Utiliser Agent Engine Threat Detection

Cette page explique comment configurer la détection des menaces Agent Engine.

Les procédures décrites dans ce document ne s'appliquent qu'aux détecteurs d'exécution Agent Engine Threat Detection. Pour savoir comment utiliser les détecteurs du plan de contrôle pour Vertex AI Agent Engine, consultez Utiliser Event Threat Detection.

Avant de commencer

  1. Pour obtenir les autorisations nécessaires pour gérer le service Agent Engine Threat Detection et ses modules, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de la gestion Security Center (roles/securitycentermanagement.admin) sur l'organisation, le dossier ou le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

  2. Activez l'API Container Threat Detection sur tous les projets contenant des agents d'IA hébergés que vous souhaitez surveiller. Si cette API est désactivée dans un projet, Agent Engine Threat Detection ne peut surveiller aucun agent d'IA dans ce projet.

    Pour afficher les agents d'IA compatibles dans votre organisation, consultez Afficher les agents déployés sur Vertex AI Agent Engine dans ce document.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Activer ou désactiver Agent Engine Threat Detection

Par défaut, Agent Engine Threat Detection est activé pour votre organisation. Pour désactiver ou réactiver la détection des menaces Agent Engine, procédez comme suit :

Console

Avec Security Command Center Premium, vous ne pouvez pas utiliser la console Google Cloud pour activer ou désactiver la détection des menaces Agent Engine. Utilisez plutôt l'API REST ou la Google Cloud CLI.

Pour activer ou désactiver la détection des menaces Agent Engine à l'aide de la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Service Enablement (Activation du service) pour AI Protection.

    Accéder à l'activation des services

  2. Sélectionner votre organisation.

  3. Si AI Protection n'est pas activé, cliquez sur Activer. Une fois activés, tous les services qui dépendent d'AI Protection s'affichent sur la page, y compris Agent Engine Threat Detection.

  4. Si l'état d'Agent Engine Threat Detection est Désactivé, procédez comme suit :

    1. Cliquez sur Gérer les paramètres.

    2. Sélectionnez l'état d'activation de l'organisation, du dossier ou du projet que vous souhaitez modifier, puis sélectionnez l'une des options suivantes :

      • Activer : activez la détection des menaces Agent Engine.
      • Désactiver : désactive Agent Engine Threat Detection.
      • Hériter : l'état d'activation est hérité du dossier ou de l'organisation parents. Cette option n'est disponible que pour les projets et les dossiers.

gcloud

La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organization, folder ou project)
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • NEW_STATE : ENABLED pour activer Agent Engine Threat Detection, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).

Exécutez la commande gcloud scc manage services update :

Linux, macOS ou Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organizations, folders ou projects)
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • NEW_STATE : ENABLED pour activer Agent Engine Threat Detection, DISABLED pour le désactiver ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers).

Méthode HTTP et URL : 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

Corps JSON de la requête :

{
  "intendedEnablementState": "NEW_STATE"
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Activer ou désactiver un module Agent Engine Threat Detection

Pour activer ou désactiver un module de détection des menaces Agent Engine, procédez comme suit. Pour en savoir plus sur tous les résultats de détection de menaces Agent Engine Threat Detection et leurs modules, consultez Détecteurs.

Console

Dans la console Google Cloud , vous pouvez activer ou désactiver les modules Agent Engine Threat Detection au niveau de l'organisation.

  1. Dans la console Google Cloud , accédez à la page Modules pour la détection des menaces Agent Engine.

    Accéder aux modules

  2. Sélectionner votre organisation.

  3. Dans l'onglet Modules, accédez à la colonne État, sélectionnez l'état actuel du module que vous souhaitez activer ou désactiver, puis choisissez l'une des options suivantes :

    • Activer : permet d'activer le module.
    • Désactiver : permet de désactiver le module.

gcloud

La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organization, folder ou project)
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • MODULE_NAME : nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez Détecteurs Agent Engine Threat Detection.
  • NEW_STATE : ENABLED pour activer le module ; DISABLED pour désactiver le module ; ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)

Enregistrez le code suivant dans un fichier nommé request.json : 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Exécutez la commande gcloud scc manage services update :

Linux, macOS ou Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à mettre à jour (organizations, folders ou projects)
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.
  • MODULE_NAME : nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez Détecteurs Agent Engine Threat Detection.
  • NEW_STATE : ENABLED pour activer le module ; DISABLED pour désactiver le module ; ou INHERITED pour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)

Méthode HTTP et URL : 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

Corps JSON de la requête :

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Afficher l'état des modules Agent Engine Threat Detection

Pour afficher l'état des modules de détection des menaces Agent Engine, procédez comme suit. Pour en savoir plus sur tous les résultats de détection de menaces Agent Engine Threat Detection et leurs modules, consultez Détecteurs.

Console

Dans la console Google Cloud , vous pouvez afficher l'état d'activation des modules Agent Engine Threat Detection au niveau de l'organisation.

  1. Dans la console Google Cloud , accédez à la page Modules pour la détection des menaces Agent Engine.

    Accéder aux modules

  2. Sélectionner votre organisation.

gcloud

La commande gcloud scc manage services describe permet d'obtenir l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à obtenir (organization, folder ou project)
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Exécutez la commande gcloud scc manage services describe :

Linux, macOS ou Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Vous devriez obtenir un résultat semblable à celui-ci :

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

La méthode RESOURCE_TYPE.locations.securityCenterServices.get de l'API Security Command Center Management permet d'obtenir l'état d'un service ou d'un module Security Command Center.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • RESOURCE_TYPE : type de ressource à obtenir (organizations, folders ou projects)
  • QUOTA_PROJECT : ID du projet à utiliser pour la facturation et le suivi des quotas
  • RESOURCE_ID : identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique.

Méthode HTTP et URL : 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Exclure les arguments de CLI des résultats

Par défaut, lorsque Agent Engine Threat Detection fournit des détails sur un processus dans un résultat, il inclut les arguments de l'interface de ligne de commande (CLI) du processus. Les valeurs des arguments de ligne de commande peuvent être importantes dans les enquêtes sur les menaces.

Toutefois, vous pouvez choisir d'exclure les arguments CLI des résultats, car ils peuvent contenir des secrets et d'autres informations sensibles.

  • Pour exclure les arguments de CLI des résultats d'Agent Engine Threat Detection, définissez le module AGENT_ENGINE_REPORT_CLI_ARGUMENTS sur DISABLED.

  • Pour inclure des arguments de CLI dans les résultats d'Agent Engine Threat Detection, définissez le module AGENT_ENGINE_REPORT_CLI_ARGUMENTS sur ENABLED.

Pour obtenir des instructions, consultez Activer ou désactiver un module Agent Engine Threat Detection dans ce document.

Examiner les résultats

Lorsque Agent Engine Threat Detection génère des résultats, vous pouvez les afficher dans Security Command Center.

Les rôles IAM pour Security Command Center peuvent être accordés au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Pour examiner les résultats d'Agent Engine Threat Detection dans Security Command Center, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud .
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Agent Engine Threat Detection. Les résultats de la requête sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Résumé, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Pour faciliter votre enquête, les résultats de la détection de menaces contiennent également des liens vers les ressources externes suivantes :

  • Entrées du framework MITRE ATT&CK. Le framework décrit les techniques d'attaque contre les ressources cloud et fournit des conseils pour s'en protéger.
  • VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, scripts, URL et domaines potentiellement malveillants.

Pour obtenir la liste des types de résultats Agent Engine Threat Detection, consultez la section Détecteurs Agent Engine Threat Detection.

Afficher les agents déployés sur Vertex AI Agent Engine

Si la détection des menaces Agent Engine est activée, elle surveille les agents d'IA déployés dans l'environnement d'exécution Vertex AI Agent Engine. Cette section explique comment afficher des informations sur chaque agent surveillé par Agent Engine Threat Detection, y compris son projet, son framework et son emplacement associés, ainsi que les résultats détectés pour cet agent.

Pour obtenir les autorisations nécessaires pour afficher les agents d'IA que la détection des menaces Agent Engine peut surveiller, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Security Command Center Admin (roles/securitycenter.adminViewer) sur l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

  1. Dans la console Google Cloud , accédez à la page Sécurité de l'IA.

    Accéder à la page "Sécurité de l'IA"

  2. Sélectionner votre organisation.

  3. Dans la liste des types de ressources, sélectionnez Agents Agent Engine. Les agents s'affichent.

  4. Pour afficher plus de détails sur un agent, cliquez sur son nom.

Pour en savoir plus sur l'utilisation des ressources dans la consoleGoogle Cloud , consultez Inspecter les composants surveillés par Security Command Center.

Étapes suivantes