Usar Agent Engine Threat Detection

En esta página se describe cómo configurar Detección de amenazas de Agent Engine.

Los procedimientos de este documento solo se aplican a los detectores de tiempo de ejecución de detección de amenazas de Agent Engine. Para obtener información sobre cómo trabajar con los detectores del plano de control de Vertex AI Agent Engine, consulta Usar Event Threat Detection.

Antes de empezar

  1. Para obtener los permisos que necesitas para gestionar el servicio Detección de amenazas de Agent Engine y sus módulos, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de gestión de Security Center (roles/securitycentermanagement.admin) en la organización, la carpeta o el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

    También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  2. Habilita la API Container Threat Detection en todos los proyectos que contengan agentes de IA alojados que quieras monitorizar. Si esta API está inhabilitada en un proyecto, Agent Engine Threat Detection no podrá monitorizar ningún agente de IA de ese proyecto.

    Para ver los agentes de IA admitidos en tu organización, consulta Ver agentes desplegados en Vertex AI Agent Engine en este documento.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Habilitar o inhabilitar la detección de amenazas de Agent Engine

De forma predeterminada, la detección de amenazas de Agent Engine está habilitada en tu organización. Para inhabilitar o volver a habilitar la detección de amenazas de Agent Engine, sigue estos pasos:

Consola

Con Security Command Center Premium, no puedes usar la consola para habilitar o inhabilitar la detección de amenazas de Agent Engine. Google Cloud En su lugar, usa la API REST o Google Cloud CLI.

Para habilitar o inhabilitar la detección de amenazas de Agent Engine a través de la consola Google Cloud , sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Habilitación de servicios de Protección con IA.

    Ir a Habilitación de servicios

  2. Selecciona tu organización.

  3. Si Protección con IA no está habilitada, haz clic en Activar. Una vez habilitada, en la página se mostrarán todos los servicios que dependen de Protección con IA, incluida la detección de amenazas de Agent Engine.

  4. Si el estado de Detección de amenazas de Agent Engine es Inhabilitado, haz lo siguiente:

    1. Haz clic en Gestionar configuración.

    2. Selecciona el estado de habilitación de la organización, la carpeta o el proyecto que quieras modificar y, a continuación, elige una de las siguientes opciones:

      • Habilitar: habilita la detección de amenazas de Agent Engine.
      • Inhabilitar: inhabilita la detección de amenazas de Agent Engine.
      • Heredar: hereda el estado de habilitación de la carpeta o la organización principal. Esta opción solo está disponible para proyectos y carpetas.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de los comandos que se indican a continuación, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organization, folder o project)
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar Detección de amenazas de Agent Engine; DISABLED para inhabilitar Detección de amenazas de Agent Engine; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Deberías recibir una respuesta similar a la siguiente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organizations, folders o projects)
  • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar Detección de amenazas de Agent Engine; DISABLED para inhabilitar Detección de amenazas de Agent Engine; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

Cuerpo JSON de la solicitud: 

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar tu solicitud, despliega una de estas opciones:

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Habilitar o inhabilitar un módulo de detección de amenazas de Agent Engine

Para habilitar o inhabilitar un módulo de detección de amenazas de Agent Engine, sigue estos pasos. Para obtener información sobre todas las detecciones de amenazas de Agent Engine Threat Detection y sus módulos, consulta Detectores.

Consola

En la Google Cloud consola, puedes habilitar o inhabilitar módulos de detección de amenazas de Agent Engine a nivel de organización.

  1. En la Google Cloud consola, ve a la página Módulos de Detección de amenazas de Agent Engine.

    Ir a Módulos

  2. Selecciona tu organización.

  3. En la pestaña Módulos, en la columna Estado, selecciona el estado actual del módulo que quieras habilitar o inhabilitar y, a continuación, elige una de las siguientes opciones:

    • Habilitar: habilita el módulo.
    • Inhabilitar: inhabilita el módulo.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de los comandos que se indican a continuación, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organization, folder o project)
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puede usar el ID alfanumérico del proyecto.
  • MODULE_NAME: el nombre del módulo que se va a habilitar o inhabilitar. Para ver los valores válidos, consulta Detectores de detección de amenazas de Agent Engine.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).

