שימוש בזיהוי איומים במנוע סוכנים

בדף הזה מוסבר איך להגדיר את Agent Engine Threat Detection.

ההליכים במסמך הזה רלוונטיים רק לגלאים של זמן ריצה של Agent Engine Threat Detection. למידע על עבודה עם גלאים במישור הבקרה של Vertex AI Agent Engine, אפשר לעיין במאמר שימוש ב-Event Threat Detection.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לניהול השירות Agent Engine Threat Detection והמודולים שלו, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Security Center Management Admin ‏ (roles/securitycentermanagement.admin) בארגון, בתיקייה או בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מפעילים את Container Threat Detection API בכל הפרויקטים שמכילים סוכני AI מתארחים שרוצים לעקוב אחריהם. אם ה-API הזה מושבת בפרויקט, לא ניתן להשתמש ב-Agent Engine Threat Detection כדי לעקוב אחרי סוכן AI כלשהו באותו פרויקט.

כדי לראות את סוכני ה-AI הנתמכים בארגון שלכם, אפשר לעיין בקטע הצגת סוכנים שנפרסו ב-Vertex AI Agent Engine במסמך הזה.

Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

הפעלה או השבתה של זיהוי איומים ב-Agent Engine

כברירת מחדל, התכונה Agent Engine Threat Detection (זיהוי איומים באמצעות Agent Engine) מופעלת בארגון. כדי להשבית או להפעיל מחדש את Agent Engine Threat Detection (זיהוי איומים באמצעות Agent Engine), פועלים לפי השלבים הבאים:

המסוף

כדי להפעיל או להשבית את התכונה Agent Engine Threat Detection דרך Google Cloud המסוף, פועלים לפי השלבים הבאים:

במסוף Google Cloud , עוברים לדף Service Enablement עבור ניהול סיכונים במערכות AI.

כניסה לדף Service Enablement
בוחרים את הארגון.
אם התכונה 'הגנה באמצעות AI' לא מופעלת, לוחצים על הפעלה. אחרי שמפעילים אותו, כל השירותים שתלויים בניהול סיכונים במערכות AI מוצגים בדף, כולל Agent Engine Threat Detection (זיהוי איומים ב-Agent Engine).
אם הסטטוס של Agent Engine Threat Detection הוא Disabled (מושבת), צריך לבצע את הפעולות הבאות:
1. לוחצים על ניהול הגדרות.
2. בוחרים את סטטוס ההפעלה של הארגון, התיקייה או הפרויקט שרוצים לשנות, ואז בוחרים אחת מהאפשרויות הבאות:
  - הפעלה: הפעלת Agent Engine Threat Detection.
  - השבתה: השבתה של זיהוי איומים ב-Agent Engine.
  - העברה בירושה: העברת סטטוס ההפעלה בירושה מתיקיית ההורה או מהארגון. האפשרות הזו זמינה רק לפרויקטים ולתיקיות.

gcloud

הפקודה gcloud scc manage services update מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organization,‏ folder או project)
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫NEW_STATE: ENABLED כדי להפעיל את Agent Engine Threat Detection; ‫DISABLED כדי להשבית את Agent Engine Threat Detection; או INHERITED כדי לקבל בירושה את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)

מריצים את הפקודה gcloud scc manage services update:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

‏Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows‏ (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

השיטה של Security Command Center Management API RESOURCE_TYPE.locations.securityCenterServices.patch מעדכנת את המצב של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organizations,‏ folders או projects)
‫QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫NEW_STATE: ENABLED כדי להפעיל את Agent Engine Threat Detection; ‫DISABLED כדי להשבית את Agent Engine Threat Detection; או INHERITED כדי לקבל בירושה את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

תוכן בקשת JSON:

{
  "intendedEnablementState": "NEW_STATE"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Engine

כדי להפעיל או להשבית מודול ספציפי של Agent Engine Threat Detection, פועלים לפי השלבים הבאים. מידע על כל הממצאים של Agent Engine Threat Detection בנוגע לאיומים ועל המודולים שלהם זמין במאמר גלאים.

המסוף

ב Google Cloud מסוף, אפשר להפעיל או להשבית מודולים של Agent Engine Threat Detection ברמת הארגון.

במסוף Google Cloud , נכנסים לדף Modules של Agent Engine Threat Detection.

מעבר אל 'מודולים'
בוחרים את הארגון.
בכרטיסייה Modules (מודולים), בעמודה Status (סטטוס), בוחרים את הסטטוס הנוכחי של המודול שרוצים להפעיל או להשבית, ואז בוחרים באחת מהאפשרויות הבאות:
- הפעלה: הפעלת המודול.
- השבתה: השבתת המודול.

gcloud

הפקודה gcloud scc manage services update מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organization,‏ folder או project)
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים תקינים מפורטים במאמר גלאים של Agent Engine לזיהוי איומים.
‫NEW_STATE: ENABLED כדי להפעיל את המודול, DISABLED כדי להשבית את המודול או INHERITED כדי להגדיר את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)

שומרים את התוכן הבא בקובץ בשם request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

מריצים את הפקודה gcloud scc manage services update:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

‏Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows‏ (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

השיטה של Security Command Center Management API RESOURCE_TYPE.locations.securityCenterServices.patch מעדכנת את המצב של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organizations,‏ folders או projects)
‫QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים תקינים מפורטים במאמר גלאים של Agent Engine לזיהוי איומים.
‫NEW_STATE: ENABLED כדי להפעיל את המודול, DISABLED כדי להשבית את המודול או INHERITED כדי להגדיר את סטטוס ההפעלה של משאב האב (תקף רק לפרויקטים ולתיקיות)

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

תוכן בקשת JSON:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

הצגת הסטטוסים של מודולי זיהוי האיומים של Agent Engine

כדי לראות את הסטטוסים של מודולי Agent Engine Threat Detection, פועלים לפי השלבים הבאים. מידע על כל הממצאים של Agent Engine Threat Detection בנוגע לאיומים ועל המודולים שלהם זמין במאמר גלאים.

המסוף

במסוף Google Cloud , אפשר לראות את מצב ההפעלה של מודולים של Agent Engine Threat Detection ברמת הארגון.

במסוף Google Cloud , נכנסים לדף Modules של Agent Engine Threat Detection.

מעבר אל 'מודולים'
בוחרים את הארגון.

gcloud

הפקודה gcloud scc manage services describe מחזירה את הסטטוס של שירות או מודול של Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organization,‏ folder או project)
‫QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.

מריצים את הפקודה gcloud scc manage services describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

ה-method RESOURCE_TYPE.locations.securityCenterServices.get של Security Command Center Management API מחזירה את הסטטוס של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,‏ folders או projects)
‫QUOTA_PROJECT: מזהה הפרויקט שישמש לחיוב ולמעקב אחר מכסות
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

החרגת ארגומנטים של CLI מממצאים

כברירת מחדל, כש-Agent Engine Threat Detection מספק פרטים על תהליך בממצא, הוא כולל את הארגומנטים של ממשק שורת הפקודה (CLI) של התהליך. ערכים של ארגומנטים של CLI יכולים להיות חשובים בחקירות של איומים.

עם זאת, יכול להיות שתחליטו לא לכלול ארגומנטים של CLI בתוצאות, כי ארגומנטים של CLI יכולים להכיל סודות ומידע רגיש אחר.

כדי להחריג ארגומנטים של CLI מממצאים של זיהוי איומים ב-Agent Engine, צריך להגדיר את המודול AGENT_ENGINE_REPORT_CLI_ARGUMENTS לערך DISABLED.
כדי לכלול ארגומנטים של CLI בתוצאות של Agent Engine Threat Detection, צריך להגדיר את המודול AGENT_ENGINE_REPORT_CLI_ARGUMENTS לערך ENABLED.

הוראות מפורטות זמינות בקטע הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Engine במאמר הזה.

בדיקת הממצאים

כש-Agent Engine Threat Detection יוצר ממצאים, אפשר לראות אותם ב-Security Command Center.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

כדי לבדוק את הממצאים של Agent Engine Threat Detection ב-Security Command Center, פועלים לפי השלבים הבאים:

נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

כניסה לדף Findings
בוחרים את הפרויקט או הארגון. Google Cloud
בקטע Quick filters, בסעיף המשנה Source display name, בוחרים באפשרות Agent Engine Threat Detection. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

כדי לעזור לכם בבדיקה, ממצאי האיומים מכילים גם קישורים למקורות החיצוניים הבאים:

ערכים במסגרת MITRE ATT&CK. המסגרת מסבירה טכניקות של מתקפות נגד משאבי ענן ומספקת הנחיות לתיקון.
‫VirusTotal, שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, סקריפטים, כתובות URL ודומיינים שעלולים להיות זדוניים.

רשימה של סוגי הממצאים של Agent Engine Threat Detection מופיעה במאמר גלאים של Agent Engine Threat Detection.

הצגת סוכנים שנפרסו ב-Vertex AI Agent Engine

אם התכונה Agent Engine Threat Detection (זיהוי איומים ב-Agent Engine) מופעלת, היא עוקבת אחרי סוכני ה-AI שנפרסו ב-Vertex AI Agent Engine Runtime. בקטע הזה מוסבר איך לצפות במידע על כל סוכן שמנוע הסוכנים לזיהוי איומים עוקב אחריו, כולל הפרויקט, המסגרת, המיקום והממצאים שזוהו לגבי הסוכן הזה.

כדי לקבל את ההרשאות שנדרשות לצפייה בסוכני ה-AI שמנוהלים על ידי Agent Engine Threat Detection, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Security Command Center Admin Viewer (roles/securitycenter.adminViewer) בארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

נכנסים לדף AI Security במסוף Google Cloud .

מעבר אל AI Security
בוחרים את הארגון.
ברשימת סוגי המשאבים, בוחרים באפשרות סוכני Agent Engine. הסוכנים מוצגים.
כדי לראות פרטים נוספים על סוכן, לוחצים על השם שלו.

מידע נוסף על עבודה עם משאבים במסוףGoogle Cloud זמין במאמר בדיקת נכסים שנמצאים במעקב של Security Command Center.

שימוש בזיהוי איומים במנוע סוכנים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

הפעלה או השבתה של זיהוי איומים ב-Agent Engine

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Engine

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

הצגת הסטטוסים של מודולי זיהוי האיומים של Agent Engine

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

החרגת ארגומנטים של CLI מממצאים

בדיקת הממצאים

הצגת סוכנים שנפרסו ב-Vertex AI Agent Engine

המאמרים הבאים

שימוש בזיהוי איומים במנוע סוכנים