Utilizzare Agent Engine Threat Detection

Questa pagina descrive come configurare Agent Engine Threat Detection.

Le procedure descritte in questo documento si applicano solo ai detector di runtime di Agent Engine Threat Detection. Per informazioni su come utilizzare i detector del piano di controllo per Vertex AI Agent Engine, consulta Utilizzare Event Threat Detection.

Prima di iniziare

  1. Per ottenere le autorizzazioni necessarie per gestire il servizio Agent Engine Threat Detection e i relativi moduli, chiedi all'amministratore di concederti il ruolo IAM Security Center Management Admin (roles/securitycentermanagement.admin) nell'organizzazione, nella cartella o nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  2. Abilita l'API Container Threat Detection su tutti i progetti che contengono agenti AI ospitati che vuoi monitorare. Se questa API è disabilitata in un progetto, Agent Engine Threat Detection non può monitorare alcun agente AI in quel progetto.

    Per visualizzare gli agenti AI supportati nella tua organizzazione, consulta Visualizzare gli agenti di cui è stato eseguito il deployment in Vertex AI Agent Engine in questo documento.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Attivare o disattivare Agent Engine Threat Detection

Per impostazione predefinita, Agent Engine Threat Detection è attivato nella tua organizzazione. Per disattivare o riattivare il rilevamento delle minacce di Agent Engine, segui questi passaggi:

Console

Con Security Command Center Premium, non puoi utilizzare la console Google Cloud per attivare o disattivare il rilevamento delle minacce di Agent Engine. Utilizza invece l'API REST o Google Cloud CLI.

Per attivare o disattivare il rilevamento delle minacce di Agent Engine tramite la console Google Cloud , segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina Abilitazione servizi per AI Protection.

    Vai ad Attivazione del servizio

  2. Seleziona la tua organizzazione.

  3. Se AI Protection non è attivato, fai clic su Attiva. Una volta attivato, tutti i servizi che dipendono da AI Protection vengono visualizzati nella pagina, inclusa Agent Engine Threat Detection.

  4. Se lo stato di Agent Engine Threat Detection è Disattivato:

    1. Fai clic su Gestisci impostazioni.

    2. Seleziona lo stato di attivazione dell'organizzazione, della cartella o del progetto che vuoi modificare, quindi seleziona una delle seguenti opzioni:

      • Abilita: abilita il rilevamento delle minacce di Agent Engine.
      • Disattiva: disattiva Agent Engine Threat Detection.
      • Eredita: eredita lo stato di attivazione dalla cartella principale o dall'organizzazione; disponibile solo per progetti e cartelle.

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project)
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico
  • NEW_STATE: ENABLED per attivare Agent Engine Threat Detection; DISABLED per disattivare Agent Engine Threat Detection; o INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Esegui il comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects)
  • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico
  • NEW_STATE: ENABLED per attivare Agent Engine Threat Detection; DISABLED per disattivare Agent Engine Threat Detection; o INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Metodo HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

Corpo JSON della richiesta: 

{
  "intendedEnablementState": "NEW_STATE"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Attivare o disattivare un modulo Agent Engine Threat Detection

Per attivare o disattivare un singolo modulo di rilevamento delle minacce di Agent Engine, segui questi passaggi. Per informazioni su tutti i risultati delle minacce di Agent Engine Threat Detection e sui relativi moduli, vedi Rilevatori.

Console

Nella console Google Cloud , puoi attivare o disattivare i moduli di Agent Engine Threat Detection a livello di organizzazione.

  1. Nella console Google Cloud , vai alla pagina Moduli per il rilevamento delle minacce di Agent Engine.

    Vai a Moduli

  2. Seleziona la tua organizzazione.

  3. Nella scheda Moduli, nella colonna Stato, seleziona lo stato attuale del modulo che vuoi attivare o disattivare, quindi seleziona una delle seguenti opzioni:

    • Attiva: attiva il modulo.
    • Disattiva: disattiva il modulo.

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization, folder o project)
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico
  • MODULE_NAME: il nome del modulo da attivare o disattivare; per i valori validi, vedi Rilevatori di Agent Engine Threat Detection
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Salva i seguenti contenuti in un file denominato request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Esegui il comando gcloud scc manage services update:

Linux, macOS o Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations, folders o projects)
  • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico
  • MODULE_NAME: il nome del modulo da attivare o disattivare; per i valori validi, vedi Rilevatori di Agent Engine Threat Detection
  • NEW_STATE: ENABLED per attivare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Metodo HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

Corpo JSON della richiesta: 

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Visualizzare gli stati dei moduli di Agent Engine Threat Detection

Per visualizzare gli stati dei moduli di rilevamento delle minacce di Agent Engine, segui questi passaggi. Per informazioni su tutti i risultati delle minacce di Agent Engine Threat Detection e sui relativi moduli, vedi Rilevatori.

Console

Nella console Google Cloud , puoi visualizzare lo stato di attivazione dei moduli di rilevamento delle minacce di Agent Engine a livello di organizzazione.

  1. Nella console Google Cloud , vai alla pagina Moduli per Agent Engine Threat Detection.

    Vai a Moduli

  2. Seleziona la tua organizzazione.

gcloud

Il comando gcloud scc manage services describe recupera lo stato di un servizio o modulo Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: il tipo di risorsa da recuperare (organization, folder o project)
  • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico

Esegui il comando gcloud scc manage services describe:

Linux, macOS o Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.get dell'API Security Command Center Management recupera lo stato di un servizio o modulo Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:

  • RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects)
  • QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
  • RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico

Metodo HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Escludi argomenti dell'interfaccia a riga di comando dai risultati

Per impostazione predefinita, quando Agent Engine Threat Detection fornisce i dettagli del processo in un risultato, include gli argomenti dell'interfaccia a riga di comando (CLI) del processo. I valori degli argomenti della CLI possono essere importanti nelle indagini sulle minacce.

Tuttavia, potresti decidere di escludere gli argomenti CLI dai risultati perché possono contenere secret e altre informazioni sensibili.

  • Per escludere gli argomenti della CLI dai risultati di Agent Engine Threat Detection, imposta il modulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS su DISABLED.

  • Per includere gli argomenti della CLI nei risultati di Agent Engine Threat Detection, imposta il modulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS su ENABLED.

Per istruzioni, vedi Attivare o disattivare un modulo di rilevamento delle minacce di Agent Engine in questo documento.

Esaminare i risultati

Quando Agent Engine Threat Detection genera risultati, puoi visualizzarli in Security Command Center.

I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e origini di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.

Per esaminare i risultati di Agent Engine Threat Detection in Security Command Center:

  1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Agent Engine Threat Detection. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il pannello dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Per facilitare l'analisi, i risultati delle minacce contengono anche link alle seguenti risorse esterne:

  • Voci del framework MITRE ATT&CK. Il framework spiega le tecniche di attacco alle risorse cloud e fornisce indicazioni per la correzione.
  • VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, script, URL e domini potenzialmente dannosi.

Per un elenco dei tipi di risultati di Agent Engine Threat Detection, vedi Rilevatori di Agent Engine Threat Detection.

Visualizza gli agenti di cui è stato eseguito il deployment in Vertex AI Agent Engine

Se Agent Engine Threat Detection è abilitato, monitora gli agenti AI di cui è stato eseguito il deployment in Vertex AI Agent Engine Runtime. Questa sezione descrive come visualizzare le informazioni su ciascun agente monitorato da Agent Engine Threat Detection, inclusi il progetto, il framework, la posizione associati e tutti i risultati rilevati per l'agente.

Per ottenere le autorizzazioni necessarie per visualizzare gli agenti di AI che Agent Engine Threat Detection può monitorare, chiedi all'amministratore di concederti il ruolo IAM Security Command Center Admin Viewer (roles/securitycenter.adminViewer) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  1. Nella console Google Cloud , vai alla pagina AI Security.

    Vai a Sicurezza dell'AI

  2. Seleziona la tua organizzazione.

  3. Nell'elenco dei tipi di risorse, seleziona Agenti Agent Engine. Vengono visualizzati gli agenti.

  4. Per visualizzare maggiori dettagli su un agente, fai clic sul suo nome.

Per saperne di più su come utilizzare le risorse nella console Google Cloud , vedi Esaminare gli asset monitorati da Security Command Center.

Passaggi successivi