Integra Vertex AI en Google SecOps
En este documento, se explica cómo integrar Vertex AI en Google Security Operations (Google SecOps).
Versión de la integración: 1.0
Antes de comenzar
Para usar la integración, necesitas un proyecto de Google Cloud , una cuenta de servicio de Google Cloud y un rol de Identity and Access Management (IAM).
Para obtener más información sobre los precios, consulta los precios de Vertex AI.
Configura un Google Cloud proyecto
Para crear y configurar un Google Cloud proyecto para la integración de Vertex AI, configura un Google Cloud proyecto.
Crea y configura una cuenta de servicio
Para integrar Vertex AI con Google SecOps, puedes usar una cuenta de servicio existente o crear una nueva. Para obtener orientación sobre cómo crear una cuenta de servicio, consulta Crea cuentas de servicio.
Si no usas un correo electrónico de identidad de cargas de trabajo para configurar la integración, crea una clave de cuenta de servicio en JSON después de crear una cuenta de servicio. Cuando configures los parámetros de integración, deberás proporcionar el contenido completo del archivo de claves JSON descargado.
Por motivos de seguridad, te recomendamos que uses direcciones de correo electrónico de identidades para cargas de trabajo en lugar de claves JSON de cuentas de servicio. Para obtener más información sobre las identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Configura el rol de IAM
Para realizar la integración con Vertex AI, otorga el rol de IAM de usuario de Vertex AI (roles/aiplatform.user) a la cuenta de servicio que usas para configurar la integración.
Para obtener más información sobre los roles de IAM de Vertex AI, consulta Control de acceso de Vertex AI con IAM.
Parámetros de integración
La integración de Vertex AI requiere los siguientes parámetros:
| Parámetros | Descripción |
|---|---|
API Root |
Obligatorio Es la raíz de la API de la integración de Vertex AI. El valor predeterminado es |
Workload Identity Email |
Optional Es la dirección de correo electrónico del cliente de tu federación de identidades para cargas de trabajo. Puedes configurar este parámetro o el parámetro En esta integración, la autenticación con el archivo JSON de la clave de la cuenta de servicio tiene prioridad sobre la federación de Workload Identity. Para actuar como cuentas de servicio con la federación de identidades para cargas de trabajo, otorga el rol de |
Service Account Json File Content |
Optional Es el contenido del archivo JSON de la clave de la cuenta de servicio. Puedes configurar este parámetro o el parámetro Para configurar este parámetro, proporciona el contenido completo del archivo JSON de la clave de la cuenta de servicio que descargaste cuando creaste una cuenta de servicio. Para obtener más información sobre el uso de cuentas de servicio como método de autenticación, consulta Descripción general de las cuentas de servicio. |
Project ID |
Optional ID del proyecto que se usará en la integración. Si no configuras un valor para este parámetro, la integración recupera el ID del proyecto de tu cuenta de servicio de Google Cloud . |
Default Model |
Optional Nombre del modelo predeterminado que se usará en la integración. El valor predeterminado es |
Location |
Optional Es el ID de ubicación de la API de Vertex AI. Si no estableces un valor, la integración extraerá el ID de ubicación de la raíz de la API. Para obtener más información sobre las ubicaciones, los extremos y los recursos, consulta la API de Vertex AI. |
Verify SSL |
Obligatorio Si se selecciona esta opción, la integración verifica que el certificado SSL para conectarse a Vertex AI sea válido. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Analiza EML
Usa la acción Analizar EML para analizar archivos EML con Vertex AI. Con esta acción, se envía cada archivo de forma individual.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Analizar EML requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Model ID |
Optional ID del modelo que se usará, como |
Temperature |
Optional Es el valor para controlar el grado de aleatoriedad en la selección de un token. Este parámetro acepta valores del tipo de datos Para obtener más información sobre los valores de temperatura, consulta Experimenta con los valores de los parámetros. |
Files To Analyze |
Obligatorio Es una lista separada por comas de los archivos EML que se enviarán para su análisis. |
Max Output Tokens |
Optional Es la cantidad máxima de tokens de salida que se generarán en cada respuesta. Un token tiene aproximadamente cuatro caracteres. 100 tokens corresponden a aproximadamente entre 60 y 80 palabras. Este límite se aplica a cada entidad individual. Para obtener más información, consulta Experimenta con los valores de los parámetros. El valor predeterminado es |
