Daten mit dem Entitätsdatenmodell aufnehmen
Entitäten liefern Kontext für Netzwerkereignisse, bei denen in der Regel nicht alle bekannten Informationen zu den Systemen angezeigt werden, mit denen eine Verbindung hergestellt wird. Ein PROCESS_LAUNCH-Ereignis kann beispielsweise mit einem Nutzer (abc@foo.corp) verknüpft sein, der den Prozess „shady.exe“ gestartet hat. Das PROCESS_LAUNCH-Ereignis gibt jedoch nicht an, dass der Nutzer (abc@foo.corp) ein vor Kurzem gekündigter Mitarbeiter an einem hochsensiblen Projekt war. Dieser Kontext wird normalerweise nur durch weitere Recherchen eines Sicherheitsanalysten geliefert.
Mit dem Entitätsdatenmodell können Sie diese Arten von Entitätsbeziehungen aufnehmen und so umfassendere und aussagekräftigere IOC-Threat-Intelligence-Daten erhalten. Außerdem werden die Meldungen zu Berechtigungen, Rollen, Sicherheitslücken und Ressourcen eingeführt und erweitert, um neuen Kontext aus IAM-, Sicherheitslückenmanagement- und Datenschutzsystemen zu erfassen.
Weitere Informationen zur Syntax des Entitätsdatenmodells finden Sie in der Referenz zum Entitätsdatenmodell.
Standardparser
Die folgenden Standardparser und API-Feeds unterstützen die Aufnahme von Asset- oder Nutzerkontextdaten:
- Azure AD-Organisationskontext
- Duo-Nutzerkontext
- GCP IAM-Analyse
- GCP IAM-Kontext
- Google Cloud Identity-Kontext
- JAMF
- Microsoft AD
- Microsoft Defender for Endpoint
- Nucleus Unified Vulnerability Management
- Nucleus-Asset-Metadaten
- Okta-Nutzerkontext
- Rapid7 Insight
- SailPoint IAM
- ServiceNow CMDB
- Tanium-Asset
- Workday
- Workspace-ChromeOS-Geräte
- Workspace-Mobilgeräte
- Workspace-Berechtigungen
- Workspace-Nutzer
Ingestion API
Mit der Datenaufnahme-API können Sie Entitätsdaten direkt in Ihr Google Security Operations-Konto aufnehmen.
Weitere Informationen finden Sie in der Dokumentation zur Datenaufnahme API.