Intégrer Vertex AI à Google SecOps
Ce document explique comment intégrer Vertex AI à Google Security Operations (Google SecOps).
Version de l'intégration : 1.0
Avant de commencer
Pour utiliser l'intégration, vous avez besoin d'un projet Google Cloud , d'un compte de service Google Cloud et d'un rôle IAM (Identity and Access Management).
Pour en savoir plus sur les tarifs, consultez la page Tarifs de Vertex AI.
Configurer un projet Google Cloud
Pour créer et configurer un Google Cloud projet pour l'intégration Vertex AI, configurez un Google Cloud projet.
Créer et configurer un compte de service
Pour intégrer Vertex AI à Google SecOps, vous pouvez utiliser un compte de service existant ou en créer un. Pour savoir comment créer un compte de service, consultez Créer des comptes de service.
Si vous n'utilisez pas d'adresse e-mail d'identité de charge de travail pour configurer l'intégration, créez une clé de compte de service au format JSON après avoir créé un compte de service. Vous devez fournir l'intégralité du contenu du fichier de clé JSON téléchargé lorsque vous configurez les paramètres d'intégration.
Pour des raisons de sécurité, nous vous recommandons d'utiliser des adresses e-mail Workload Identity au lieu de clés JSON de compte de service. Pour en savoir plus sur les identités de charge de travail, consultez Identités pour les charges de travail.
Configurer le rôle IAM
Pour l'intégration à Vertex AI, accordez le rôle IAM Utilisateur Vertex AI (roles/aiplatform.user) au compte de service que vous utilisez pour configurer l'intégration.
Pour en savoir plus sur les rôles IAM Vertex AI, consultez Contrôle des accès à Vertex AI avec IAM.
Paramètres d'intégration
L'intégration de Vertex AI nécessite les paramètres suivants :
| Paramètres | Description |
|---|---|
API Root |
Obligatoire Racine de l'API de l'intégration Vertex AI. La valeur par défaut est |
Workload Identity Email |
Optional Adresse e-mail du client de votre fédération d'identité de charge de travail. Vous pouvez configurer ce paramètre ou le paramètre Dans cette intégration, l'authentification avec le fichier JSON de clé de compte de service est prioritaire par rapport à la fédération d'identité de charge de travail. Pour emprunter l'identité de comptes de service avec la fédération d'identité de charge de travail, accordez le rôle |
Service Account Json File Content |
Optional Contenu du fichier JSON de clé de compte de service. Vous pouvez configurer ce paramètre ou le paramètre Pour configurer ce paramètre, indiquez le contenu complet du fichier JSON de la clé de compte de service que vous avez téléchargé lors de la création d'un compte de service. Pour en savoir plus sur l'utilisation des comptes de service comme méthode d'authentification, consultez la présentation des comptes de service. |
Project ID |
Optional ID du projet à utiliser dans l'intégration. Si vous ne définissez pas de valeur pour ce paramètre, l'intégration récupère l'ID du projet à partir de votre compte de service Google Cloud . |
Default Model |
Optional Nom du modèle par défaut à utiliser dans l'intégration. La valeur par défaut est |
Location |
Optional ID de l'emplacement pour l'API Vertex AI. Si vous ne définissez pas de valeur, l'intégration extrait l'ID du lieu à partir de la racine de l'API. Pour en savoir plus sur les emplacements, les points de terminaison et les ressources, consultez l'API Vertex AI. |
Verify SSL |
Obligatoire Si cette option est sélectionnée, l'intégration vérifie que le certificat SSL pour la connexion à Vertex AI est valide. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre espace de travail et Effectuer une action manuelle.
