Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש בזיהוי איומים ב-Agent Platform

בדף הזה מוסבר איך להגדיר את Agent Platform Threat Detection.

הנהלים במסמך הזה רלוונטיים רק לגלאים של זמן ריצה לזיהוי איומים ב-Agent Platform. מידע על עבודה עם גלאים של מישור הבקרה עבור Agent Runtime זמין במאמר שימוש ב-Event Threat Detection.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לניהול השירות Agent Platform Threat Detection והמודולים שלו, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Security Center Management Admin (roles/securitycentermanagement.admin) בארגון, בתיקייה או בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מפעילים את Container Threat Detection API בכל הפרויקטים שמכילים סוכני AI מתארחים שרוצים לעקוב אחריהם. אם ה-API הזה מושבת בפרויקט, אי אפשר להשתמש ב-Agent Platform Threat Detection כדי לעקוב אחרי סוכני AI בפרויקט הזה.

כדי לראות את סוכני ה-AI הנתמכים בארגון שלכם, אפשר לעיין בקטע הצגת סוכנים שנפרסו ב-Agent Runtime במסמך הזה.

תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
להפעלת ה-API

הפעלה או השבתה של זיהוי איומים ב-Agent Platform

כברירת מחדל, התכונה 'זיהוי איומים בפלטפורמת הסוכנים' מופעלת בארגון. כדי להשבית או להפעיל מחדש את התכונה Agent Platform Threat Detection (זיהוי איומים בפלטפורמת הסוכן), פועלים לפי השלבים הבאים:

המסוף

כדי להפעיל או להשבית את התכונה Agent Platform Threat Detection דרך Google Cloud המסוף, פועלים לפי השלבים הבאים:

במסוף Google Cloud , עוברים לדף Service Enablement עבור ניהול סיכונים במערכות AI.

כניסה לדף Service Enablement
בוחרים את הארגון.
אם התכונה 'הגנה באמצעות AI' לא מופעלת, לוחצים על הפעלה. אחרי שמפעילים אותו, כל השירותים שתלויים בהגנה מבוססת-AI מוצגים בדף, כולל זיהוי איומים בפלטפורמת הסוכנים.
אם הסטטוס של Agent Platform Threat Detection הוא Disabled (מושבת), מבצעים את הפעולות הבאות:
1. לוחצים על ניהול ההגדרות.
2. בוחרים את סטטוס ההפעלה של הארגון, התיקייה או הפרויקט שרוצים לשנות, ואז בוחרים באחת מהאפשרויות הבאות:
  - הפעלה: הפעלת זיהוי איומים ב-Agent Platform.
  - השבתה: השבתה של זיהוי איומים ב-Agent Platform.
  - ירושה: ירושה של סטטוס ההפעלה מתיקיית ההורה או מהארגון. האפשרות הזו זמינה רק לפרויקטים ולתיקיות.

gcloud

הפקודה gcloud scc manage services update מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organization,‏ folder או project)
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫NEW_STATE: ENABLED כדי להפעיל את התכונה 'זיהוי איומים' ב-Agent Platform;‏ DISABLED כדי להשבית את התכונה 'זיהוי איומים' ב-Agent Platform; או INHERITED כדי להגדיר את סטטוס ההפעלה של משאב האב (הגדרה תקפה רק לפרויקטים ולתיקיות)

מריצים את הפקודה gcloud scc manage services update:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

‏Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows‏ (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

השיטה של Security Command Center Management API RESOURCE_TYPE.locations.securityCenterServices.patch מעדכנת את המצב של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organizations,‏ folders או projects)
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות.
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫NEW_STATE: ENABLED כדי להפעיל את התכונה 'זיהוי איומים' ב-Agent Platform;‏ DISABLED כדי להשבית את התכונה 'זיהוי איומים' ב-Agent Platform; או INHERITED כדי להגדיר את סטטוס ההפעלה של משאב האב (הגדרה תקפה רק לפרויקטים ולתיקיות)

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState

תוכן בקשת JSON:

{
  "intendedEnablementState": "NEW_STATE"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Platform

כדי להפעיל או להשבית מודול ספציפי של Agent Platform Threat Detection, פועלים לפי השלבים הבאים. מידע על כל הממצאים בנושא איומים ועל המודולים שלהם ב-Agent Platform Threat Detection זמין במאמר גלאים.

המסוף

ב Google Cloud מסוף, אפשר להפעיל או להשבית מודולים של Agent Platform Threat Detection ברמת הארגון.

נכנסים לדף Modules במסוף Google Cloud של Agent Platform Threat Detection.

