Daten mit dem Entitätsdatenmodell aufnehmen
Entitäten liefern Kontext für Netzwerkereignisse, bei denen in der Regel nicht alle bekannten Informationen zu den Systemen angezeigt werden, mit denen eine Verbindung hergestellt wird. Beispiel: Ein PROCESS_LAUNCH-Ereignis kann mit einem Nutzer (abc@foo.corp) verknüpft sein, der den Prozess shady.exe gestartet hat. Das PROCESS_LAUNCH-Ereignis weist jedoch nicht darauf hin, dass der Nutzer (abc@foo.corp) vor Kurzem ein Mitarbeiter in einem hochsensiblen Projekt war. Dieser Kontext würde normalerweise nur durch weitere Untersuchungen eines Sicherheitsanalysten bereitgestellt werden.
Mit dem Entitätsdatenmodell können Sie diese Arten von Entitätsbeziehungen aufnehmen und erhalten so umfassendere und gezieltere IOC-Bedrohungsdatendaten. Außerdem werden die Meldungen zu Berechtigungen, Rollen, Sicherheitslücken und Ressourcen eingeführt und erweitert, um neuen Kontext zu erfassen, der von IAM, Systemen zur Verwaltung von Sicherheitslücken und Datenschutzsystemen verfügbar ist.
Weitere Informationen zur Syntax des Entitätsdatenmodells finden Sie in der Dokumentation unter Referenz für Entitätsdatenmodelle.
Standardparser
Die folgenden Standardparser und API-Feeds Aufnahme von Asset- oder Nutzerkontextdaten:
- Azure AD-Organisationskontext
- Duo-Nutzerkontext
- GCP IAM-Analyse
- GCP-IAM-Kontext
- Google Cloud Identity-Kontext
- JAMF
- Microsoft AD
- Microsoft Defender für Endpunkte
- Nucleus Unified Vulnerability Management
- Nucleus-Asset-Metadaten
- Okta-Nutzerkontext
- Rapid7 Insight
- SailPoint IAM
- ServiceNow-CMDB
- Tanium-Asset
- Workday
- Workspace ChromeOS-Geräte
- Workspace-Mobilgeräte
- Workspace-Berechtigungen
- Workspace-Nutzer
Ingestion API
Mit der Datenaufnahme-API können Sie Entitätsdaten direkt in Ihr Google Security Operations-Konto aufnehmen.
Weitere Informationen finden Sie in der Dokumentation zur Ingestion API.