורטת של מערכת סוכני SOC שנפרסת ב-Cloud Run:

ארכיטקטורה מפורטת של מערכת סוכני SOC שנפרסת ב-Cloud Run.

הארכיטקטורה כוללת את הרכיבים הבאים:

רכיבים תיאור
Cloud Load Balancing ‫Application Load Balancer מעביר בקשות להסקת מסקנות שמגיעות מאנליסט האבטחה למערכת הסוכן.
Google Cloud Armor אכיפת מדיניות אבטחה על סמך כללים מוגדרים של חומת אש לאפליקציות אינטרנט (WAF).
שרת proxy לאימות זהויות (IAP) הפתרון אוכף מודל אבטחה של אפס אמון ומאמת את זהות המשתמש.
הגנה מוגברת על המודל ‫הגנה מוגברת על המודל מאפשר לבדוק ולנקות הנחיות, אינטראקציות עם כלים ותשובות. הוא מספק אמצעי בקרה גמישים לאבטחה של כל מודל AI בסיסי. כדי לשלב את הגנה מוגברת על המודל בסוכנים מותאמים אישית שפועלים ב-Cloud Run, צריך להשתמש ב-Model Armor API.
הרכב הסוכן הערכה לפיתוח סוכנים (ADK) היא מסגרת לפיתוח סוכנים שעוזרת לכם ליצור את הסוכן ולפרוס אותו כשירות Cloud Run ללא שרת. פרטים על הארכיטקטורה הפנימית של מערכת הסוכנים הזו מופיעים בקטע ארכיטקטורת מערכת הסוכנים בהמשך המאמר.
מודל AI כדי להכניס לשימוש בסביבת הייצור היקש, הסוכנים בארכיטקטורה הזו משתמשים במודלים של AI ב-Vertex AI.
שרתי MCP Model Context Protocol‏ (MCP) מאפשר גישה לכלים וקובע תקן לאינטראקציה בין סוכנים לכלים. מערכת הסוכן משתמשת בשרתי ה-MCP הבאים:
  • שרת Google SecOps MCP: שרת MCP בניהול Google שמספק גישה לנתונים של Google Security Operations SIEM ושל Google Security Operations SOAR כולל יומנים וישויות של מקרים.
  • שרת MCP של Google Threat Intelligence: שרת MCP מקומי שמאפשר גישה ל-Google Threat Intelligence. ‫Google Threat Intelligence מבצעת קורלציה בין התראות בסביבה הפנימית לבין נתונים גלובליים על יריבים, ומייעלת את הזיהוי של אינדיקטורים זדוניים מוכרים בתהליך העבודה של SOC.
  • שרתי MCP של צד שלישי: מחבר שמנוהל על ידי ספקי צד שלישי ומאפשר לכם ליצור אינטראקציה עם כלי אבטחה חיצוניים.

המוצרים שהשתמשו בהם

הארכיטקטורה לדוגמה הזו משתמשת במוצרים ובכלים הבאים של Google Cloud :

  • Cloud Run: פלטפורמת מחשוב ללא שרת שמאפשרת להריץ קונטיינרים ישירות על גבי התשתית הניתנת להרחבה של Google.
  • Cloud Load Balancing: חבילה של מאזני עומסים גלובליים ואזוריים בעלי ביצועים גבוהים וניתנים להתאמה.
  • Google Cloud Armor: שירות אבטחת רשת שמציע כללים של חומת אש לאפליקציות אינטרנט (WAF) ועוזר להגן מפני מתקפות DDoS ומתקפות על אפליקציות.
  • שרת proxy לאימות זהויות (IAP): שירות שמאפשר מודל גישה של אפס אמון לאפליקציות ולמכונות וירטואליות.
  • Google Security Operations: פלטפורמה לפעולות אבטחה שעוזרת לצוותי אבטחה לזהות איומי סייבר, לחקור אותם ולהגיב להם.
  • Google Threat Intelligence: פתרון אבטחה שמספק גישה מקיפה ויזומה לזיהוי איומי אבטחה, לניתוח שלהם ולצמצום הסיכון שלהם.
  • שרתי Google Cloud MCP: שירותים מרוחקים שמנוהלים על ידי Google ומיישמים את Model Context Protocol‏ (MCP) כדי לספק לאפליקציות מבוססות-AI גישה למוצרים ולשירותים של Google ו-Google Cloud.
  • Gemini: משפחה של מודלים מולטי-מודאליים של AI שפותחו על ידי Google.
  • Vertex AI: פלטפורמה ללמידת מכונה שמאפשרת לאמן ולפרוס מודלים של למידת מכונה ואפליקציות AI, ולהתאים אישית מודלים של שפה גדולה (LLM) לשימוש באפליקציות מבוססות-AI.
  • ערכה לפיתוח סוכנים (ADK): קבוצה של כלים וספריות לפיתוח, לבדיקה ולפריסה של סוכני AI.
  • Model Armor: שירות שמספק הגנה למשאבי AI גנרטיבי ו-AI מבוסס-סוכנים מפני החדרת הנחיות, דליפות של מידע אישי רגיש ותוכן מזיק.