Analyser les fichiers EML
Utilisez l'action Analyser un fichier EML pour analyser les fichiers EML à l'aide de Vertex AI. Cette action envoie chaque fichier individuellement.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Analyser un fichier EML nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Model ID |
Optional ID du modèle à utiliser, par exemple |
Temperature |
Optional Valeur permettant de contrôler le degré de hasard dans la sélection d'un jeton. Ce paramètre accepte les valeurs du type de données Pour en savoir plus sur les valeurs de température, consultez Tester les valeurs de paramètres. |
Files To Analyze |
Obligatoire Liste de fichiers EML à envoyer pour analyse, séparés par une virgule. |
Max Output Tokens |
Optional Nombre maximal de jetons de sortie à générer dans chaque réponse. Un jeton correspond environ à quatre caractères. 100 jetons correspondent environ à 60-80 mots. Cette limite s'applique à chaque entité individuelle. Pour en savoir plus, consultez Tester les valeurs de paramètres. La valeur par défaut est |
Sorties d'action
L'action Analyser l'EML fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Analyser l'EML :
[{
"Entity": "file",
"EntityResult": {
"raw": "{\"threat_level\": \"High\", \"threats_found\": [{\"threat\": \"Phishing Links\", \"explanation\": \"Multiple links point",
"extracted_info": {
"threat_level": "High",
"threats_found": [
{
"threat": "Phishing Links",
"explanation": "Multiple links point to example.com, a suspicious domain likely used for phishing campaigns.",
"example": "URL"
},
{
"threat": "Social Engineering",
"explanation": "The email uses urgency and scarcity tactics, pressuring the recipient to click links quickly.",
"example": "Register Now and Save $1,000 on all 2-Day Project Management (Fundamentals)"
},
{
"threat": "Suspicious Domain",
"explanation": "The email uses the domain example.com', which is not commonly associated with legitimate businesses or organizations and may be a newly registered domain for malicious purposes. This should be checked for validity and legitimacy. The email also uses the domain pdu-xl.com which may also be suspicious.",
"example": "example.com"
}
],
"verification_steps": [
"Check the domain reputation of example.com using online tools like VirusTotal or URLVoid.",
"Analyze email headers to identify the true sender's IP address and location using email analysis tools.",
"Verify the legitimacy of mentioned products or services by independently contacting the companies mentioned."
],
"protection_measures": [
"Avoid clicking links in suspicious emails. Hover over links to check the actual URL in a separate tool.",
"Enable email filtering and anti-phishing features in your email client.",
"Regularly update your antivirus and anti-malware software.",
"Educate users about social engineering tactics and phishing schemes."
]
},
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}]
Messages de sortie
L'action Analyser le fichier EML peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully analysed the following EML files using Vertex AI:
FILE_PATHS |
L'action a réussi. |
Error executing action "Analyze EML". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Analyser un fichier EML :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Décrire une entité
Utilisez l'action Décrire l'entité pour résumer des informations sur les entités à l'aide de Vertex AI.
Cette action s'exécute sur toutes les entités Google SecOps et envoie chaque entité individuellement.
