Integre o Vertex AI com o Google SecOps

Este documento explica como integrar a Vertex AI com o Google Security Operations (Google SecOps).

Versão da integração: 1.0

Antes de começar

Para usar a integração, precisa de um Google Cloud projeto, uma Google Cloud conta de serviço e uma função de gestão de identidade e de acesso (IAM).

Para mais informações sobre preços, consulte os preços do Vertex AI.

Configure um Google Cloud projeto

Para criar e configurar um Google Cloud projeto para a integração do Vertex AI, configure um Google Cloud projeto.

Crie e configure uma conta de serviço

Para integrar a Vertex AI com o Google SecOps, pode usar uma conta de serviço existente ou criar uma nova. Para ver orientações sobre como criar uma conta de serviço, consulte o artigo Criar contas de serviço.

Se não usar um email de identidade da carga de trabalho para configurar a integração, crie uma chave de conta de serviço em JSON depois de criar uma conta de serviço. Tem de fornecer o conteúdo completo do ficheiro de chave JSON transferido quando configurar os parâmetros de integração.

Por motivos de segurança, recomendamos que use endereços de email da identidade da carga de trabalho em vez de chaves JSON de contas de serviço. Para mais informações sobre as identidades de cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.

Configure a função IAM

Para fazer a integração com o Vertex AI, conceda a função do IAM utilizador do Vertex AI (roles/aiplatform.user) à conta de serviço que usa para configurar a integração.

Para saber mais sobre as funções da IAM da Vertex AI, consulte o artigo Controlo de acesso da Vertex AI com a IAM.

Parâmetros de integração

A integração do Vertex AI requer os seguintes parâmetros:

Parâmetros Descrição
API Root Obrigatório

A raiz da API da integração do Vertex AI.

O valor predefinido é https://LOCATION-aiplatform.googleapis.com.

Workload Identity Email Opcional

O endereço de email do cliente da sua federação de identidades de workload.

Pode configurar este parâmetro ou o parâmetro Service Account Json File Content.

Nesta integração, a autenticação com o ficheiro JSON da chave da conta de serviço tem prioridade sobre a Workload Identity Federation.

Para usar a identidade de contas de serviço com a federação de identidades da carga de trabalho, conceda a função Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre as identidades de cargas de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
Service Account Json File Content Opcional

O conteúdo do ficheiro JSON da chave da conta de serviço.

Pode configurar este parâmetro ou o parâmetro Workload Identity Email.

Para configurar este parâmetro, forneça o conteúdo completo do ficheiro JSON da chave da conta de serviço que transferiu quando criou uma conta de serviço.

Para mais informações sobre a utilização de contas de serviço como método de autenticação, consulte o artigo Vista geral das contas de serviço.
Project ID Opcional

O ID do projeto a usar na integração.

Se não definir um valor para este parâmetro, a integração obtém o ID do projeto a partir da sua Google Cloud conta de serviço.
Default Model Opcional

O nome do modelo predefinido a usar na integração.

O valor predefinido é gemini-1.5-flash-002.

Location Opcional

O ID da localização da API Vertex AI.

Se não definir um valor, a integração extrai o ID da localização da raiz da API.

Para mais informações sobre localizações, pontos finais e recursos, consulte a API Vertex AI.
Verify SSL Obrigatório

Se esta opção estiver selecionada, a integração verifica se o certificado SSL para estabelecer ligação ao Vertex AI é válido.

Selecionado por predefinição.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre a configuração e o suporte de várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir de O seu espaço de trabalho e Realize uma ação manual.

Analise EML

Use a ação Analisar EML para analisar ficheiros EML através do Vertex AI. Esta ação envia cada ficheiro individualmente.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Analyze EML requer os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a usar, como gemini-1.5-flash-002.
Temperature Opcional

O valor para controlar o grau de aleatoriedade numa seleção de tokens. Este parâmetro aceita valores do floattipo de dados.

Para mais informações sobre os valores de temperatura, consulte o artigo Experimente com os valores dos parâmetros.
Files To Analyze Obrigatório

Uma lista de ficheiros EML separados por vírgulas a enviar para análise.
Max Output Tokens Opcional

O número máximo de tokens de saída a gerar em cada resposta.

Um token tem aproximadamente quatro carateres. 100 tokens correspondem a cerca de 60 a 80 palavras. Este limite aplica-se a cada entidade individual.