‫Vertex AI Agent Engine עם Gemini Enterprise

בתרשים הבא מוצגת ארכיטקטורה מפורטת של מערכת AI של סוכן SOC שנפרסה ב-Vertex AI Agent Engine עם Gemini Enterprise:

ארכיטקטורה מפורטת של מערכת AI לסוכן SOC שנפרסת ב-Vertex AI Agent Engine עם Gemini Enterprise.

בתרשים הארכיטקטורה מוצגים הרכיבים הבאים:

רכיבים תיאור
Gemini Enterprise המשתמשים יוצרים אינטראקציה עם מערכת הסוכן באמצעות עוזר הצ'אט ש-Gemini Enterprise מספק.
הרכב הסוכן Agent Development Kit (ADK) היא מסגרת לפיתוח סוכנים שעוזרת ליצור סוכן בהתאמה אישית, לפרוס את הסוכן ב-Vertex AI Agent Engine ולרשום את הסוכן ב-Gemini Enterprise. פרטים על הארכיטקטורה הפנימית של מערכת הסוכנים הזו מופיעים בקטע ארכיטקטורת מערכת הסוכנים בהמשך המאמר.
מודל AI הסוכנים בארכיטקטורה הזו משתמשים במודלים של AI מ-Vertex AI Model Garden כדי לבצע היסק.
הגנה מוגברת על המודל כדי לאכוף מדיניות בטיחות ותאימות של הארגון, הגנה מוגברת על המודל משתלב ישירות עם שירותי Google Cloud כדי לספק בדיקה וניקוי של הנחיות למשתמשים ותשובות של מודלים. באמצעות שילוב מובנה עם Gemini Enterprise ו-Vertex AI,‏ הגנה מוגברת על המודל בודק באופן אוטומטי את האינטראקציות בין המשתמשים לבין הסוכנים המנוהלים. למידע נוסף, אפשר לעיין במאמר בנושא שילוב של הגנה מוגברת על המודל עם שירותי Google Cloud .
שרתי MCP Model Context Protocol‏ (MCP) מאפשר גישה לכלים ומבצע סטנדרטיזציה של האינטראקציה בין סוכנים לכלים. מערכת הסוכן משתמשת בשרתי ה-MCP הבאים:
  • שרת Google SecOps MCP: שרת MCP בניהול Google שמאפשר גישה לנתונים של Google SecOps SIEM ושל Google SecOps SOAR, כולל אירועים, ישויות, יומנים גולמיים ופרטי בקשות תמיכה.
  • שרת MCP של Google Threat Intelligence: שרת MCP מקומי שמאפשר גישה ל-Google Threat Intelligence. ‫Google Threat Intelligence מבצעת קורלציה בין התראות בסביבה הפנימית לבין נתונים גלובליים על יריבים, ומייעלת את הזיהוי של אינדיקטורים זדוניים מוכרים בתהליך העבודה של SOC.
  • שרתי MCP של צד שלישי: מחבר שמנוהל על ידי ספקי צד שלישי ומאפשר לכם ליצור אינטראקציה עם כלי אבטחה חיצוניים.