Guarda el siguiente contenido en un archivo llamado request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Deberías recibir una respuesta similar a la siguiente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organizations, folders o projects)
  • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: el nombre del módulo que se va a habilitar o inhabilitar. Para ver los valores válidos, consulta Detectores de detección de amenazas de Agent Engine.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

Cuerpo JSON de la solicitud: 

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Ver los estados de los módulos de detección de amenazas del motor del agente

Para ver los estados de los módulos de detección de amenazas de Agent Engine, sigue estos pasos. Para obtener información sobre todas las detecciones de amenazas de Agent Engine Threat Detection y sus módulos, consulta Detectores.

Consola

En la consola de Google Cloud , puede ver el estado de habilitación de los módulos de detección de amenazas de Agent Engine a nivel de organización.

  1. En la Google Cloud consola, ve a la página Módulos de Detección de amenazas de Agent Engine.

    Ir a Módulos

  2. Selecciona tu organización.

gcloud

El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de los comandos que se indican a continuación, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a obtener (organization, folder o project)
  • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a obtener. En el caso de los proyectos, también puede usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc manage services describe:

Linux, macOS o Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la siguiente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.get de la API Management de Security Command Center obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • RESOURCE_TYPE: el tipo de recurso que se va a obtener (organizations, folders o projects)
  • QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas.
  • RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a obtener. En el caso de los proyectos, también puede usar el ID alfanumérico del proyecto.

Método HTTP y URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

Para enviar tu solicitud, despliega una de estas opciones:

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Excluir argumentos de CLI de los resultados

De forma predeterminada, cuando Detección de amenazas de Agent Engine proporciona detalles de un proceso en un resultado, incluye los argumentos de la interfaz de línea de comandos (CLI) del proceso. Los valores de los argumentos de la CLI pueden ser importantes en las investigaciones de amenazas.

Sin embargo, puede decidir excluir los argumentos de la CLI de los resultados, ya que pueden contener secretos y otra información sensible.

  • Para excluir argumentos de la CLI de los resultados de Detección de amenazas de Agent Engine, define el módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS como DISABLED.

  • Para incluir argumentos de CLI en los resultados de Detección de amenazas de Agent Engine, define el módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS como ENABLED.

Para obtener instrucciones, consulta Habilitar o inhabilitar un módulo de detección de amenazas de Agent Engine en este documento.

Revisar los resultados

Cuando Detección de Amenazas de Agent Engine genera resultados, puedes verlos en Security Command Center.

Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Para revisar los resultados de detección de amenazas de Agent Engine en Security Command Center, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Detección de amenazas de Agent Engine. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

Para ayudarte en tu investigación, los resultados de amenazas también contienen enlaces a los siguientes recursos externos:

  • Entradas del framework MITRE ATT&CK. El marco explica las técnicas de ataque contra recursos en la nube y ofrece directrices de corrección.
  • VirusTotal, un servicio propiedad de Alphabet que proporciona contexto sobre archivos, scripts, URLs y dominios potencialmente maliciosos.

Para ver una lista de los tipos de resultados de detección de amenazas de Agent Engine, consulta Detectores de detección de amenazas de Agent Engine.

Ver los agentes desplegados en Vertex AI Agent Engine

Si Agent Engine Threat Detection está habilitado, monitoriza los agentes de IA que se han desplegado en el tiempo de ejecución de Vertex AI Agent Engine. En esta sección se describe cómo ver información sobre cada agente que monitoriza Detección de amenazas de Agent Engine, incluido el proyecto asociado, el framework, la ubicación y las detecciones que se hayan encontrado en ese agente.

Enterprise

Para obtener los permisos que necesitas para ver los agentes de IA que puede monitorizar Detección de amenazas de Agent Engine, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector administrador de Security Command Center (roles/securitycenter.adminViewer) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

  1. En la Google Cloud consola, ve a la página Seguridad de la IA.

    Ir a Seguridad de la IA

  2. Selecciona tu organización.

  3. En la lista de tipos de recursos, selecciona Agentes de Agent Engine. Se muestran los agentes.

  4. Para ver más detalles sobre un agente, haga clic en su nombre.

Para obtener más información sobre cómo trabajar con recursos en la consola deGoogle Cloud , consulta Inspeccionar los recursos que monitoriza Security Command Center.

Siguientes pasos