Integra Vertex AI con Google SecOps
Questo documento spiega come integrare Vertex AI con Google Security Operations (Google SecOps).
Versione integrazione: 1.0
Prima di iniziare
Per utilizzare l'integrazione, devi disporre di un progetto Google Cloud , un service account Google Cloud e un ruolo Identity and Access Management (IAM).
Per ulteriori informazioni sui prezzi, consulta la pagina Prezzi di Vertex AI.
Configurare un progetto Google Cloud
Per creare e configurare un progetto Google Cloud per l'integrazione di Vertex AI, configura un progetto Google Cloud .
Crea e configura un account di servizio
Per integrare Vertex AI con Google SecOps, puoi utilizzare unaccount di serviziot esistente o crearne uno nuovo. Per indicazioni sulla creazione di un account di servizio, vedi Creare service account.
Se non utilizzi un'email dell'identità del workload per configurare l'integrazione, crea una chiave dell'account di servizio in JSON dopo aver creato un account di servizio. Quando configuri i parametri di integrazione, devi fornire l'intero contenuto del file di chiave JSON scaricato.
Per motivi di sicurezza, ti consigliamo di utilizzare indirizzi email di identità del workload anziché chiavi JSON account di servizio. Per saperne di più sulle identità dei workload, consulta Identità per i workload.
Configura il ruolo IAM
Per l'integrazione con Vertex AI, concedi il ruolo IAM Utente Vertex AI
(roles/aiplatform.user)
al account di servizio che utilizzi per configurare l'integrazione.
Per saperne di più sui ruoli IAM di Vertex AI, consulta Controllo dell'controllo dell'accesso di Vertex AI con IAM.
Parametri di integrazione
L'integrazione di Vertex AI richiede i seguenti parametri:
| Parametri | Descrizione |
|---|---|
API Root |
Obbligatorio La radice dell'API dell'integrazione di Vertex AI. Il valore predefinito è
|
Workload Identity Email |
Optional L'indirizzo email client della tua federazione delle identità per i workload. Puoi configurare questo parametro o il parametro In questa integrazione, l'autenticazione con il file JSON della chiave dell'account di servizio ha la priorità sulla federazione delle identità dei carichi di lavoro. Per simulare l'identità dei service account con la federazione delle identità per i carichi di lavoro,
concedi il ruolo |
Service Account Json File Content |
Optional Il contenuto del file JSON della chiave dell'account di servizio. Puoi configurare questo parametro o il parametro Per configurare questo parametro, fornisci l'intero contenuto del file JSON della chiave dell'account di servizio che hai scaricato durante la creazione di un account di servizio. Per ulteriori informazioni sull'utilizzo dei service account come metodo di autenticazione, consulta Panoramica dei service account. |
Project ID |
Optional L'ID progetto da utilizzare nell'integrazione. Se non imposti un valore per questo parametro, l'integrazione recupera l'ID progetto dal tuo account di servizio Google Cloud . |
Default Model |
Optional Il nome del modello predefinito da utilizzare nell'integrazione. Il valore predefinito è |
Location |
Optional L'ID località per l'API Vertex AI. Se non imposti un valore, l'integrazione estrae l'ID località dalla radice dell'API. Per ulteriori informazioni su località, endpoint e risorse, consulta l'API Vertex AI. |
Verify SSL |
Obbligatorio Se selezionata, l'integrazione verifica che il certificato SSL per la connessione a Vertex AI sia valido. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni sulla configurazione di un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più sulla configurazione e sul supporto di più istanze, consulta Supporto di più istanze.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania ed Eseguire un'azione manuale.
Analizza EML
Utilizza l'azione Analizza EML per analizzare i file EML utilizzando Vertex AI. Questa azione invia ogni file singolarmente.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Analizza EML richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Model ID |
Optional L'ID del modello da utilizzare, ad esempio
|
Temperature |
Optional Il valore per controllare il grado di casualità in una
selezione di token. Questo parametro accetta valori del tipo di dati Per ulteriori informazioni sui valori di temperatura, consulta la sezione Sperimenta con i valori dei parametri. |
Files To Analyze |
Obbligatorio Un elenco separato da virgole di file EML da inviare per l'analisi. |
Max Output Tokens |
Optional Il numero massimo di token di output da generare in ogni risposta. Un token equivale a circa quattro caratteri. 100 token corrispondono a circa 60-80 parole. Questo limite si applica a ogni singola entità. Per ulteriori informazioni, consulta la sezione Sperimentare con i valori dei parametri. Il valore predefinito è |
Output dell'azione
L'azione Analizza EML fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Analizza EML:
[{
"Entity": "file",
"EntityResult": {
"raw": "{\"threat_level\": \"High\", \"threats_found\": [{\"threat\": \"Phishing Links\", \"explanation\": \"Multiple links point",
"extracted_info": {
"threat_level": "High",
"threats_found": [
{
"threat": "Phishing Links",
"explanation": "Multiple links point to example.com, a suspicious domain likely used for phishing campaigns.",
"example": "URL"
},
{
"threat": "Social Engineering",
"explanation": "The email uses urgency and scarcity tactics, pressuring the recipient to click links quickly.",
"example": "Register Now and Save $1,000 on all 2-Day Project Management (Fundamentals)"
},
{
"threat": "Suspicious Domain",
"explanation": "The email uses the domain example.com', which is not commonly associated with legitimate businesses or organizations and may be a newly registered domain for malicious purposes. This should be checked for validity and legitimacy. The email also uses the domain pdu-xl.com which may also be suspicious.",
"example": "example.com"
}
],
"verification_steps": [
"Check the domain reputation of example.com using online tools like VirusTotal or URLVoid.",
"Analyze email headers to identify the true sender's IP address and location using email analysis tools.",
"Verify the legitimacy of mentioned products or services by independently contacting the companies mentioned."
