Ingerir dados usando o modelo de dados de entidade
As entidades fornecem contexto para eventos de rede, que normalmente não mostram todas as informações conhecidas sobre os sistemas aos quais se conectam. Por exemplo, embora um evento PROCESS_LAUNCH possa estar vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, o evento PROCESS_LAUNCH não indica que o usuário (abc@foo.corp) foi um funcionário demitido recentemente em um projeto altamente sensível. Esse contexto normalmente só é fornecido por pesquisas adicionais realizadas por um analista de segurança.
O modelo de dados de entidade permite que você ingira esses tipos de relações de entidade, fornecendo dados de inteligência de ameaças de IOC mais ricos e focados. Ele também introduz e expande as mensagens de permissão, função, vulnerabilidade e recurso para capturar o novo contexto disponível no IAM, nos sistemas de gerenciamento de vulnerabilidades e de proteção de dados.
Para saber mais sobre a sintaxe do modelo de dados de entidade, consulte a documentação Referencia do modelo de dados de entidade.
Analisadores padrão
Os parsers padrão e os feeds de API a seguir oferecem suporte à ingestão de dados de recursos ou de contexto do usuário:
- Contexto organizacional do Azure AD
- Contexto do usuário do Duo
- Google Cloud Análise do IAM
- Google Cloud Contexto do IAM
- Contexto do Google Cloud Identity
- JAMF
- autêntico
- Microsoft Defender para Ponto de Extremidade
- Nucleus Unified Vulnerability Management
- Metadados do recurso Nucleus
- Contexto do usuário do Okta
- Insight do Rapid7
- IAM do SailPoint
- CMDB do ServiceNow
- Recurso do Tanium
- Workday
- Dispositivos ChromeOS do Workspace
- Dispositivos móveis do Workspace
- Privilégios do Workspace
- Usuários do Workspace
API Ingestion
Use a API Ingestion para ingerir dados de entidades diretamente na sua conta das operações de segurança do Google.
Consulte a documentação da API Ingestion.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.