Entrées d'action
L'action Décrire l'entité requiert les paramètres suivants :
| Paramètre | Description |
|---|---|
Model ID |
Optional ID du modèle à utiliser, par exemple |
Temperature |
Optional Valeur permettant de contrôler le degré de hasard dans la sélection d'un jeton. Ce paramètre accepte les valeurs du type de données Pour en savoir plus sur les valeurs de température, consultez Tester les valeurs de paramètres. |
Exclude Fields |
Optional Liste des champs de métadonnées de l'entité Google SecOps à exclure lors de la génération du récapitulatif de l'entité, séparés par une virgule. |
Force Refresh |
Optional Si cette option est sélectionnée, l'action ignore le paramètre (non sélectionnée par défaut). |
Refresh After (Days) |
Obligatoire Nombre de jours pendant lesquels l'action doit attendre avant d'actualiser le récapitulatif de l'entité. L'action génère une valeur de hachage basée sur toutes les entrées envoyées à Vertex AI, à l'exception des valeurs du paramètre
|
Max Output Tokens |
Optional Nombre maximal de jetons de sortie à générer dans chaque réponse. Un jeton correspond environ à quatre caractères. 100 jetons correspondent environ à 60-80 mots. Cette limite s'applique à chaque entité individuelle. Pour en savoir plus, consultez Tester les valeurs de paramètres. |
Sorties d'action
L'action Décrire l'entité fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Décrire l'entité :
[
{
"Entity": "1B16D64CE18772B8F77C74C3D4DC24AA066BB117",
"EntityResult": {
"summary": "This is a suspicious, enriched, internal file hash (SHA1: 1B16D64CE18772B8F77C74C3D4DC24AA066BB117) identified as a Microsoft Excel 2007+ file (\"FC090000\") located on a user's desktop. VirusTotal analysis shows 3 malicious flags out of 65 total engines. The file contains macros, is potentially obfuscated, and exhibits behaviors like writing to files, running DLLs, and downloading content. It was last modified on 2024-11-13 and created on 2021-07-07. The file is linked to a single case (\"potential_apt_doc_files\") which was closed. The file is flagged as an artifact but not vulnerable or a pivot point.\n",
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}
]
Messages de sortie
L'action Describe Entity (Décrire l'entité) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully summarized the entity based on the available
information using Vertex AI. |
L'action a réussi. |
Error executing action "Describe Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Décrire l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter le prompt
Utilisez l'action Exécuter la requête pour exécuter des requêtes textuelles individuelles à l'aide de Vertex AI.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter la requête nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Model ID |
Optional ID du modèle à utiliser, par exemple |
Text Prompt |
Obligatoire Instructions textuelles à inclure dans la requête. |
Temperature |
Optional Valeur permettant de contrôler le degré de hasard dans la sélection d'un jeton. Ce paramètre accepte les valeurs du type de données Pour en savoir plus sur les valeurs de température, consultez Tester les valeurs de paramètres. |
Candidate Count |
Optional Nombre de variantes de réponse à renvoyer à chaque exécution d'action. Pour chaque requête, la facturation s'applique une fois à un jeton d'entrée et à chaque jeton de sortie de tous les candidats générés. |
Response MIME Type |
Optional Type de contenu (MIME) de la réponse de sortie pour le texte candidat généré. Le type MIME du média de réponse est disponible pour les modèles suivants : Les valeurs possibles sont les suivantes :
text/plain. |
Response Schema |
Optional Schéma que le texte candidat généré doit suivre. Pour utiliser ce paramètre, configurez le paramètre Le schéma de réponse est disponible pour les modèles suivants : |
Max Input Tokens |
Optional Nombre maximal de jetons d'entrée à envoyer. Un jeton se compose d'un maximum de quatre caractères. 100 jetons peuvent correspondre à 60 à 80 mots. Si vous ne définissez pas de valeur, l'action exécute n'importe quelle invite. Si le nombre de jetons dépasse le nombre maximal configuré, l'action échoue. |
Max Output Tokens |
Optional Nombre maximal de jetons de sortie à générer dans chaque réponse. Un jeton correspond environ à quatre caractères. 100 jetons correspondent environ à 60-80 mots. Cette limite s'applique à chaque entité individuelle. Pour en savoir plus, consultez Tester les valeurs de paramètres. |
Sorties d'action
L'action Exécuter l'invite fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Exécuter l'invite :
