Usa la detección de amenazas de Agent Engine

En esta página, se describe cómo configurar la Detección de amenazas de Agent Engine.

Los procedimientos que se describen en este documento solo se aplican a los detectores de tiempo de ejecución de la detección de amenazas de Agent Engine. Para obtener información sobre cómo trabajar con los detectores del plano de control de Vertex AI Agent Engine, consulta Cómo usar la Detección de amenazas de eventos.

Antes de comenzar

  1. Para obtener los permisos que necesitas para administrar el servicio de Agent Engine Threat Detection y sus módulos, pídele a tu administrador que te otorgue el rol de IAM de Administrador de administración de Security Center (roles/securitycentermanagement.admin) en la organización, la carpeta o el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  2. Habilita la API de Container Threat Detection en todos los proyectos que contengan agentes de IA alojados que desees supervisar. Si esta API está inhabilitada en un proyecto, la Detección de amenazas de Agent Engine no podrá supervisar ningún agente de IA en ese proyecto.

    Para ver los agentes de IA admitidos en tu organización, consulta Cómo ver los agentes implementados en Vertex AI Agent Engine en este documento.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Cómo habilitar o inhabilitar la detección de amenazas de Agent Engine

De forma predeterminada, la detección de amenazas de Agent Engine está habilitada en tu organización. Para inhabilitar o volver a habilitar la detección de amenazas de Agent Engine, sigue estos pasos:

Console

Con Security Command Center Premium, no puedes usar la consola de Google Cloud para habilitar o inhabilitar Agent Engine Threat Detection. En su lugar, usa la API de REST o Google Cloud CLI.

Para habilitar o inhabilitar Agent Engine Threat Detection a través de la consola de Google Cloud , sigue estos pasos:

  1. En la consola de Google Cloud , ve a la página Habilitación de servicios para Protección basada en IA.

    Ir a Habilitación de servicios

  2. Selecciona tu organización.

  3. Si la Protección de la IA no está habilitada, haz clic en Activar. Después de habilitarla, se mostrarán en la página todos los servicios que dependen de la Protección contra IA, incluida la Detección de amenazas de Agent Engine.

  4. Si el estado de la Detección de amenazas de Agent Engine es Inhabilitado, haz lo siguiente:

    1. Haz clic en Administrar configuración.

    2. Selecciona el estado de habilitación de la organización, la carpeta o el proyecto que deseas modificar y, luego, selecciona una de las siguientes opciones:

      • Habilitar: Habilita la detección de amenazas de Agent Engine.
      • Inhabilitar: Inhabilita la detección de amenazas de Agent Engine.
      • Heredar: Hereda el estado de habilitación de la organización o la carpeta principal. Solo está disponible para proyectos y carpetas.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar la detección de amenazas de Agent Engine; DISABLED para inhabilitar la detección de amenazas de Agent Engine; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar la detección de amenazas de Agent Engine; DISABLED para inhabilitar la detección de amenazas de Agent Engine; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

Cuerpo JSON de la solicitud:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Cómo habilitar o inhabilitar un módulo de detección de amenazas de Agent Engine

Para habilitar o inhabilitar un módulo individual de Agent Engine Threat Detection, sigue estos pasos. Para obtener información sobre todos los hallazgos de amenazas y sus módulos de Agent Engine Threat Detection, consulta Detectores.

Console

En la consola de Google Cloud , puedes habilitar o inhabilitar los módulos de Agent Engine Threat Detection a nivel de la organización.

  1. En la consola de Google Cloud , ve a la página Módulos de Agent Engine Threat Detection.

    Ir a Módulos

  2. Selecciona tu organización.

  3. En la pestaña Modules, en la columna Status, selecciona el estado actual del módulo que deseas habilitar o inhabilitar y, luego, selecciona una de las siguientes opciones:

    • Habilitar: Habilita el módulo.
    • Inhabilitar: Inhabilita el módulo.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para obtener los valores válidos, consulta Detectores de Agent Engine Threat Detection.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Guarda el siguiente código en un archivo llamado request.json. 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para obtener los valores válidos, consulta Detectores de Agent Engine Threat Detection.
  • NEW_STATE: ENABLED para habilitar el módulo; DISABLED para inhabilitar el módulo; o INHERITED para heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas)

Método HTTP y URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

Cuerpo JSON de la solicitud:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Consulta los estados de los módulos de detección de amenazas de Agent Engine

Para ver los estados de los módulos de Agent Engine Threat Detection, sigue estos pasos. Para obtener información sobre todos los hallazgos de amenazas y sus módulos de Agent Engine Threat Detection, consulta Detectores.

Console

En la consola de Google Cloud , puedes ver el estado de habilitación de los módulos de Agent Engine Threat Detection a nivel de la organización.

  1. En la consola de Google Cloud , ve a la página Módulos de Agent Engine Threat Detection.

    Ir a Módulos

  2. Selecciona tu organización.

gcloud

El comando gcloud scc manage services describe obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se obtendrá (organization, folder o project)
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Ejecuta el comando gcloud scc manage services describe:

Linux, macOS o Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.get de la API de Security Command Center Management obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se obtendrá (organizations, folders o projects)
  • QUOTA_PROJECT: Es el ID del proyecto que se usará para el seguimiento de la facturación y la cuota.
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Cómo excluir argumentos de la CLI de los resultados

De forma predeterminada, cuando Agent Engine Threat Detection proporciona detalles del proceso en un hallazgo, incluye los argumentos de la interfaz de línea de comandos (CLI) del proceso. Los valores de los argumentos de la CLI pueden ser importantes en las investigaciones de amenazas.

Sin embargo, es posible que decidas excluir los argumentos de la CLI de los hallazgos, ya que pueden contener secretos y otra información sensible.

  • Para excluir los argumentos de la CLI de los hallazgos de la Detección de amenazas de Agent Engine, establece el módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS en DISABLED.

  • Para incluir argumentos de la CLI en los resultados de la Detección de amenazas de Agent Engine, configura el módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS como ENABLED.

Para obtener instrucciones, consulta Cómo habilitar o inhabilitar un módulo de Agent Engine Threat Detection en este documento.

Revisa los resultados

Cuando Agent Engine Threat Detection genera resultados, puedes verlos en Security Command Center.

Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Para revisar los resultados de Agent Engine Threat Detection en Security Command Center, sigue estos pasos:

  1. En la consola Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Agent Engine Threat Detection. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Para ayudarte en la investigación, los hallazgos de las amenazas también contienen vínculos a los siguientes recursos externos:

  • Entradas del framework de MITRE ATT&CK. En el framework, se explican las técnicas de los ataques a los recursos en la nube y se proporciona orientación para solucionarlos.
  • VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, secuencias de comandos, URLs y dominios potencialmente maliciosos.

Para obtener una lista de los tipos de resultados de la Detección de amenazas de Agent Engine, consulta Detectores de la Detección de amenazas de Agent Engine.

Cómo ver los agentes implementados en Vertex AI Agent Engine

Si la detección de amenazas de Agent Engine está habilitada, supervisa los agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine. En esta sección, se describe cómo ver información sobre cada agente que supervisa la Detección de amenazas de Agent Engine, incluido su proyecto, framework y ubicación asociados, y los hallazgos detectados para ese agente.

Para obtener los permisos que necesitas para ver los agentes de IA que puede supervisar la Detección de amenazas de Agent Engine, pídele a tu administrador que te otorgue el rol de IAM Visualizador de administrador de Security Command Center (roles/securitycenter.adminViewer) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

  1. En la consola de Google Cloud , ve a la página Seguridad de IA.

    Ir a Seguridad de la IA

  2. Selecciona tu organización.

  3. En la lista de tipos de recursos, selecciona Agentes de Agent Engine. Se muestran los agentes.

  4. Para ver más detalles sobre un agente, haz clic en su nombre.

Para obtener más información sobre cómo trabajar con recursos en la consola deGoogle Cloud , consulta Inspecciona los recursos supervisados por Security Command Center.

¿Qué sigue?