このページでは、Agent Engine Threat Detection を構成する方法について説明します。
このドキュメントの手順は、Agent Engine Threat Detection ランタイム検出機能にのみ適用されます。Vertex AI Agent Engine のコントロール プレーン検出機能の操作方法については、Event Threat Detection を使用するをご覧ください。
始める前に
-
Agent Engine Threat Detection サービスとそのモジュールを管理するために必要な権限を取得するには、組織、フォルダ、またはプロジェクトに対するセキュリティ センター管理の管理者(
roles/securitycentermanagement.admin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。 モニタリングするホスト型 AI エージェントを含むすべてのプロジェクトで、Container Threat Detection API を有効にします。この API がプロジェクトで無効になっている場合、Agent Engine Threat Detection は対象のプロジェクト内の AI エージェントをモニタリングできません。
組織でサポートされている AI エージェントを表示するには、このドキュメントの Vertex AI Agent Engine にデプロイされたエージェントを表示するをご覧ください。
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
Agent Engine Threat Detection を有効または無効にする
デフォルトでは、Agent Engine Threat Detection は組織で有効になっています。Agent Engine Threat Detection を無効または再度有効にする手順は次のとおりです。
コンソール
Security Command Center Premium では、 Google Cloud コンソールを使用して Agent Engine Threat Detection を有効または無効にすることはできません。代わりに、REST API または Google Cloud CLI を使用してください。
Google Cloud コンソールで Agent Engine Threat Detection を有効または無効にする手順は次のとおりです。
Google Cloud コンソールで、AI 保護の [サービスの有効化] ページに移動します。
組織を選択します。
AI 保護が有効になっていない場合は、[有効にする] をクリックします。有効にすると、AI 保護に依存するすべてのサービス(Agent Engine Threat Detection など)がページに表示されます。
Agent Engine Threat Detection のステータスが [無効] である場合は、次の操作を行います。
- [設定を管理する] をクリックします。
変更する組織、フォルダ、またはプロジェクトの有効化ステータスを選択し、次のいずれかを選択します。
- 有効にする: Agent Engine Threat Detection を有効にします。
- 無効にする: Agent Engine Threat Detection を無効にします。
- 継承する: 親フォルダまたは組織から有効化ステータスを継承します。プロジェクトとフォルダでのみ使用できます。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: Agent Engine Threat Detection を有効にする場合はENABLED、Agent Engine Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダに対してのみ有効)はINHERITED。
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update agent-engine-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows(PowerShell)
gcloud scc manage services update agent-engine-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows(cmd.exe)
gcloud scc manage services update agent-engine-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REVERSE_SHELL:
effectiveEnablementState: ENABLED
AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center サービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: Agent Engine Threat Detection を有効にする場合はENABLED、Agent Engine Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダに対してのみ有効)はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState
リクエストの本文(JSON):
{
"intendedEnablementState": "NEW_STATE"
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
"intendedEnablementState": "INHERITED",
"effectiveEnablementState": "ENABLED",
"modules": {
"AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_CONTAINER_ESCAPE": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_REVERSE_SHELL": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-08-20T18:14:24.731692211Z"
}
Agent Engine Threat Detection モジュールを有効または無効にする
個別の Agent Engine Threat Detection モジュールを有効または無効にするには、次の手順に沿って操作します。すべての Agent Engine Threat Detection の脅威の検出結果とそれらのモジュールについては、検出機能をご覧ください。
コンソール
Google Cloud コンソールでは、組織レベルで Agent Engine Threat Detection モジュールを有効または無効にできます。
Google Cloud コンソールで、Agent Engine Threat Detection の [モジュール] ページに移動します。
組織を選択します。
[モジュール] タブの [ステータス] 列で、有効または無効にするモジュールの現在のステータスを選択し、次のいずれかを選択します。
- 有効: モジュールを有効にします。
- 無効: モジュールを無効にします。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、Agent Engine Threat Detection の検出機能をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
次の内容を request.json という名前のファイルに保存します。
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update agent-engine-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --module-config-file=request.json
Windows(PowerShell)
gcloud scc manage services update agent-engine-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --module-config-file=request.json
Windows(cmd.exe)
gcloud scc manage services update agent-engine-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --module-config-file=request.json
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REVERSE_SHELL:
effectiveEnablementState: ENABLED
AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center サービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、Agent Engine Threat Detection の検出機能をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules
リクエストの本文(JSON):
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
"intendedEnablementState": "INHERITED",
"effectiveEnablementState": "ENABLED",
"modules": {
"AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_CONTAINER_ESCAPE": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_REVERSE_SHELL": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-08-20T18:14:24.731692211Z"
}
Agent Engine Threat Detection モジュールのステータスを表示する
Agent Engine Threat Detection モジュールのステータスを表示する手順は次のとおりです。すべての Agent Engine Threat Detection の脅威の検出結果とそれらのモジュールについては、検出機能をご覧ください。
コンソール
Google Cloud コンソールでは、組織レベルで Agent Engine Threat Detection モジュールの有効化状態を表示できます。
Google Cloud コンソールで、Agent Engine Threat Detection の [モジュール] ページに移動します。
組織を選択します。
gcloud
gcloud scc manage services describe コマンドは、Security Command Center サービスまたはモジュールの状態を取得します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organization、folder、またはproject) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
gcloud scc manage services describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services describe agent-engine-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows(PowerShell)
gcloud scc manage services describe agent-engine-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows(cmd.exe)
gcloud scc manage services describe agent-engine-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_CONTAINER_ESCAPE:
effectiveEnablementState: ENABLED
AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
effectiveEnablementState: ENABLED
AGENT_ENGINE_REVERSE_SHELL:
effectiveEnablementState: ENABLED
AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.get メソッドは、Security Command Center サービスまたはモジュールの状態を取得します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
HTTP メソッドと URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
"intendedEnablementState": "INHERITED",
"effectiveEnablementState": "ENABLED",
"modules": {
"AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_CONTAINER_ESCAPE": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_REVERSE_SHELL": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
"effectiveEnablementState": "ENABLED"
},
"AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2025-08-20T18:14:24.731692211Z"
}
検出結果から CLI 引数を除外する
デフォルトでは、Agent Engine Threat Detection は検出結果でプロセスの詳細を表示するときに、プロセスのコマンドライン インターフェース(CLI)引数を示します。CLI の引数値は、脅威の調査で重要となる場合があります。
ただし、CLI 引数にはシークレットなどの機密情報が含まれている可能性があるため、検出結果から CLI 引数を除外することもできます。
Agent Engine Threat Detection の検出結果から CLI 引数を除外するには、
AGENT_ENGINE_REPORT_CLI_ARGUMENTSモジュールをDISABLEDに設定します。Agent Engine Threat Detection の検出結果に CLI 引数が含まれるようにするには、
AGENT_ENGINE_REPORT_CLI_ARGUMENTSモジュールをENABLEDに設定します。
手順については、このドキュメントの Agent Engine Threat Detection モジュールを有効または無効にするをご覧ください。
検出結果を確認する
Agent Engine Threat Detection によって生成された検出結果は、Security Command Center で表示できます。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
Security Command Center で Agent Engine Threat Detection の検出結果を表示するには、次の手順に沿って操作します。
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Agent Engine Threat Detection] を選択します。検出結果クエリの結果が更新され、このソースからの検出結果のみが表示されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
調査に役立つように、脅威の検出には、次の外部リソースへのリンクも含まれます。
- MITRE ATT&CK フレームワークのエントリ。このフレームワークは、クラウド リソースに対する攻撃の手口を説明し、問題を修復するためのガイダンスを提供します。
- VirusTotal は、悪意のある可能性のあるファイル、スクリプト、URL、ドメインに関するコンテキストを提供する、Alphabet 社のサービスです。
Agent Engine Threat Detection の検出結果のタイプの一覧については、Agent Engine Threat Detection の検出機能をご覧ください。
Vertex AI Agent Engine にデプロイされたエージェントを表示する
Agent Engine Threat Detection が有効になっている場合は、Vertex AI Agent Engine ランタイムにデプロイされた AI エージェントをモニタリングします。このセクションでは、Agent Engine Threat Detection がモニタリングする各エージェントに関する情報(関連付けられているプロジェクト、フレームワーク、ロケーション、対象のエージェントで検出された検出結果など)を表示する方法について説明します。
Agent Engine Threat Detection でモニタリングできる AI エージェントを表示するために必要な権限を取得するには、組織に対する Security Command Center 管理閲覧者(roles/securitycenter.adminViewer)の IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Google Cloud コンソールで、[AI セキュリティ] ページに移動します。
組織を選択します。
リソースタイプの一覧で、[Agent Engine エージェント] を選択します。エージェントが表示されます。
エージェントの詳細を表示するには、エージェントの名前をクリックします。
Google Cloud コンソールでリソースを操作する方法について詳しくは、Security Command Center でモニタリングされているアセットを検査するをご覧ください。
次のステップ
- Agent Engine Threat Detection の詳細を確認する。
- 脅威の検出結果のインデックスを参照する。