Transfiere datos con el modelo de datos de la entidad

Se admite en los siguientes países:

Las entidades proporcionan contexto a los eventos de red que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, mientras que un evento PROCESS_LAUNCH puede estar vinculado a un usuario (abc@foo.corp) que inició el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario (abc@foo.corp) fue un empleado finalizado recientemente en un proyecto altamente confidencial. Por lo general, este contexto solo lo proporciona una investigación adicional que realiza un analista de seguridad.

El modelo de datos de entidades te permite transferir estos tipos de relaciones de entidades, lo que proporciona datos de inteligencia contra amenazas de IOC más enriquecidos y enfocados. También presenta y expande los mensajes de permiso, rol, vulnerabilidad y recurso para capturar el nuevo contexto disponible de IAM, los sistemas de administración de vulnerabilidades y los sistemas de protección de datos.

Para obtener detalles sobre la sintaxis del modelo de datos de entidades, consulta la documentación de Referencia del modelo de datos de entidades.

Analizadores predeterminados

Los siguientes analizadores predeterminados y feeds de API admiten la transferencia de datos de contexto del usuario o del activo:

  • Contexto organizacional de Azure AD
  • Contexto del usuario de Duo
  • Análisis de IAM de GCP
  • Contexto de IAM de GCP
  • Contexto de Google Cloud Identity
  • JAMF
  • real
  • Microsoft Defender para Endpoint
  • Administración unificada de vulnerabilidades de Nucleus
  • Metadatos de activos de Nucleus
  • Contexto del usuario de Okta
  • Rapid7 Insight
  • IAM de SailPoint
  • CMDB de ServiceNow
  • Recurso de Tanium
  • Workday
  • Dispositivos ChromeOS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

Stream Ingestion

Usa la API de transferencia para transferir datos de entidades directamente a tu cuenta de Operaciones de seguridad de Google.

Consulta la documentación de la API de transferencia.