המוצרים שהשתמשו בהם

הארכיטקטורה לדוגמה הזו משתמשת במוצרים ובכלים הבאים של Google Cloud :

  • Vertex AI Agent Engine: פלטפורמה שמאפשרת להריץ, לנהל ולהרחיב סוכני AI בסביבת ייצור.
  • Gemini Enterprise: פלטפורמה מאובטחת ומנוהלת במלואה לפריסה ולניהול של סוכני AI בארגון.
  • Google Security Operations: פלטפורמה לפעולות אבטחה שעוזרת לצוותי אבטחה לזהות איומי סייבר, לחקור אותם ולהגיב להם.
  • Google Threat Intelligence: פתרון אבטחה שמספק גישה מקיפה ויזומה לזיהוי איומי אבטחה, לניתוח שלהם ולצמצום הסיכון שלהם.
  • שרתי Google Cloud MCP: שירותים מרוחקים שמנוהלים על ידי Google ומיישמים את Model Context Protocol‏ (MCP) כדי לספק לאפליקציות מבוססות-AI גישה למוצרים ולשירותים של Google ו-Google Cloud.
  • Gemini: משפחה של מודלים מולטי-מודאליים של AI שפותחו על ידי Google.
  • Vertex AI: פלטפורמה ללמידת מכונה שמאפשרת לאמן ולפרוס מודלים של למידת מכונה ואפליקציות AI, ולהתאים אישית מודלים של שפה גדולה (LLM) לשימוש באפליקציות מבוססות-AI.
  • ערכה לפיתוח סוכנים (ADK): קבוצה של כלים וספריות לפיתוח, לבדיקה ולפריסה של סוכני AI.
  • Model Armor: שירות שמספק הגנה למשאבי AI גנרטיבי ו-AI מבוסס-סוכנים מפני החדרת הנחיות, דליפות של מידע אישי רגיש ותוכן מזיק.

ארכיטקטורת מערכת הסוכנים

בקטע הזה מתוארת הארכיטקטורה של מערכת סוכן SOC בהתאמה אישית לפריסות של Cloud Run או Gemini Enterprise שצוינו למעלה. כדי לתזמן תהליכי עבודה מורכבים של אבטחה, הסוכן משתמש בתבנית היררכית של פירוק משימות. ההרכב של הסוכן נשאר עקבי, לא משנה באיזו שיטת פריסה תבחרו.

בתרשים הבא מוצגת תצוגה מפורטת של ארכיטקטורת מערכת הסוכן: ארכיטקטורה מפורטת של מערכת AI לסוכן, לתהליך עבודה של SecOps מבוסס-סוכן.

הארכיטקטורה כוללת את הרכיבים הבאים:

רכיבים תיאור
בקשת הצטרפות אפליקציית קצה קדמי, כמו ממשק צ'אט, שמקיימת אינטראקציה עם המשתמש. אתם יכולים לבחור לפרוס את האפליקציה באמצעות Cloud Run או Vertex AI Agent Engine עם Gemini Enterprise.
סוכנים

הארכיטקטורה הזו כוללת את הסוכנים הבאים:

  • סוכן הבסיס: סוכן מתאם שמקבל בקשות מהמשתמש. הסוכן הראשי מפרש את בקשת המשתמש ומנסה לפתור את הבקשה בעצמו. אם המשימה דורשת כלים מיוחדים, הסוכן ברמה הבסיסית (root) מעביר את הבקשה לסוכן המתאים עם התמחות ספציפית.
  • סוכנים עם התמחויות שונות: הסוכן ברמה הבסיסית (root) מפעיל את הסוכנים הבאים עם התמחויות שונות:
    • Tier 1 analyst: Retrieves alert details, identifies affected assets, and extracts user context when it queries Google SecOps and related telemetry sources.
    • חוקר מודיעין בנושא איומי סייבר (CTI): חוקר טקטיקות של גורמים מאיימים שקשורות להתראה הספציפית. הסוכן הזה מספק הערכת סיכונים של הפעילות על ידי שליחת שאילתות לפלטפורמות של מודיעין איומי סייבר כדי ליצור קורלציה בין אינדיקטורים פנימיים לפריצה (IOC) לבין קבוצות ידועות של גורמים מאיימים ו טקטיקות, טכניקות ונהלים (TTP) מתועדים.