Para mais informações, consulte o artigo Experimente valores de parâmetros.

O valor predefinido é 100.

Resultados da ação

A ação Analisar EML fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Analyze EML:

[{
   "Entity": "file",
   "EntityResult": {
       "raw": "{\"threat_level\": \"High\", \"threats_found\": [{\"threat\": \"Phishing Links\", \"explanation\": \"Multiple links point",
       "extracted_info": {
           "threat_level": "High",
           "threats_found": [
               {
                   "threat": "Phishing Links",
                   "explanation": "Multiple links point to example.com, a suspicious domain likely used for phishing campaigns.",
                   "example": "URL"
               },
               {
                   "threat": "Social Engineering",
                   "explanation": "The email uses urgency and scarcity tactics, pressuring the recipient to click links quickly.",
                   "example": "Register Now and Save $1,000 on all 2-Day Project Management (Fundamentals)"
               },
               {
                   "threat": "Suspicious Domain",
                   "explanation": "The email uses the domain example.com', which is not commonly associated with legitimate businesses or organizations and may be a newly registered domain for malicious purposes. This should be checked for validity and legitimacy. The email also uses the domain pdu-xl.com which may also be suspicious.",
                   "example": "example.com"
               }
           ],
           "verification_steps": [
               "Check the domain reputation of example.com using online tools like VirusTotal or URLVoid.",
               "Analyze email headers to identify the true sender's IP address and location using email analysis tools.",
               "Verify the legitimacy of mentioned products or services by independently contacting the companies mentioned."
           ],
           "protection_measures": [
               "Avoid clicking links in suspicious emails. Hover over links to check the actual URL in a separate tool.",
               "Enable email filtering and anti-phishing features in your email client.",
               "Regularly update your antivirus and anti-malware software.",
               "Educate users about social engineering tactics and phishing schemes."
           ]
       },
       "usageMetadata": {
           "promptTokenCount": 12,
           "candidatesTokenCount": 778,
           "totalTokenCount": 790
       }
   }
}]
Mensagens de saída

A ação Analisar EML pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully analysed the following EML files using Vertex AI: FILE_PATHS A ação foi bem-sucedida.
Error executing action "Analyze EML". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Analyze EML:

Nome do resultado do script Valor
is_success True ou False

Descrever entidade

Use a ação Descrever entidade para resumir informações sobre entidades através do Vertex AI.

Esta ação é executada em todas as entidades do Google SecOps e envia cada entidade individualmente.

Dados de ações

A ação Describe Entity requer os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a usar, como gemini-1.5-flash-002.
Temperature Opcional

O valor para controlar o grau de aleatoriedade numa seleção de tokens. Este parâmetro aceita valores do floattipo de dados.

Para mais informações sobre os valores de temperatura, consulte o artigo Experimente com os valores dos parâmetros.
Exclude Fields Opcional

Uma lista separada por vírgulas dos campos de metadados da entidade do Google SecOps a excluir durante a geração do resumo da entidade.
Force Refresh Opcional

Se estiver selecionada, a ação ignora o parâmetro Refresh After (Days) e a validação de hash, e volta a gerar o resumo da entidade para cada ação executada.

Não selecionado por predefinição.
Refresh After (Days) Obrigatório

O número de dias que a ação deve aguardar antes de atualizar o resumo da entidade.

A ação gera um valor hash que se baseia em todas as entradas enviadas para o Vertex AI, excluindo os valores do parâmetro Fields To Ignore. Se o valor hash tiver sido alterado, a ação atualiza o resumo após o número de dias definido. Se o valor hash não tiver sido alterado, a ação não atualiza o resumo, mesmo que o Refresh After (Days) parameter value is earlier than the latest summary generation time.

The action validates the hash value of the latest actual generated summary and ignores the cached hash value.

The default value is 30.
Max Output Tokens Opcional

O número máximo de tokens de saída a gerar em cada resposta.

Um token tem aproximadamente quatro carateres. 100 tokens correspondem a cerca de 60 a 80 palavras. Este limite aplica-se a cada entidade individual.

Para mais informações, consulte o artigo Experimente valores de parâmetros.

