Integrar a Vertex AI ao Google SecOps

Este documento explica como integrar a Vertex AI ao Google Security Operations (Google SecOps).

Versão da integração: 1.0

Antes de começar

Para usar a integração, você precisa de um projeto do Google Cloud , uma conta de serviço do Google Cloud e um papel do Identity and Access Management (IAM).

Para mais informações sobre preços, consulte Preços da Vertex AI.

Configurar um projeto do Google Cloud

Para criar e configurar um projeto Google Cloud para a integração da Vertex AI, configure um projeto Google Cloud .

Criar e configurar uma conta de serviço

Para integrar a Vertex AI ao Google SecOps, use uma conta de serviço atual ou crie uma nova. Para orientações sobre como criar uma conta de serviço, consulte Criar contas de serviço.

Se você não usar um e-mail de identidade da carga de trabalho para configurar a integração, crie uma chave de conta de serviço em JSON depois de criar uma conta de serviço. Você precisa fornecer todo o conteúdo do arquivo de chave JSON baixado ao configurar os parâmetros de integração.

Por motivos de segurança, recomendamos que você use endereços de e-mail de identidade da carga de trabalho em vez de chaves JSON da conta de serviço. Para mais informações sobre as identidades de carga de trabalho, consulte Identidades para cargas de trabalho.

Configurar o papel do IAM

Para fazer a integração com a Vertex AI, conceda o papel do IAM de Usuário da Vertex AI (roles/aiplatform.user) à conta de serviço usada para configurar a integração.

Para saber mais sobre os papéis do IAM da Vertex AI, consulte Controle de acesso da Vertex AI com o IAM.

Parâmetros de integração

A integração da Vertex AI exige os seguintes parâmetros:

Parâmetros Descrição
API Root Obrigatório

A raiz da API da integração da Vertex AI.

O valor padrão é https://LOCATION-aiplatform.googleapis.com.

Workload Identity Email Opcional

O endereço de e-mail do cliente da sua federação de identidade da carga de trabalho.

É possível configurar esse parâmetro ou o Service Account Json File Content.

Nessa integração, a autenticação com o arquivo JSON da chave da conta de serviço tem prioridade sobre a federação de identidade da carga de trabalho.

Para representar contas de serviço com a federação de identidade da carga de trabalho, conceda o papel Service Account Token Creator à sua conta de serviço. Para mais detalhes sobre identidades de carga de trabalho e como trabalhar com elas, consulte Identidades para cargas de trabalho.
Service Account Json File Content Opcional

O conteúdo do arquivo JSON da chave da conta de serviço.

É possível configurar esse parâmetro ou o Workload Identity Email.

Para configurar esse parâmetro, forneça todo o conteúdo do arquivo JSON da chave da conta de serviço que você baixou ao criar uma conta de serviço.

Para mais informações sobre como usar contas de serviço como um método de autenticação, consulte Visão geral das contas de serviço.
Project ID Opcional

O ID do projeto a ser usado na integração.

Se você não definir um valor para esse parâmetro, a integração vai recuperar o ID do projeto da sua conta de serviço do Google Cloud .
Default Model Opcional

O nome do modelo padrão a ser usado na integração.

O valor padrão é gemini-1.5-flash-002.

Location Opcional

O ID do local da API Vertex AI.

Se você não definir um valor, a integração vai extrair o ID do local da raiz da API.

Para mais informações sobre locais, endpoints e recursos, consulte a API Vertex AI.
Verify SSL Obrigatório

Se selecionada, a integração verifica se o certificado SSL para conexão com a Vertex AI é válido.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.

Analisar EML

Use a ação Analisar EML para analisar arquivos EML usando a Vertex AI. Essa ação envia cada arquivo individualmente.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Analisar EML exige os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a ser usado, como gemini-1.5-flash-002.
Temperature Opcional

O valor para controlar o grau de aleatoriedade em uma seleção de token. Esse parâmetro aceita valores do tipo de dados float.

Para mais informações sobre valores de temperatura, consulte Testar valores de parâmetro.
Files To Analyze Obrigatório

Uma lista separada por vírgulas de arquivos EML a serem enviados para análise.
Max Output Tokens Opcional

O número máximo de tokens de saída a serem gerados em cada resposta.

Um token tem cerca de quatro caracteres. 100 tokens correspondem a cerca de 60 a 80 palavras. Esse limite se aplica a cada entidade individual.