],
"protection_measures": [
"Avoid clicking links in suspicious emails. Hover over links to check the actual URL in a separate tool.",
"Enable email filtering and anti-phishing features in your email client.",
"Regularly update your antivirus and anti-malware software.",
"Educate users about social engineering tactics and phishing schemes."
]
},
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}]
Messaggi di output
L'azione Analizza EML può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully analysed the following EML files using Vertex AI:
FILE_PATHS |
L'azione è riuscita. |
Error executing action "Analyze EML". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Analizza EML:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Descrivi entità
Utilizza l'azione Descrivi entità per riassumere le informazioni sulle entità utilizzando Vertex AI.
Questa azione viene eseguita su tutte le entità Google SecOps e invia ogni entità singolarmente.
Input azione
L'azione Descrivi entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Model ID |
Optional L'ID del modello da utilizzare, ad esempio
|
Temperature |
Optional Il valore per controllare il grado di casualità in una
selezione di token. Questo parametro accetta valori del tipo di dati Per ulteriori informazioni sui valori di temperatura, consulta la sezione Sperimenta con i valori dei parametri. |
Exclude Fields |
Optional Un elenco separato da virgole dei campi dei metadati dell'entità Google SecOps da escludere durante la generazione del riepilogo dell'entità. |
Force Refresh |
Optional Se selezionata, l'azione ignora il parametro Non selezionato per impostazione predefinita. |
Refresh After (Days) |
Obbligatorio Il numero di giorni di attesa dell'azione prima di aggiornare il riepilogo dell'entità. L'azione genera un valore hash
basato su tutti gli input inviati a Vertex AI, esclusi i valori
del parametro
|
Max Output Tokens |
Optional Il numero massimo di token di output da generare in ogni risposta. Un token equivale a circa quattro caratteri. 100 token corrispondono a circa 60-80 parole. Questo limite si applica a ogni singola entità. Per ulteriori informazioni, consulta la sezione Sperimentare con i valori dei parametri. |
Output dell'azione
L'azione Descrivi entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Descrivi entità:
[
{
"Entity": "1B16D64CE18772B8F77C74C3D4DC24AA066BB117",
"EntityResult": {
"summary": "This is a suspicious, enriched, internal file hash (SHA1: 1B16D64CE18772B8F77C74C3D4DC24AA066BB117) identified as a Microsoft Excel 2007+ file (\"FC090000\") located on a user's desktop. VirusTotal analysis shows 3 malicious flags out of 65 total engines. The file contains macros, is potentially obfuscated, and exhibits behaviors like writing to files, running DLLs, and downloading content. It was last modified on 2024-11-13 and created on 2021-07-07. The file is linked to a single case (\"potential_apt_doc_files\") which was closed. The file is flagged as an artifact but not vulnerable or a pivot point.\n",
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}
]
Messaggi di output
L'azione Descrivi entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully summarized the entity based on the available
information using Vertex AI. |
L'azione è riuscita. |
Error executing action "Describe Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Descrivi entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui prompt
Utilizza l'azione Esegui prompt per eseguire singoli prompt di testo utilizzando Vertex AI.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Esegui prompt richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Model ID |
Optional L'ID del modello da utilizzare, ad esempio
|
Text Prompt |
Obbligatorio Le istruzioni di testo da includere nel prompt. |
Temperature |
Optional Il valore per controllare il grado di casualità in una
selezione di token. Questo parametro accetta valori del tipo di dati Per ulteriori informazioni sui valori di temperatura, consulta la sezione Sperimenta con i valori dei parametri. |
Candidate Count |
Optional Il numero di varianti di risposta da restituire in ogni esecuzione dell'azione. Per ogni richiesta, la fatturazione si applica a un token di input una volta e a ogni token di output di tutti i candidati generati. |
Response MIME Type |
Optional Il tipo (MIME) di contenuti multimediali della risposta di output per il testo candidato generato. Il tipo di media (MIME) della risposta è disponibile
per i seguenti modelli: I valori possibili sono:
text/plain. |
Response Schema |
Optional Lo schema del testo candidato generato da seguire. Per utilizzare questo parametro, configura il parametro Lo schema di risposta è disponibile per i seguenti modelli: |
Max Input Tokens |
Optional Il numero massimo di token di input da inviare. Un token è costituito da un massimo di quattro caratteri. 100 token possono corrispondere a 60-80 parole. Se non imposti un valore, l'azione esegue qualsiasi prompt. Se il numero di token supera il numero massimo configurato, l'azione non va a buon fine. |
Max Output Tokens |
Optional Il numero massimo di token di output da generare in ogni risposta. Un token equivale a circa quattro caratteri. 100 token corrispondono a circa 60-80 parole. Questo limite si applica a ogni singola entità. Per ulteriori informazioni, consulta la sezione Sperimentare con i valori dei parametri. |
Output dell'azione
L'azione Esegui prompt fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Esegui prompt:
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Responding to a malicious email requires a layered approach. Here's a breakdown of remediation steps, prioritizing actions based on urgency:\n\n**Immediate Actions (within minutes):**\n\n1. **Do NOT click any links or open any attachments.** This is paramount. Malicious links can download malware, and attachments can contain viruses or exploits.\n\n2. **Disconnect from the internet (if possible).** This limits the damage the malware can do if it's already on your system. Unplug your ethernet cable or turn off Wi-Fi.\n\n3. **Close the email immediately.** Don't even hover over links or attachments; the preview might be enough to trigger some malware.\n\n**Investigative Actions (within hours):**\n\n4. **Check your email account for unauthorized access.** Look for unfamiliar sent emails, changed settings (like forwarding rules), or new accounts added.\n\n5. **Run a full system scan with your antivirus software.** Ensure your antivirus definitions are up-to-date before running the scan. Consider a second opinion scan with a different reputable antivirus program.\n\n6. **Review your computer's processes (Task Manager on Windows, Activity Monitor on macOS).** Look for unfamiliar processes consuming significant resources. This could indicate malware activity.\n\n7. **Check your network connections.** See if any unauthorized connections exist.\n\n8. **Change your email password immediately.** Use a strong, unique password. Consider using a password manager.\n\n9. **If you clicked a link or opened an attachment, consider the potential impact.** Did you enter credentials? Did you download a file? The severity of action needed depends on this.\n\n**Remediation Actions (within days):**\n\n10. **Contact your IT department or security professional.** They can provide expert guidance and assist with more advanced remediation steps.\n\n11. **Consider more advanced malware scanning tools.** There are specialized tools that can detect malware missed by standard antivirus.\n\n12. **Review your operating system's security settings.** Ensure firewalls are enabled and that other security features are adequately configured.\n\n13. **Report the malicious email to your email provider.** This helps them remove the email and prevent others from being affected. You can often do this by forwarding the email to an abuse reporting address provided by your provider. Report it to the appropriate authorities if you suspect the email involves a crime.\n\n14. **Monitor your accounts and financial records for suspicious activity.** Phishing emails often aim to steal credentials and financial information.\n\n**Preventive Actions (ongoing):**\n\n15. **Implement strong email filtering.** Use spam filters and configure your email provider's security settings to block suspicious emails.\n\n16. **Train yourself and others to identify phishing emails.** Be wary of emails with unusual addresses, grammatical errors, urgent requests, or suspicious attachments.\n\n17. **Keep your software up to date.** Regularly update your operating system, applications, and antivirus software.\n\n18. **Use strong, unique passwords for all accounts.** A password manager can assist with this.\n\n19. **Enable two-factor authentication (2FA) wherever possible.** This adds an extra layer of security to your accounts.\n\n\n**If you suspect your personal data or financial information has been compromised:**\n\n* **Contact your bank and credit card companies immediately.** Report any suspicious transactions and consider placing a fraud alert on your accounts.\n* **Consider credit monitoring services.** This can help you detect and respond to identity theft.\n\n\nThe severity of the remediation steps depends on the nature of the malicious email and what actions you took in response to it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Messaggi di output
L'azione Esegui prompt può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully executed a prompt. |
L'azione è riuscita. |
Error executing action "Execute Prompt". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Esegui prompt:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a Vertex AI.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to Vertex AI with the provided connection
parameters! |
L'azione è riuscita. |
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Trasforma dati
Utilizza l'azione Trasforma dati per eseguire trasformazioni dei dati utilizzando Vertex AI.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Trasforma i dati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Model ID |
Optional L'ID del modello da utilizzare, ad esempio
|
Text Prompt |
Obbligatorio Le istruzioni di testo da includere nel prompt. |
Temperature |
Optional Il valore per controllare il grado di casualità in una
selezione di token. Questo parametro accetta valori del tipo di dati Per ulteriori informazioni sui valori di temperatura, consulta la sezione Sperimenta con i valori dei parametri. |
JSON Object |
Obbligatorio L'oggetto JSON da utilizzare come input dell'azione. |
Max Output Tokens |
Obbligatorio Il numero massimo di token di output da generare in ogni risposta. Un token equivale a circa quattro caratteri. 100 token corrispondono a circa 60-80 parole. Questo limite si applica a ogni singola entità. Per ulteriori informazioni, consulta la sezione Sperimentare con i valori dei parametri. Il valore predefinito è |
Output dell'azione
L'azione Trasforma i dati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Trasforma dati:
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Respondo it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Messaggi di output
L'azione Trasforma i dati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully transformed provided data. |
L'azione è riuscita. |
Error executing action "Transform Data". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Trasforma i dati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.