בתרשים הארכיטקטורה של מערכת הסוכן מוצגת דוגמה לארכיטקטורה שבה נעשה שימוש בשתי פרסונות של SOC. בהתאם לתרחישי השימוש הספציפיים שלכם, אתם יכולים לפרוס פרסונות אחרות של SOC או ליצור פרסונות מותאמות אישית משלכם. לרשימה רחבה יותר של דמויות SOC שיכולות לעזור לכם לשפר את פעולות האבטחה, אפשר לעיין במאמר בנושא דמויות SOC.

מסד נתונים של ידע RAG מסד הנתונים הזה מספק מקור מידע לעיגון עבור יצירה משולבת-אחזור (RAG). מסד הנתונים משמש כדי לספק לסוכנים תוכניות תגובה לאירוע וספרי הפעלה של AI. ספרי הפעלה של AI הם תהליכי עבודה מפורטים בצורה של מיומנויות של סוכנים.
שירות Artifact שירות מנוהל שמאחסן דוחות חקירה וראיות ב-Cloud Storage.
Memory Bank מערכת לניהול מצב קבוע שמאחסנת נושאים של זיכרון מותאם אישית ומאפשרת לסוכנים לשמור על הקשר לגבי הקשר סביבתי והקשר של איומים בין סשנים.
מודלים של AI כדי להכניס לשימוש בסביבת הייצור היקש, הסוכנים בארכיטקטורה הזו משתמשים במודל Gemini העדכני ב-Vertex AI.
שרתי MCP שרתי ה-MCP מאפשרים גישה לכלים ומבצעים סטנדרטיזציה של האינטראקציה בין סוכנים לכלים. לכל צמד של סוכן וכלי, לקוח MCP שולח בקשות לשרת MCP שדרכו הסוכן ניגש לכלי, כמו מסד נתונים, מערכת קבצים או API.
כלים לנציגים הכלים האלה מאפשרים לסוכנים לאחזר נתונים להצמדה, כמו חוברות הפעלה תואמות של AI, תוכניות תגובה לאירועים, דוחות קודמים, מסמכים פנימיים וחוברות הפעלה.
ADK ערכת ה-ADK מספקת כלים ומסגרת לפיתוח, לבדיקה ולפריסה של סוכנים. ה-ADK מפשט את המורכבות של יצירת סוכנים, ומאפשר למפתחי AI להתמקד בלוגיקה וביכולות של הסוכן.

הארכיטקטורה מציגה את זרימת הנתונים הבאה:

  1. אנליסט אבטחה שולח בקשה למנהל SOC, שהוא סוכן מתאם. לדוגמה, מנתח שולח בקשה לחקור את מקרה מספר 37.
  2. האפליקציה שנפרסה ב-Cloud Run או ב-Gemini Enterprise מעבירה את הבקשה למנהל SOC.
  3. מנהל SOC משתמש ב-Gemini כדי לפרש את הבקשה של המשתמש.
  4. מנהל SOC מבצע את המשימות הבאות כדי לקבל הקשר לגבי הבקשה:
    1. שולחת שאילתה למאגר הידע של RAG כדי לאחזר את חוברות ההפעלה התואמות של ה-AI, תהליכי עבודה מומלצים בצורה של מיומנויות AI ותוכנית התגובה לאירוע.
    2. מאחזר זיכרונות קודמים כדי לזהות אם מערכת הנציג ניתחה אירועים דומים.
    3. בודק את שירות הארטיפקטים כדי למצוא דוחות או ראיות קיימים שקשורים לבקשה.
  5. מנהל ה-SOC משתמש ב-Gemini ובהקשר שהוא אסף כדי לפרק את הבקשה לרצף של משימות משנה ולזהות את הכלים המתאימים.
  6. מנהל ה-SOC מפנה באופן דינמי משימות משנה לסוכני משנה מומחים, כמו אנליסט ברמה 1 וחוקר מודיעין איומי סייבר (CTI).
  7. כל סוכן משנה מבצע את הפעולות הבאות כדי להשלים את משימות המשנה שהוקצו לו:
    1. הוא משתמש ב-Gemini כדי לפרש את מטרות המשימה.
    2. שולפת הקשר רלוונטי ממסד הידע, מהזיכרונות ומפריטי המידע של RAG.
    3. הוא משתמש בשרתי MCP כדי לאסוף את ההקשר הנוסף הבא כדי להצדיק את התשובות:
      • מסמכי ידע, כמו דוחות קודמים, מסמכים פנימיים וספרי הדרכה.
      • טלמטריה ומודיעין אבטחה שמבוססים על נתונים מ-Google SecOps ומ-Google Threat Intelligence.
    4. ‫Gemini משתמש בהקשר שהוא איתר כדי ליצור ממצאים.
    5. היא מסכמת את הממצאים בסיכום מובנה.
    6. התגובה הביניים מועברת בחזרה למנהל SOC.
  8. מנהל ה-SOC מקבל את התשובות הביניים מסוכני המשנה ומעריך את הממצאים בהתאם לדרישות של חוברת ההוראות להפעלה של ה-AI.
    1. אם הממצאים לא עומדים בקריטריונים של ההערכה, מנהל ה-SOC חוזר על הניתוח של בקשת המשתמש ומקצה משימות משנה לסוכני משנה כדי לאסוף נתונים נוספים. במהלך הלולאה האיטרטיבית הזו, מנהל ה-SOC שומר על שרשרת ההקשר הקודמת כדי לספק מידע ולהרחיב את הקריאות הבאות לכלי ואת ההקצאות של סוכני המשנה. מנהל ה-SOC ממשיך את הלולאה הזו עד שהממצאים עומדים בקריטריונים להערכה.
    2. אם הממצאים עומדים בקריטריוני ההערכה או בתנאי יציאה, כמו מספר איטרציות מקסימלי, מנהל ה-SOC מבצע את הפעולות הבאות:
      1. משתמש ב-Gemini כדי לסכם את כל הממצאים של הסוכן המשנה בדוח חקירה, ושומר את הדוח בשירות הארטיפקטים.
      2. משתמש בשרת Google SecOps MCP כדי לפרסם תוצאות בקיר התיק.
      3. שומר זיכרונות חדשים בVertex AI Memory Bank.
  9. מנהל SOC שולח את קישור הארטיפקט ואת סיכום הדוח בחזרה לניתוח האבטחה.

המוצרים שהשתמשו בהם

ארכיטקטורת מערכת הסוכנים במסמך הזה כוללת את המוצרים והכלים הבאים: Google Cloud

  • Google Security Operations: פלטפורמה לפעולות אבטחה שעוזרת לצוותי אבטחה לזהות איומי סייבר, לחקור אותם ולהגיב להם.
  • Google Threat Intelligence: פתרון אבטחה שמספק גישה מקיפה ויזומה לזיהוי איומי אבטחה, לניתוח שלהם ולצמצום הסיכון שלהם.
  • שרתי Google Cloud MCP: שירותים מרוחקים שמנוהלים על ידי Google ומיישמים את Model Context Protocol‏ (MCP) כדי לספק לאפליקציות מבוססות-AI גישה למוצרים ולשירותים של Google ו-Google Cloud.
  • Gemini: משפחה של מודלים מולטי-מודאליים של AI שפותחו על ידי Google.
  • Vertex AI: פלטפורמה ללמידת מכונה שמאפשרת לאמן ולפרוס מודלים של למידת מכונה ואפליקציות AI, ולהתאים אישית מודלים של שפה גדולה (LLM) לשימוש באפליקציות מבוססות-AI.
  • ערכה לפיתוח סוכנים (ADK): קבוצה של כלים וספריות לפיתוח, לבדיקה ולפריסה של סוכני AI.
  • Model Armor: שירות שמספק הגנה למשאבי AI גנרטיבי ו-AI מבוסס-סוכנים מפני החדרת הנחיות, דליפות של מידע אישי רגיש ותוכן מזיק.
  • Memory Bank: שירות אחסון מתמיד שיוצר, משפר, מנהל ומאחזר זיכרונות לטווח ארוך על סמך שיחות של משתמש עם סוכן.
  • Cloud Storage: מאגר אובייקטים ללא הגבלה בעלות נמוכה, לשימוש עם סוגים שונים של נתונים. אפשר לגשת לנתונים מתוך Google Cloudומחוץ לו, והם משוכפלים במיקומים שונים כדי ליצור יתירות.