Resultados de la acción
La acción Analizar EML proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Analyze EML:
[{
"Entity": "file",
"EntityResult": {
"raw": "{\"threat_level\": \"High\", \"threats_found\": [{\"threat\": \"Phishing Links\", \"explanation\": \"Multiple links point",
"extracted_info": {
"threat_level": "High",
"threats_found": [
{
"threat": "Phishing Links",
"explanation": "Multiple links point to example.com, a suspicious domain likely used for phishing campaigns.",
"example": "URL"
},
{
"threat": "Social Engineering",
"explanation": "The email uses urgency and scarcity tactics, pressuring the recipient to click links quickly.",
"example": "Register Now and Save $1,000 on all 2-Day Project Management (Fundamentals)"
},
{
"threat": "Suspicious Domain",
"explanation": "The email uses the domain example.com', which is not commonly associated with legitimate businesses or organizations and may be a newly registered domain for malicious purposes. This should be checked for validity and legitimacy. The email also uses the domain pdu-xl.com which may also be suspicious.",
"example": "example.com"
}
],
"verification_steps": [
"Check the domain reputation of example.com using online tools like VirusTotal or URLVoid.",
"Analyze email headers to identify the true sender's IP address and location using email analysis tools.",
"Verify the legitimacy of mentioned products or services by independently contacting the companies mentioned."
],
"protection_measures": [
"Avoid clicking links in suspicious emails. Hover over links to check the actual URL in a separate tool.",
"Enable email filtering and anti-phishing features in your email client.",
"Regularly update your antivirus and anti-malware software.",
"Educate users about social engineering tactics and phishing schemes."
]
},
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}]
Mensajes de salida
La acción Analizar EML puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully analysed the following EML files using Vertex AI:
FILE_PATHS |
La acción se completó correctamente. |
Error executing action "Analyze EML". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Analyze EML:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Describe Entity
Usa la acción Describe Entity para resumir información sobre entidades con Vertex AI.
Esta acción se ejecuta en todas las entidades de SecOps de Google y envía cada entidad de forma individual.
Entradas de acción
La acción Describe Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Model ID |
Optional ID del modelo que se usará, como |
Temperature |
Optional Es el valor para controlar el grado de aleatoriedad en la selección de un token. Este parámetro acepta valores del tipo de datos Para obtener más información sobre los valores de temperatura, consulta Experimenta con los valores de los parámetros. |
Exclude Fields |
Optional Es una lista separada por comas de los campos de metadatos de la entidad de SecOps de Google que se excluirán durante la generación del resumen de la entidad. |
Force Refresh |
Optional Si se selecciona, la acción ignora el parámetro No está seleccionada de forma predeterminada. |
Refresh After (Days) |
Obligatorio Cantidad de días que la acción debe esperar antes de actualizar el resumen de la entidad. La acción genera un valor hash basado en todas las entradas que se envían a Vertex AI, excepto los valores del parámetro La acción valida el valor de hash del resumen generado real más reciente y, luego, ignora el valor de hash almacenado en caché. El valor predeterminado es |
Max Output Tokens |
Optional Es la cantidad máxima de tokens de salida que se generarán en cada respuesta. Un token tiene aproximadamente cuatro caracteres. 100 tokens corresponden a aproximadamente entre 60 y 80 palabras. Este límite se aplica a cada entidad individual. Para obtener más información, consulta Experimenta con los valores de los parámetros. |
Resultados de la acción
La acción Describe Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Describe Entity:
[
{
"Entity": "1B16D64CE18772B8F77C74C3D4DC24AA066BB117",
"EntityResult": {
"summary": "This is a suspicious, enriched, internal file hash (SHA1: 1B16D64CE18772B8F77C74C3D4DC24AA066BB117) identified as a Microsoft Excel 2007+ file (\"FC090000\") located on a user's desktop. VirusTotal analysis shows 3 malicious flags out of 65 total engines. The file contains macros, is potentially obfuscated, and exhibits behaviors like writing to files, running DLLs, and downloading content. It was last modified on 2024-11-13 and created on 2021-07-07. The file is linked to a single case (\"potential_apt_doc_files\") which was closed. The file is flagged as an artifact but not vulnerable or a pivot point.\n",