מעבר אל 'מודולים'
בוחרים את הארגון.
בכרטיסייה Modules (מודולים), בעמודה Status (סטטוס), בוחרים את הסטטוס הנוכחי של המודול שרוצים להפעיל או להשבית, ואז בוחרים באחת מהאפשרויות הבאות:
- הפעלה: הפעלת המודול.
- השבתה: השבתת המודול.

gcloud

הפקודה gcloud scc manage services update מעדכנת את הסטטוס של שירות או מודול ב-Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב לעדכון (organization,‏ folder או project).
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים תקינים מפורטים במאמר בנושא גלאים של Agent Platform Threat Detection.
‫NEW_STATE: ENABLED כדי להפעיל את המודול, DISABLED כדי להשבית את המודול או INHERITED כדי לרשת את סטטוס ההפעלה של משאב ההורה (תקף רק לפרויקטים ולתיקיות).

שומרים את התוכן הבא בקובץ בשם request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

מריצים את הפקודה gcloud scc manage services update:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services update agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --module-config-file=request.json

‏Windows (PowerShell)

gcloud scc manage services update agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --module-config-file=request.json

Windows‏ (cmd.exe)

gcloud scc manage services update agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --module-config-file=request.json

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

השיטה של Security Command Center Management API RESOURCE_TYPE.locations.securityCenterServices.patch מעדכנת את המצב של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב שרוצים לעדכן (organizations,‏ folders או projects).
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות.
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לעדכן. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.
‫MODULE_NAME: השם של המודול שרוצים להפעיל או להשבית. ערכים תקינים מפורטים במאמר בנושא גלאים של Agent Platform Threat Detection.
‫NEW_STATE: ENABLED כדי להפעיל את המודול, DISABLED כדי להשבית את המודול או INHERITED כדי לרשת את סטטוס ההפעלה של משאב ההורה (תקף רק לפרויקטים ולתיקיות).

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules

תוכן בקשת JSON:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection?updateMask=modules" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

הצגת הסטטוסים של המודולים של Agent Platform Threat Detection

כדי לראות את הסטטוסים של מודולי זיהוי האיומים ב-Agent Platform, פועלים לפי השלבים הבאים. מידע על כל הממצאים בנושא איומים ועל המודולים שלהם ב-Agent Platform Threat Detection זמין במאמר גלאים.

המסוף

במסוף Google Cloud , אפשר לראות את מצב ההפעלה של מודולים של Agent Platform Threat Detection ברמת הארגון.

נכנסים לדף Modules במסוף Google Cloud של Agent Platform Threat Detection.

מעבר אל 'מודולים'
בוחרים את הארגון.

gcloud

הפקודה gcloud scc manage services describe מחזירה את הסטטוס של שירות או מודול ב-Security Command Center.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organization,‏ folder או project)
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.

מריצים את הפקודה gcloud scc manage services describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc manage services describe agent-engine-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud scc manage services describe agent-engine-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud scc manage services describe agent-engine-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

effectiveEnablementState: ENABLED
intendedEnablementState: INHERITED
modules:
  AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_CONTAINER_ESCAPE:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MALICIOUS_URL_OBSERVED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REPORT_CLI_ARGUMENTS:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_REVERSE_SHELL:
    effectiveEnablementState: ENABLED
  AGENT_ENGINE_UNEXPECTED_CHILD_SHELL:
    effectiveEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection
updateTime: '2025-08-20T18:14:24.731692211Z'

REST

ה-method RESOURCE_TYPE.locations.securityCenterServices.get של Security Command Center Management API מחזירה את הסטטוס של שירות או מודול של Security Command Center.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: סוג המשאב שרוצים לקבל (organizations,‏ folders או projects).
QUOTA_PROJECT: מזהה הפרויקט שמשמש לחיוב ולמעקב אחר מכסות.
‫RESOURCE_ID: המזהה המספרי של הארגון, התיקייה או הפרויקט שרוצים לקבל. בפרויקטים, אפשר להשתמש גם במזהה הפרויקט האלפאנומרי.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/agent-engine-threat-detection" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/agent-engine-threat-detection",
  "intendedEnablementState": "INHERITED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "AGENT_ENGINE_REPORT_CLI_ARGUMENTS": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_URL_OBSERVED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_CONTAINER_ESCAPE": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_REVERSE_SHELL": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED": {
      "effectiveEnablementState": "ENABLED"
    },
    "AGENT_ENGINE_UNEXPECTED_CHILD_SHELL": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-08-20T18:14:24.731692211Z"
}

החרגת ארגומנטים של CLI מהממצאים

כברירת מחדל, כש-Agent Platform Threat Detection מספק פרטים על תהליך בממצא, הוא כולל את הארגומנטים של ממשק שורת הפקודה (CLI) של התהליך. ערכים של ארגומנטים של CLI יכולים להיות חשובים בחקירות של איומים.