Resultados da ação

A ação Descrever entidade fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Describe Entity:

[
    {
        "Entity": "1B16D64CE18772B8F77C74C3D4DC24AA066BB117",
        "EntityResult": {
            "summary": "This is a suspicious, enriched, internal file hash (SHA1: 1B16D64CE18772B8F77C74C3D4DC24AA066BB117) identified as a Microsoft Excel 2007+ file (\"FC090000\") located on a user's desktop.  VirusTotal analysis shows 3 malicious flags out of 65 total engines.  The file contains macros, is potentially obfuscated, and exhibits behaviors like writing to files, running DLLs, and downloading content.  It was last modified on 2024-11-13 and created on 2021-07-07.  The file is linked to a single case (\"potential_apt_doc_files\") which was closed.  The file is flagged as an artifact but not vulnerable or a pivot point.\n",
            "usageMetadata": {
                "promptTokenCount": 12,
                "candidatesTokenCount": 778,
                "totalTokenCount": 790
            }
        }
    }
]
Mensagens de saída

A ação Describe Entity pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully summarized the entity based on the available information using Vertex AI. A ação foi bem-sucedida.
Error executing action "Describe Entity". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Describe Entity:

Nome do resultado do script Valor
is_success True ou False

Executar comando

Use a ação Executar comando para executar comandos de texto individuais através do Vertex AI.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Executar comando requer os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a usar, como gemini-1.5-flash-002.
Text Prompt Obrigatório

As instruções de texto a incluir no comando.
Temperature Opcional

O valor para controlar o grau de aleatoriedade numa seleção de tokens. Este parâmetro aceita valores do floattipo de dados.

Para mais informações sobre os valores de temperatura, consulte o artigo Experimente com os valores dos parâmetros.
Candidate Count Opcional

O número de variações de respostas a devolver em cada execução de ações.

Para cada pedido, a faturação aplica-se a um token de entrada uma vez e a cada token de saída de todos os candidatos gerados.
Response MIME Type Opcional

O tipo de suporte (MIME) da resposta de saída para o texto candidato gerado.

O tipo de suporte (MIME) de resposta está disponível para os seguintes modelos: gemini-1.5-pro, gemini-1.5-flash.

Os valores possíveis são os seguintes:

  • application/json
  • text/plain
  • text/x.enum
O valor predefinido é text/plain.
Response Schema Opcional

O esquema do texto candidato gerado a seguir.

Para usar este parâmetro, configure o parâmetro Response MIME Type.

O esquema de resposta está disponível para os seguintes modelos: gemini-1.5-pro e gemini-1.5-flash.

Max Input Tokens Opcional

O número máximo de tokens de entrada a enviar.

Um token consiste em até quatro carateres. 100 tokens podem corresponder a 60 a 80 palavras.

Se não definir um valor, a ação executa qualquer comando. Se o número de tokens exceder o número máximo configurado, a ação falha.
Max Output Tokens Opcional

O número máximo de tokens de saída a gerar em cada resposta.

Um token tem aproximadamente quatro carateres. 100 tokens correspondem a cerca de 60 a 80 palavras. Este limite aplica-se a cada entidade individual.

Para mais informações, consulte o artigo Experimente valores de parâmetros.

Resultados da ação

A ação Executar comando fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Executar comando:

{
  "candidates": [
    {
      "content": {
        "role": "model",
        "parts": [
          {
            "text": "Responding to a malicious email requires a layered approach.  Here's a breakdown of remediation steps, prioritizing actions based on urgency:\n\n**Immediate Actions (within minutes):**\n\n1. **Do NOT click any links or open any attachments.** This is paramount.  Malicious links can download malware, and attachments can contain viruses or exploits.\n\n2. **Disconnect from the internet (if possible).** This limits the damage the malware can do if it's already on your system.  Unplug your ethernet cable or turn off Wi-Fi.\n\n3. **Close the email immediately.** Don't even hover over links or attachments; the preview might be enough to trigger some malware.\n\n**Investigative Actions (within hours):**\n\n4. **Check your email account for unauthorized access.**  Look for unfamiliar sent emails, changed settings (like forwarding rules), or new accounts added.\n\n5. **Run a full system scan with your antivirus software.**  Ensure your antivirus definitions are up-to-date before running the scan.  Consider a second opinion scan with a different reputable antivirus program.\n\n6. **Review your computer's processes (Task Manager on Windows, Activity Monitor on macOS).** Look for unfamiliar processes consuming significant resources.  This could indicate malware activity.\n\n7. **Check your network connections.**  See if any unauthorized connections exist.\n\n8. **Change your email password immediately.** Use a strong, unique password.  Consider using a password manager.\n\n9. **If you clicked a link or opened an attachment, consider the potential impact.** Did you enter credentials?  Did you download a file?  The severity of action needed depends on this.\n\n**Remediation Actions (within days):**\n\n10. **Contact your IT department or security professional.**  They can provide expert guidance and assist with more advanced remediation steps.\n\n11. **Consider more advanced malware scanning tools.**  There are specialized tools that can detect malware missed by standard antivirus.\n\n12. **Review your operating system's security settings.**  Ensure firewalls are enabled and that other security features are adequately configured.\n\n13. **Report the malicious email to your email provider.** This helps them remove the email and prevent others from being affected. You can often do this by forwarding the email to an abuse reporting address provided by your provider.  Report it to the appropriate authorities if you suspect the email involves a crime.\n\n14. **Monitor your accounts and financial records for suspicious activity.**  Phishing emails often aim to steal credentials and financial information.\n\n**Preventive Actions (ongoing):**\n\n15. **Implement strong email filtering.** Use spam filters and configure your email provider's security settings to block suspicious emails.\n\n16. **Train yourself and others to identify phishing emails.**  Be wary of emails with unusual addresses, grammatical errors, urgent requests, or suspicious attachments.\n\n17. **Keep your software up to date.** Regularly update your operating system, applications, and antivirus software.\n\n18. **Use strong, unique passwords for all accounts.**  A password manager can assist with this.\n\n19. **Enable two-factor authentication (2FA) wherever possible.** This adds an extra layer of security to your accounts.\n\n\n**If you suspect your personal data or financial information has been compromised:**\n\n* **Contact your bank and credit card companies immediately.**  Report any suspicious transactions and consider placing a fraud alert on your accounts.\n* **Consider credit monitoring services.**  This can help you detect and respond to identity theft.\n\n\nThe severity of the remediation steps depends on the nature of the malicious email and what actions you took in response to it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
          }
        ]
      },
      "finishReason": "STOP",
      "avgLogprobs": -0.4171245741660307
    }
  ],
  "usageMetadata": {
    "promptTokenCount": 12,
    "candidatesTokenCount": 778,
    "totalTokenCount": 790
  },
  "modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensagens de saída

A ação Executar comando pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully executed a prompt. A ação foi bem-sucedida.
Error executing action "Execute Prompt". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Executar comando:

Nome do resultado do script Valor
is_success True ou False

Tchim-tchim

Use a ação Ping para testar a conetividade com a Vertex AI.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully connected to Vertex AI with the provided connection parameters! A ação foi bem-sucedida.

Failed to connect to Vertex AI. The API root that you provided doesn't match the following expected pattern: "https://((\w|-)+)-aiplatform.googleapis.com". Check the spelling.

Failed to connect to Vertex AI! The error is ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Transforme dados

Use a ação Transformar dados para fazer transformações de dados com a Vertex AI.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Transformar dados requer os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a usar, como gemini-1.5-flash-002.
Text Prompt Obrigatório

As instruções de texto a incluir no comando.
Temperature Opcional

O valor para controlar o grau de aleatoriedade numa seleção de tokens. Este parâmetro aceita valores do floattipo de dados.

Para mais informações sobre os valores de temperatura, consulte o artigo Experimente com os valores dos parâmetros.
JSON Object Obrigatório

O objeto JSON a usar como entrada de ação.
Max Output Tokens Obrigatório

O número máximo de tokens de saída a gerar em cada resposta.

Um token tem aproximadamente quatro carateres. 100 tokens correspondem a cerca de 60 a 80 palavras. Este limite aplica-se a cada entidade individual.

Para mais informações, consulte o artigo Experimente valores de parâmetros.

O valor predefinido é 100.

Resultados da ação

A ação Transformar dados fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para caixas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Transformar dados:

{
  "candidates": [
    {
      "content": {
        "role": "model",
        "parts": [
          {
            "text": "Respondo it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
          }
        ]
      },
      "finishReason": "STOP",
      "avgLogprobs": -0.4171245741660307
    }
  ],
  "usageMetadata": {
    "promptTokenCount": 12,
    "candidatesTokenCount": 778,
    "totalTokenCount": 790
  },
  "modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensagens de saída

A ação Transformar dados pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem
Successfully transformed provided data. A ação foi bem-sucedida.
Error executing action "Transform Data". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte indica o valor da saída do resultado do script quando usa a ação Transformar dados:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.