Importare i dati utilizzando il modello dei dati delle entità
Le entità forniscono contesto agli eventi di rete che in genere non mostrano tutte le informazioni note sui sistemi a cui si connettono. Ad esempio, mentre un evento PROCESS_LAUNCH potrebbe essere collegato a un utente (abc@foo.corp) che ha avviato il processo shady.exe, l'evento PROCESS_LAUNCH non indicherà che l'utente (abc@foo.corp) era un dipendente terminato di recente in un progetto altamente sensibile. Tale contesto verrebbe normalmente fornito solo da ulteriori ricerche condotte da un analista della sicurezza.
Il modello dei dati delle entità consente di importare questi tipi di relazioni tra entità, fornendo dati di intelligence sulle minacce IOC più completi e mirati. Inoltre, introduce ed espande i messaggi di autorizzazione, ruolo, vulnerabilità e risorsa per acquisire il nuovo contesto disponibile da IAM, sistemi di gestione delle vulnerabilità e sistemi di protezione dei dati.
Per maggiori dettagli sulla sintassi del modello dei dati delle entità, consulta la documentazione di riferimento sul modello dei dati di entità.
Parser predefiniti
I seguenti parser predefiniti e feed API supportano l'importazione di dati di asset o contesto utente:
- Contesto organizzativo di Azure AD
- Contesto utente Duo
- Analisi IAM di Google Cloud
- Contesto IAM di Google Cloud
- Contesto di Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender per endpoint
- Gestione unificata delle vulnerabilità Nucleus
- Metadati della risorsa Nucleus
- Contesto utente Okta
- Insight Rapid7
- SailPoint IAM
- ServiceNow CMDB
- Asset Tanium
- Workday
- Dispositivi ChromeOS di Workspace
- Dispositivi mobili Workspace
- Privilegi di Workspace
- Utenti di Workspace
API Ingestion
Utilizza l'API Ingestion per importare i dati delle entità direttamente nel tuo account Google Security Operations.
Consulta la documentazione dell'API di importazione.