מידע על בחירת רכיבים חלופיים למערכת AI אקטיבי, כולל מסגרת, זמן ריצה של סוכנים, כלים, זיכרון ודפוסי עיצוב, זמין במאמר בחירת רכיבי הארכיטקטורה של AI אקטיבי.

שיקולים בתכנון

כדי להטמיע את הארכיטקטורה הזו בסביבת ייצור, כדאי לפעול לפי ההמלצות הבאות:

  • גישה לכלי סוכן: כדי לצמצם את צריכת הטוקנים ולאכוף את העקרון של הרשאות מינימליות, צריך לספק קבוצות משנה של כלים לסוכנים שונים לפי הצורך.
  • הגדרת היקף הפעולה של הסוכן: כדי לשפר את רמת הדיוק של המודל, צריך להגדיר את היקף הפעולה של כל סוכן בהוראות המערכת ובספרי ההפעלה.
  • ניהול חלון ההקשר: כדי לצמצם את צריכת הטוקנים, כדאי לעצב את ההנחיות ואת התוצאות של כלי העזר בצורה תמציתית. מומלץ להשתמש במאגרי RAG ובכישורי סוכנים כדי לטעון מראש את ההקשר ולסכם תשובות ארוכות של כלי עזר.
  • שמירת הנחיות במטמון: כדי להפחית את העלויות של טוקנים של קלט, אפשר לשמור במטמון תוכן סטטי של סוכנים, כמו הוראות מערכת, פרסונות, ספרי הפעלה וסכימת כלים.
  • בחירת מודל: המודל שבוחרים לאפליקציית ה-AI משפיע ישירות על העלויות ועל הביצועים. בוחרים מודלים שונים במערכת מבוססת-הסוכנים בהתאם לתפקידים השונים של הסוכנים ולדרישות המשימה. כדי לבצע חשיבה רציונלית מורכבת ולפרק משימות, כדאי להשתמש במודל חשיבה כמו Gemini Pro. למשימות קטנות וישירות, כדאי להשתמש במודל מהיר וזול כמו Gemini Flash.
  • תאימות של סכימת ה-MCP: כדי למנוע ממודל ה-AI לפרש לא נכון את הגדרות הכלים ולבצע קריאות שגויות לכלים, צריך לבצע סניטציה של סכימות הכלים. יוצרים מבנים עצמאיים עבור סכימת JSON‏ $ref ו-$defs ומנרמלים מחרוזות של סוגים באותיות רישיות.
  • סביבות אימות: כדי להבטיח אימות חלק בסביבות שונות, צריך להגדיר את צינורות הפריסה לניהול המעבר מאסטרטגיות אימות של פיתוח. לדוגמה, יכול להיות שתצטרכו לעבור מApplication Default Credentials ‏ (ADC) בהרצה מקומית לחשבונות שירות שמנוהלים על ידי ניהול הזהויות והרשאות הגישה (IAM) עבור שרתי MCP מרוחקים מתארחים בסביבת ייצור.

פריסה

כדי לפרוס הטמעה לדוגמה של הארכיטקטורה הזו שמספקת סוכני SOC בהתאמה אישית, אפשר להשתמש בדוגמת הקוד של Agentic SOC Gemini Enterprise שזמינה ב-GitHub.

מומלץ לבצע איטרציה על הסוכן בסדר הבא:

  1. פריסה מקומית באמצעות ADK web: קיצור תהליך יצירת האב טיפוס וביצוע מהיר של איטרציות על הלוגיקה של הסוכן.
  2. פריסה למאגר מקומי: כדי להבטיח סביבה ניידת וקבועה עם תלות עקבית.
  3. פריסת הקונטיינר ב-Cloud Run או ב-Vertex AI Agent Engine: אפשר להרחיב את השימוש בסוכנים כדי לבצע פעולות אבטחה יעילות ולהעביר את האפליקציה מפיתוח לייצור.

המאמרים הבאים

שותפים ביצירת התוכן

מחברים:

תורמי תוכן אחרים: