Usar a Agent Engine Threat Detection

Nesta página, descrevemos como configurar a detecção de ameaças do Agent Engine.

Os procedimentos neste documento se aplicam apenas aos detectores de tempo de execução do Agent Engine Threat Detection. Para informações sobre como trabalhar com os detectores do plano de controle do Vertex AI Agent Engine, consulte Usar a Detecção de ameaças de eventos.

Antes de começar

  1. Para receber as permissões necessárias para gerenciar o serviço de detecção de ameaças do Agent Engine e os módulos dele, peça ao administrador para conceder a você o papel do IAM Administrador de gerenciamento do Security Center (roles/securitycentermanagement.admin) na organização, pasta ou projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

  2. Ative a API Container Threat Detection em todos os projetos que contêm agentes de IA hospedados que você quer monitorar. Se essa API estiver desativada em um projeto, a detecção de ameaças do Agent Engine não poderá monitorar nenhum agente de IA nesse projeto.

    Para conferir os agentes de IA compatíveis na sua organização, consulte Ver agentes implantados no Vertex AI Agent Engine neste documento.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

Ativar ou desativar a detecção de ameaças do Agent Engine

Por padrão, o Agent Engine Threat Detection está ativado na sua organização. Para desativar ou reativar a detecção de ameaças do Agent Engine, siga estas etapas:

Console

Com o Security Command Center Premium, não é possível usar o console Google Cloud para ativar ou desativar a detecção de ameaças do Agent Engine. Em vez disso, use a API REST ou a Google Cloud CLI.

Para ativar ou desativar a detecção de ameaças do Agent Engine no console do Google Cloud , siga estas etapas:

  1. No console do Google Cloud , acesse a página Ativação de serviços para a Proteção de IA.

    Acessar "Ativação de serviços"

  2. Selecione a organização.

  3. Se a proteção por IA não estiver ativada, clique em Ativar. Depois que ela é ativada, todos os serviços que dependem da Proteção com IA são mostrados na página, incluindo a detecção de ameaças do Agent Engine.

  4. Se o status do Agent Engine Threat Detection for Desativado, faça o seguinte:

    1. Clique em Gerenciar configurações.

    2. Selecione o status de ativação da organização, pasta ou projeto que você quer modificar e escolha uma das seguintes opções:

      • Ativar: ativa a detecção de ameaças do Agent Engine.
      • Desativar: desativa a Agent Engine Threat Detection.
      • Herda: herda o status de ativação da pasta ou organização principal. Disponível apenas para projetos e pastas.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization, folder ou project)
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
  • NEW_STATE: ENABLED para ativar a detecção de ameaças do Agent Engine; DISABLED para desativar a detecção de ameaças do Agent Engine; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations, folders ou projects)
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
  • NEW_STATE: ENABLED para ativar a detecção de ameaças do Agent Engine; DISABLED para desativar a detecção de ameaças do Agent Engine; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).

Método HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

Corpo JSON da solicitação:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Ativar ou desativar um módulo de detecção de ameaças do Agent Engine

Para ativar ou desativar um módulo individual de detecção de ameaças do Agent Engine, siga estas etapas. Para informações sobre todas as descobertas de ameaças da detecção de ameaças do Agent Engine e os módulos delas, consulte Detectores.

Console

No console do Google Cloud , é possível ativar ou desativar os módulos de detecção de ameaças do Agent Engine no nível da organização.

  1. No console Google Cloud , acesse a página Módulos da detecção de ameaças do Agent Engine.

    Acesse Módulos

  2. Selecione a organização.

  3. Na guia Módulos, na coluna Status, selecione o status atual do módulo que você quer ativar ou desativar e escolha uma das opções a seguir:

    • Ativar: ativa o módulo.
    • Desativar: desativa o módulo.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organization, folder ou project)
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
  • MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores de detecção de ameaças do Agent Engine
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).

Salve o conteúdo a seguir em um arquivo chamado request.json: 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a ser atualizado (organizations, folders ou projects)
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser atualizado. Para projetos, também é possível usar o ID alfanumérico do projeto.
  • MODULE_NAME: o nome do módulo a ser ativado ou desativado. Para valores válidos, consulte Detectores de detecção de ameaças do Agent Engine
  • NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o status de ativação do recurso pai (válido apenas para projetos e pastas).

Método HTTP e URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

Corpo JSON da solicitação:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Ver os status dos módulos do Agent Engine Threat Detection

Para conferir os status dos módulos do Agent Engine Threat Detection, siga estas etapas. Para informações sobre todas as descobertas de ameaças da detecção de ameaças do Agent Engine e os módulos delas, consulte Detectores.

Console

No console Google Cloud , é possível conferir o estado de ativação dos módulos de detecção de ameaças do Agent Engine no nível da organização.

  1. No console Google Cloud , acesse a página Módulos da detecção de ameaças do Agent Engine.

    Acesse Módulos

  2. Selecione a organização.

gcloud

O comando gcloud scc manage services describe recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • RESOURCE_TYPE: o tipo de recurso a ser recebido (organization, folder ou project)
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID alfanumérico do projeto.

Execute o comando gcloud scc manage services describe:

Linux, macOS ou Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.get da API Management do Security Command Center recebe o estado de um serviço ou módulo do Security Command Center.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • RESOURCE_TYPE: o tipo de recurso a ser recebido (organizations, folders ou projects)
  • QUOTA_PROJECT: o ID do projeto a ser usado para faturamento e acompanhamento de cota
  • RESOURCE_ID: o identificador numérico da organização, pasta ou projeto a ser recebido. Para projetos, também é possível usar o ID alfanumérico do projeto.

Método HTTP e URL: 

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

Excluir argumentos da CLI das descobertas

Por padrão, quando a Agent Engine Threat Detection fornece detalhes do processo em uma descoberta, ela inclui os argumentos da interface de linha de comando (CLI) do processo. Os valores dos argumentos da CLI podem ser importantes em investigações de ameaças.

No entanto, você pode excluir argumentos da CLI das descobertas porque eles podem conter secrets e outras informações sensíveis.

  • Para excluir argumentos da CLI de descobertas do Agent Engine Threat Detection, defina o módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS como DISABLED.

  • Para incluir argumentos da CLI em descobertas do Agent Engine Threat Detection, defina o módulo AGENT_ENGINE_REPORT_CLI_ARGUMENTS como ENABLED.

Para instruções, consulte Ativar ou desativar um módulo de detecção de ameaças do Agent Engine neste documento.

Analisar resultados

Quando o Agent Engine Threat Detection gera descobertas, é possível vê-las no Security Command Center.

Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.

Para analisar as descobertas do Agent Engine Threat Detection no Security Command Center, siga estas etapas:

  1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

    Acessar descobertas

  2. Selecione Google Cloud o projeto ou a organização.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Detecção de ameaças do Agent Engine. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para visualizar os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

Para ajudar na investigação, as descobertas de ameaças também contêm links para os seguintes recursos externos:

  • Entradas do framework do MITRE ATT&CK. O framework explica técnicas de ataques contra recursos da nuvem e fornece orientações para correção.
  • VirusTotal, um serviço pertencente à Alphabet que fornece contexto sobre arquivos, scripts, URLs e domínios potencialmente maliciosos.

Para uma lista de tipos de descobertas do Agent Engine Threat Detection, consulte Detectores do Agent Engine Threat Detection.

Ver agentes implantados no Vertex AI Agent Engine

Se a detecção de ameaças do Agent Engine estiver ativada, ela vai monitorar os agentes de IA implantados no ambiente de execução do Agent Engine da Vertex AI. Nesta seção, descrevemos como ver informações sobre cada agente monitorado pelo Agent Engine Threat Detection, incluindo o projeto, o framework e o local associados, além de todas as descobertas detectadas para esse agente.

Para receber as permissões necessárias para ver os agentes de IA que a detecção de ameaças do Agent Engine pode monitorar, peça ao administrador para conceder a você o papel do IAM de Leitor administrador do Security Command Center (roles/securitycenter.adminViewer) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

  1. No console do Google Cloud , acesse a página Segurança de IA.

    Acessar a Segurança de IA

  2. Selecione a organização.

  3. Na lista de tipos de recursos, selecione Agentes do Agent Engine. Os agentes vão aparecer.

  4. Para ver mais detalhes sobre um agente, clique no nome dele.

Para mais informações sobre como trabalhar com recursos no console Google Cloud , consulte Inspecionar recursos monitorados pelo Security Command Center.

A seguir