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
}
}
}
]
Mensajes de salida
La acción Describe Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully summarized the entity based on the available
information using Vertex AI. |
La acción se completó correctamente. |
Error executing action "Describe Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Describe Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar instrucción
Usa la acción Ejecutar instrucción para ejecutar instrucciones de texto individuales con Vertex AI.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar instrucción requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Model ID |
Optional ID del modelo que se usará, como |
Text Prompt |
Obligatorio Las instrucciones de texto que se incluirán en el mensaje. |
Temperature |
Optional Es el valor para controlar el grado de aleatoriedad en la selección de un token. Este parámetro acepta valores del tipo de datos Para obtener más información sobre los valores de temperatura, consulta Experimenta con los valores de los parámetros. |
Candidate Count |
Optional Es la cantidad de variaciones de respuesta que se devolverán en cada ejecución de la acción. Para cada solicitud, la facturación se aplica a un token de entrada una vez y a cada token de salida de todos los candidatos generados. |
Response MIME Type |
Optional Es el tipo de medio (MIME) de la respuesta de salida para el texto candidato generado. El tipo de medio (MIME) de respuesta está disponible para los siguientes modelos: Los valores posibles son los siguientes:
text/plain. |
Response Schema |
Optional Es el esquema que debe seguir el texto candidato generado. Para usar este parámetro, configura el parámetro El esquema de respuesta está disponible para los siguientes modelos: |
Max Input Tokens |
Optional Es la cantidad máxima de tokens de entrada que se pueden enviar. Un token consta de hasta cuatro caracteres. 100 tokens pueden corresponder a entre 60 y 80 palabras. Si no estableces un valor, la acción ejecutará cualquier instrucción. Si la cantidad de tokens supera la cantidad máxima configurada, la acción falla. |
Max Output Tokens |
Optional Es la cantidad máxima de tokens de salida que se generarán en cada respuesta. Un token tiene aproximadamente cuatro caracteres. 100 tokens corresponden a aproximadamente entre 60 y 80 palabras. Este límite se aplica a cada entidad individual. Para obtener más información, consulta Experimenta con los valores de los parámetros. |
Resultados de la acción
La acción Ejecutar mensaje proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Ejecutar instrucción:
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Responding to a malicious email requires a layered approach. Here's a breakdown of remediation steps, prioritizing actions based on urgency:\n\n**Immediate Actions (within minutes):**\n\n1. **Do NOT click any links or open any attachments.** This is paramount. Malicious links can download malware, and attachments can contain viruses or exploits.\n\n2. **Disconnect from the internet (if possible).** This limits the damage the malware can do if it's already on your system. Unplug your ethernet cable or turn off Wi-Fi.\n\n3. **Close the email immediately.** Don't even hover over links or attachments; the preview might be enough to trigger some malware.\n\n**Investigative Actions (within hours):**\n\n4. **Check your email account for unauthorized access.** Look for unfamiliar sent emails, changed settings (like forwarding rules), or new accounts added.\n\n5. **Run a full system scan with your antivirus software.** Ensure your antivirus definitions are up-to-date before running the scan. Consider a second opinion scan with a different reputable antivirus program.\n\n6. **Review your computer's processes (Task Manager on Windows, Activity Monitor on macOS).** Look for unfamiliar processes consuming significant resources. This could indicate malware activity.\n\n7. **Check your network connections.** See if any unauthorized connections exist.\n\n8. **Change your email password immediately.** Use a strong, unique password. Consider using a password manager.\n\n9. **If you clicked a link or opened an attachment, consider the potential impact.** Did you enter credentials? Did you download a file? The severity of action needed depends on this.\n\n**Remediation Actions (within days):**\n\n10. **Contact your IT department or security professional.