עם זאת, יכול להיות שתחליטו לא לכלול את הארגומנטים של ה-CLI בתוצאות, כי הם יכולים להכיל סודות ומידע רגיש אחר.

כדי לא לכלול ארגומנטים של CLI בתוצאות של זיהוי איומים ב-Agent Platform, צריך להגדיר את המודול AGENT_ENGINE_REPORT_CLI_ARGUMENTS לערך DISABLED.
כדי לכלול ארגומנטים של CLI בתוצאות של זיהוי איומים ב-Agent Platform, צריך להגדיר את המודול AGENT_ENGINE_REPORT_CLI_ARGUMENTS לערך ENABLED.

הוראות מופיעות בקטע הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Platform במסמך הזה.

בדיקת הממצאים

כש-Agent Platform Threat Detection יוצר ממצאים, אפשר לראות אותם ב-Security Command Center.

אפשר להעניק את תפקידי ה-IAM של Security Command Center ברמת הארגון, התיקייה או הפרויקט. היכולת שלכם להציג, לערוך, ליצור או לעדכן ממצאים, נכסים ומקורות אבטחה תלויה ברמת הגישה שניתנה לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בקרת גישה.

כדי לעיין בתוצאות של זיהוי איומים בפלטפורמת הסוכן ב-Security Command Center, פועלים לפי השלבים הבאים:

נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

כניסה לדף Findings
בוחרים את הפרויקט או הארגון. Google Cloud
בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות Agent Platform Threat Detection. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא נפתחת ומוצגת בה הכרטיסייה סיכום.
בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב שהושפע ועל השלבים שאפשר לבצע כדי לתקן את הממצא – אם הם זמינים.
אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

כדי לעזור לכם בבדיקה, הממצאים לגבי האיומים כוללים גם קישורים למקורות החיצוניים הבאים:

ערכים במסגרת MITRE ATT&CK. המסגרת מסבירה טכניקות להתקפות על משאבי ענן ומספקת הנחיות לתיקון.
‫VirusTotal, שירות בבעלות Alphabet, מספק הקשר לגבי קבצים, סקריפטים, כתובות URL ודומיינים שעלולים להיות זדוניים.

רשימה של סוגי הממצאים של Agent Platform Threat Detection מופיעה במאמר גלאים של Agent Platform Threat Detection.

הצגת סוכנים שנפרסו ב-Agent Runtime

אם התכונה Agent Platform Threat Detection (זיהוי איומים בפלטפורמת הסוכן) מופעלת, היא עוקבת אחרי סוכני ה-AI שנפרסים ב-Agent Runtime. בקטע הזה מוסבר איך לצפות במידע על כל סוכן שנמצא במעקב של Agent Platform Threat Detection, כולל הפרויקט, המסגרת, המיקום והממצאים שזוהו שמשויכים לסוכן הזה.

כדי לקבל את ההרשאות שנדרשות לצפייה בסוכני ה-AI שניתן לנטר באמצעות Agent Platform Threat Detection, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Security Command Center Admin Viewer (roles/securitycenter.adminViewer) בארגון. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

נכנסים לדף AI Security במסוף Google Cloud .

מעבר אל AI Security
בוחרים את הארגון.
ברשימת סוגי המשאבים, בוחרים באפשרות סוכנים ב-Agent Platform. הסוכנים מוצגים.
כדי לראות פרטים נוספים על סוכן, לוחצים על השם שלו.

מידע נוסף על עבודה עם משאבים ב-Google Cloud Console זמין במאמר בדיקת נכסים שנמצאים במעקב של Security Command Center.

שימוש בזיהוי איומים ב-Agent Platform קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

הפעלה או השבתה של זיהוי איומים ב-Agent Platform

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

הפעלה או השבתה של מודול לזיהוי איומים ב-Agent Platform

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

הצגת הסטטוסים של המודולים של Agent Platform Threat Detection

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

החרגת ארגומנטים של CLI מהממצאים

בדיקת הממצאים

הצגת סוכנים שנפרסו ב-Agent Runtime

המאמרים הבאים

שימוש בזיהוי איומים ב-Agent Platform