Para mais informações, consulte Testar valores de parâmetro.

O valor padrão é 100.

Saídas de ação

A ação Analisar EML fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Analisar EML:

[{
   "Entity": "file",
   "EntityResult": {
       "raw": "{\"threat_level\": \"High\", \"threats_found\": [{\"threat\": \"Phishing Links\", \"explanation\": \"Multiple links point",
       "extracted_info": {
           "threat_level": "High",
           "threats_found": [
               {
                   "threat": "Phishing Links",
                   "explanation": "Multiple links point to example.com, a suspicious domain likely used for phishing campaigns.",
                   "example": "URL"
               },
               {
                   "threat": "Social Engineering",
                   "explanation": "The email uses urgency and scarcity tactics, pressuring the recipient to click links quickly.",
                   "example": "Register Now and Save $1,000 on all 2-Day Project Management (Fundamentals)"
               },
               {
                   "threat": "Suspicious Domain",
                   "explanation": "The email uses the domain example.com', which is not commonly associated with legitimate businesses or organizations and may be a newly registered domain for malicious purposes. This should be checked for validity and legitimacy. The email also uses the domain pdu-xl.com which may also be suspicious.",
                   "example": "example.com"
               }
           ],
           "verification_steps": [
               "Check the domain reputation of example.com using online tools like VirusTotal or URLVoid.",
               "Analyze email headers to identify the true sender's IP address and location using email analysis tools.",
               "Verify the legitimacy of mentioned products or services by independently contacting the companies mentioned."
           ],
           "protection_measures": [
               "Avoid clicking links in suspicious emails. Hover over links to check the actual URL in a separate tool.",
               "Enable email filtering and anti-phishing features in your email client.",
               "Regularly update your antivirus and anti-malware software.",
               "Educate users about social engineering tactics and phishing schemes."
           ]
       },
       "usageMetadata": {
           "promptTokenCount": 12,
           "candidatesTokenCount": 778,
           "totalTokenCount": 790
       }
   }
}]
Mensagens de saída

A ação Analisar EML pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully analysed the following EML files using Vertex AI: FILE_PATHS A ação foi concluída.
Error executing action "Analyze EML". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Analisar EML:

Nome do resultado do script Valor
is_success True ou False

Descrever entidade

Use a ação Descrever entidade para resumir informações sobre entidades usando a Vertex AI.

Essa ação é executada em todas as entidades do Google SecOps e envia cada entidade individualmente.

Entradas de ação

A ação Descrever entidade exige os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a ser usado, como gemini-1.5-flash-002.
Temperature Opcional

O valor para controlar o grau de aleatoriedade em uma seleção de token. Esse parâmetro aceita valores do tipo de dados float.

Para mais informações sobre valores de temperatura, consulte Testar valores de parâmetro.
Exclude Fields Opcional

Uma lista separada por vírgulas dos campos de metadados da entidade do Google SecOps a serem excluídos durante a geração do resumo da entidade.
Force Refresh Opcional

Se selecionada, a ação ignora o parâmetro Refresh After (Days) e a validação de hash, além de regenerar o resumo da entidade para cada execução de ação.

Não selecionada por padrão.
Refresh After (Days) Obrigatório

O número de dias que a ação deve aguardar antes de atualizar o resumo da entidade.

A ação gera um valor de hash com base em todas as entradas enviadas à Vertex AI, exceto os valores do parâmetro Fields To Ignore. Se o valor de hash tiver mudado, a ação vai atualizar o resumo após o número de dias definido. Se o valor de hash não mudar, a ação não vai atualizar o resumo, mesmo que o Refresh After (Days) parameter value is earlier than the latest summary generation time.

The action validates the hash value of the latest actual generated summary and ignores the cached hash value.

The default value is 30.
Max Output Tokens Opcional

O número máximo de tokens de saída a serem gerados em cada resposta.

Um token tem cerca de quatro caracteres. 100 tokens correspondem a cerca de 60 a 80 palavras. Esse limite se aplica a cada entidade individual.

Para mais informações, consulte Testar valores de parâmetro.