** They can provide expert guidance and assist with more advanced remediation steps.\n\n11. **Consider more advanced malware scanning tools.** There are specialized tools that can detect malware missed by standard antivirus.\n\n12. **Review your operating system's security settings.** Ensure firewalls are enabled and that other security features are adequately configured.\n\n13. **Report the malicious email to your email provider.** This helps them remove the email and prevent others from being affected. You can often do this by forwarding the email to an abuse reporting address provided by your provider. Report it to the appropriate authorities if you suspect the email involves a crime.\n\n14. **Monitor your accounts and financial records for suspicious activity.** Phishing emails often aim to steal credentials and financial information.\n\n**Preventive Actions (ongoing):**\n\n15. **Implement strong email filtering.** Use spam filters and configure your email provider's security settings to block suspicious emails.\n\n16. **Train yourself and others to identify phishing emails.** Be wary of emails with unusual addresses, grammatical errors, urgent requests, or suspicious attachments.\n\n17. **Keep your software up to date.** Regularly update your operating system, applications, and antivirus software.\n\n18. **Use strong, unique passwords for all accounts.** A password manager can assist with this.\n\n19. **Enable two-factor authentication (2FA) wherever possible.** This adds an extra layer of security to your accounts.\n\n\n**If you suspect your personal data or financial information has been compromised:**\n\n* **Contact your bank and credit card companies immediately.** Report any suspicious transactions and consider placing a fraud alert on your accounts.\n* **Consider credit monitoring services.** This can help you detect and respond to identity theft.\n\n\nThe severity of the remediation steps depends on the nature of the malicious email and what actions you took in response to it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensajes de salida
La acción Ejecutar instrucción puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed a prompt. |
La acción se completó correctamente. |
Error executing action "Execute Prompt". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ejecutar mensaje:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad a Vertex AI.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to Vertex AI with the provided connection
parameters! |
La acción se completó correctamente. |
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Transformar datos
Usa la acción Transform Data para realizar transformaciones de datos con Vertex AI.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Transform Data requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Model ID |
Optional ID del modelo que se usará, como |
Text Prompt |
Obligatorio Las instrucciones de texto que se incluirán en el mensaje. |
Temperature |
Optional Es el valor para controlar el grado de aleatoriedad en la selección de un token. Este parámetro acepta valores del tipo de datos Para obtener más información sobre los valores de temperatura, consulta Experimenta con los valores de los parámetros. |
JSON Object |
Obligatorio Es el objeto JSON que se usará como entrada de acción. |
Max Output Tokens |
Obligatorio Es la cantidad máxima de tokens de salida que se generarán en cada respuesta. Un token tiene aproximadamente cuatro caracteres. 100 tokens corresponden a aproximadamente entre 60 y 80 palabras. Este límite se aplica a cada entidad individual. Para obtener más información, consulta Experimenta con los valores de los parámetros. El valor predeterminado es |
Resultados de la acción
La acción Transform Data proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Transform Data:
{
"candidates": [
{
"content": {
"role": "model",
"parts": [
{
"text": "Respondo it. If you're unsure about any step, err on the side of caution and seek professional help.\n"
}
]
},
"finishReason": "STOP",
"avgLogprobs": -0.4171245741660307
}
],
"usageMetadata": {
"promptTokenCount": 12,
"candidatesTokenCount": 778,
"totalTokenCount": 790
},
"modelVersion": "gemini-1.5-flash-002",
"Text_context": ""
"extracted_info": ""
}
Mensajes de salida
La acción Transform Data puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully transformed provided data. |
La acción se completó correctamente. |
Error executing action "Transform Data". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Transformar datos:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.