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Responding to a malicious email requires a layered approach. Here's a breakdown of remediation steps, prioritizing actions based on urgency:\n\n**Immediate Actions (within minutes):**\n\n1. **Do NOT click any links or open any attachments.** This is paramount. Malicious links can download malware, and attachments can contain viruses or exploits.\n\n2. **Disconnect from the internet (if possible).** This limits the damage the malware can do if it's already on your system. Unplug your ethernet cable or turn off Wi-Fi.\n\n3. **Close the email immediately.** Don't even hover over links or attachments; the preview might be enough to trigger some malware.\n\n**Investigative Actions (within hours):**\n\n4. **Check your email account for unauthorized access.** Look for unfamiliar sent emails, changed settings (like forwarding rules), or new accounts added.\n\n5. **Run a full system scan with your antivirus software.** Ensure your antivirus definitions are up-to-date before running the scan. Consider a second opinion scan with a different reputable antivirus program.\n\n6. **Review your computer's processes (Task Manager on Windows, Activity Monitor on macOS).** Look for unfamiliar processes consuming significant resources. This could indicate malware activity.\n\n7. **Check your network connections.** See if any unauthorized connections exist.\n\n8. **Change your email password immediately.** Use a strong, unique password. Consider using a password manager.\n\n9. **If you clicked a link or opened an attachment, consider the potential impact.** Did you enter credentials? Did you download a file? The severity of action needed depends on this.\n\n**Remediation Actions (within days):**\n\n10. **Contact your IT department or security professional.** They can provide expert guidance and assist with more advanced remediation steps.\n\n11. **Consider more advanced malware scanning tools.** There are specialized tools that can detect malware missed by standard antivirus.\n\n12. **Review your operating system's security settings.** Ensure firewalls are enabled and that other security features are adequately configured.\n\n13. **Report the malicious email to your email provider.** This helps them remove the email and prevent others from being affected. You can often do this by forwarding the email to an abuse reporting address provided by your provider. Report it to the appropriate authorities if you suspect the email involves a crime.\n\n14. **Monitor your accounts and financial records for suspicious activity.** Phishing emails often aim to steal credentials and financial information.\n\n**Preventive Actions (ongoing):**\n\n15. **Implement strong email filtering.** Use spam filters and configure your email provider's security settings to block suspicious emails.\n\n16. **Train yourself and others to identify phishing emails.** Be wary of emails with unusual addresses, grammatical errors, urgent requests, or suspicious attachments.\n\n17. **Keep your software up to date.** Regularly update your operating system, applications, and antivirus software.\n\n18. **Use strong, unique passwords for all accounts.** A password manager can assist with this.\n\n19. **Enable two-factor authentication (2FA) wherever possible.** This adds an extra layer of security to your accounts.\n\n\n**If you suspect your personal data or financial information has been compromised:**\n\n* **Contact your bank and credit card companies immediately.** Report any suspicious transactions and consider placing a fraud alert on your accounts.\n* **Consider credit monitoring services.** This can help you detect and respond to identity theft.\n\n\nThe severity of the remediation steps depends on the nature of the malicious email and what actions you took in response to it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Messages de sortie
L'action Exécuter une invite peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully executed a prompt. |
L'action a réussi. |
Error executing action "Execute Prompt". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Exécuter l'invite :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à Vertex AI.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
Successfully connected to Vertex AI with the provided connection
parameters! |
L'action a réussi. |
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Transformer des données
Utilisez l'action Transformer les données pour effectuer des transformations de données à l'aide de Vertex AI.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Transformer les données nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Model ID |
Optional ID du modèle à utiliser, par exemple |
Text Prompt |
Obligatoire Instructions textuelles à inclure dans la requête. |
Temperature |
Optional Valeur permettant de contrôler le degré de hasard dans la sélection d'un jeton. Ce paramètre accepte les valeurs du type de données Pour en savoir plus sur les valeurs de température, consultez Tester les valeurs de paramètres. |
JSON Object |
Obligatoire Objet JSON à utiliser comme entrée d'action. |
Max Output Tokens |
Obligatoire Nombre maximal de jetons de sortie à générer dans chaque réponse. Un jeton correspond environ à quatre caractères. 100 jetons correspondent environ à 60-80 mots. Cette limite s'applique à chaque entité individuelle. Pour en savoir plus, consultez Tester les valeurs de paramètres. La valeur par défaut est |
Sorties d'action
L'action Transformer les données fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Transformer des données :
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Respondo it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Messages de sortie
L'action Transformer les données peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Successfully transformed provided data. |
L'action a réussi. |
Error executing action "Transform Data". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Transformer les données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.