Saídas de ação

A ação Descrever entidade fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Descrever entidade:

[
    {
        "Entity": "1B16D64CE18772B8F77C74C3D4DC24AA066BB117",
        "EntityResult": {
            "summary": "This is a suspicious, enriched, internal file hash (SHA1: 1B16D64CE18772B8F77C74C3D4DC24AA066BB117) identified as a Microsoft Excel 2007+ file (\"FC090000\") located on a user's desktop.  VirusTotal analysis shows 3 malicious flags out of 65 total engines.  The file contains macros, is potentially obfuscated, and exhibits behaviors like writing to files, running DLLs, and downloading content.  It was last modified on 2024-11-13 and created on 2021-07-07.  The file is linked to a single case (\"potential_apt_doc_files\") which was closed.  The file is flagged as an artifact but not vulnerable or a pivot point.\n",
            "usageMetadata": {
                "promptTokenCount": 12,
                "candidatesTokenCount": 778,
                "totalTokenCount": 790
            }
        }
    }
]
Mensagens de saída

A ação Descrever entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully summarized the entity based on the available information using Vertex AI. A ação foi concluída.
Error executing action "Describe Entity". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Descrever entidade:

Nome do resultado do script Valor
is_success True ou False

Executar comando

Use a ação Executar comando para executar comandos de texto individuais usando a Vertex AI.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Executar comando exige os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a ser usado, como gemini-1.5-flash-002.
Text Prompt Obrigatório

As instruções de texto a serem incluídas no comando.
Temperature Opcional

O valor para controlar o grau de aleatoriedade em uma seleção de token. Esse parâmetro aceita valores do tipo de dados float.

Para mais informações sobre valores de temperatura, consulte Testar valores de parâmetro.
Candidate Count Opcional

O número de variações de resposta a serem retornadas em cada execução de ação.

Para cada solicitação, o faturamento se aplica a um token de entrada uma vez e a todos os tokens de saída de todos os candidatos gerados.
Response MIME Type Opcional

O tipo de mídia (MIME) da resposta de saída para o texto candidato gerado.

O tipo de mídia (MIME) da resposta está disponível para os seguintes modelos: gemini-1.5-pro e gemini-1.5-flash.

Os valores possíveis são:

  • application/json
  • text/plain
  • text/x.enum
O valor padrão é text/plain.
Response Schema Opcional

O esquema que o texto candidato gerado precisa seguir.

Para usar esse parâmetro, configure o parâmetro Response MIME Type.

O esquema de resposta está disponível para os seguintes modelos: gemini-1.5-pro e gemini-1.5-flash.

Max Input Tokens Opcional

O número máximo de tokens de entrada a serem enviados.

Um token consiste em até quatro caracteres. 100 tokens podem corresponder a 60 a 80 palavras.

Se você não definir um valor, a ação vai executar qualquer solicitação. Se o número de tokens exceder o máximo configurado, a ação vai falhar.
Max Output Tokens Opcional

O número máximo de tokens de saída a serem gerados em cada resposta.

Um token tem cerca de quatro caracteres. 100 tokens correspondem a cerca de 60 a 80 palavras. Esse limite se aplica a cada entidade individual.

Para mais informações, consulte Testar valores de parâmetro.

Saídas de ação

A ação Executar comando fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Executar comando:

{
  "candidates": [
    {
      "content": {
        "role": "model",
        "parts": [
          {
            "text": "Responding to a malicious email requires a layered approach.  Here's a breakdown of remediation steps, prioritizing actions based on urgency:\n\n**Immediate Actions (within minutes):**\n\n1. **Do NOT click any links or open any attachments.** This is paramount.  Malicious links can download malware, and attachments can contain viruses or exploits.\n\n2. **Disconnect from the internet (if possible).** This limits the damage the malware can do if it's already on your system.  Unplug your ethernet cable or turn off Wi-Fi.\n\n3. **Close the email immediately.** Don't even hover over links or attachments; the preview might be enough to trigger some malware.\n\n**Investigative Actions (within hours):**\n\n4. **Check your email account for unauthorized access.**  Look for unfamiliar sent emails, changed settings (like forwarding rules), or new accounts added.\n\n5. **Run a full system scan with your antivirus software.**  Ensure your antivirus definitions are up-to-date before running the scan.  Consider a second opinion scan with a different reputable antivirus program.\n\n6. **Review your computer's processes (Task Manager on Windows, Activity Monitor on macOS).** Look for unfamiliar processes consuming significant resources.  This could indicate malware activity.\n\n7. **Check your network connections.**  See if any unauthorized connections exist.\n\n8. **Change your email password immediately.** Use a strong, unique password.  Consider using a password manager.\n\n9. **If you clicked a link or opened an attachment, consider the potential impact.** Did you enter credentials?  Did you download a file?  The severity of action needed depends on this.\n\n**Remediation Actions (within days):**\n\n10. **Contact your IT department or security professional.**  They can provide expert guidance and assist with more advanced remediation steps.\n\n11. **Consider more advanced malware scanning tools.**  There are specialized tools that can detect malware missed by standard antivirus.\n\n12. **Review your operating system's security settings.**  Ensure firewalls are enabled and that other security features are adequately configured.\n\n13. **Report the malicious email to your email provider.** This helps them remove the email and prevent others from being affected. You can often do this by forwarding the email to an abuse reporting address provided by your provider.  Report it to the appropriate authorities if you suspect the email involves a crime.\n\n14. **Monitor your accounts and financial records for suspicious activity.**  Phishing emails often aim to steal credentials and financial information.\n\n**Preventive Actions (ongoing):**\n\n15. **Implement strong email filtering.** Use spam filters and configure your email provider's security settings to block suspicious emails.\n\n16. **Train yourself and others to identify phishing emails.**  Be wary of emails with unusual addresses, grammatical errors, urgent requests, or suspicious attachments.\n\n17. **Keep your software up to date.** Regularly update your operating system, applications, and antivirus software.\n\n18. **Use strong, unique passwords for all accounts.**  A password manager can assist with this.\n\n19. **Enable two-factor authentication (2FA) wherever possible.** This adds an extra layer of security to your accounts.\n\n\n**If you suspect your personal data or financial information has been compromised:**\n\n* **Contact your bank and credit card companies immediately.**  Report any suspicious transactions and consider placing a fraud alert on your accounts.\n* **Consider credit monitoring services.**  This can help you detect and respond to identity theft.\n\n\nThe severity of the remediation steps depends on the nature of the malicious email and what actions you took in response to it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
          }
        ]
      },
      "finishReason": "STOP",
      "avgLogprobs": -0.4171245741660307
    }
  ],
  "usageMetadata": {
    "promptTokenCount": 12,
    "candidatesTokenCount": 778,
    "totalTokenCount": 790
  },
  "modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensagens de saída

A ação Executar comando pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully executed a prompt. A ação foi concluída.
Error executing action "Execute Prompt". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Executar comando:

Nome do resultado do script Valor
is_success True ou False

Ping

Use a ação Ping para testar a conectividade com a Vertex AI.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script Disponível
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully connected to Vertex AI with the provided connection parameters! A ação foi concluída.

Failed to connect to Vertex AI. The API root that you provided doesn't match the following expected pattern: "https://((\w|-)+)-aiplatform.googleapis.com". Check the spelling.

Failed to connect to Vertex AI! The error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Transformação de dados

Use a ação Transformar dados para realizar transformações de dados usando a Vertex AI.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Transformar dados exige os seguintes parâmetros:

Parâmetro Descrição
Model ID Opcional

O ID do modelo a ser usado, como gemini-1.5-flash-002.
Text Prompt Obrigatório

As instruções de texto a serem incluídas no comando.
Temperature Opcional

O valor para controlar o grau de aleatoriedade em uma seleção de token. Esse parâmetro aceita valores do tipo de dados float.

Para mais informações sobre valores de temperatura, consulte Testar valores de parâmetro.
JSON Object Obrigatório

O objeto JSON a ser usado como entrada de ação.
Max Output Tokens Obrigatório

O número máximo de tokens de saída a serem gerados em cada resposta.

Um token tem cerca de quatro caracteres. 100 tokens correspondem a cerca de 60 a 80 palavras. Esse limite se aplica a cada entidade individual.

Para mais informações, consulte Testar valores de parâmetro.

O valor padrão é 100.

Saídas de ação

A ação Transformar dados fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Painel de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Transformar dados:

{
  "candidates": [
    {
      "content": {
        "role": "model",
        "parts": [
          {
            "text": "Respondo it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
          }
        ]
      },
      "finishReason": "STOP",
      "avgLogprobs": -0.4171245741660307
    }
  ],
  "usageMetadata": {
    "promptTokenCount": 12,
    "candidatesTokenCount": 778,
    "totalTokenCount": 790
  },
  "modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensagens de saída

A ação Transformar dados pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem
Successfully transformed provided data. A ação foi concluída.
Error executing action "Transform Data". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Transformar dados:

Nome do resultado do script Valor
is_success True ou False

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.