エンティティ データモデルを使用してデータを取り込む

エンティティは、接続先のシステムに関する既知の情報をすべて表示しないネットワーク イベントのコンテキストを提供します。たとえば、PROCESS_LAUNCH イベントが shady.exe プロセスを開始したユーザー（abc@foo.corp）にリンクされている場合でも、PROCESS_LAUNCH イベントでは、そのユーザー（abc@foo.corp）が、機密性の高いプロジェクトで最近解雇された従業員だったことは示されません。通常、このコンテキストは、セキュリティ アナリストが実施する詳細な調査によってのみ提供されます。

エンティティ データモデルによって、このようなエンティティの関係を取り込み、より豊富で的確な IOC 脅威インテリジェンス データを提供できます。また、権限、ロール、脆弱性、リソースのメッセージを導入して拡張し、IAM、脆弱性管理システム、データ保護システムから利用可能な新しいコンテキストをキャプチャします。

エンティティ データモデルの構文の詳細については、エンティティ データモデル リファレンスのドキュメントをご覧ください。

デフォルト パーサー

次のデフォルト パーサーと API フィードは、アセットまたはユーザー コンテキスト データの取り込みをサポートしています。

• Azure AD 組織コンテキスト
• Duo ユーザー コンテキスト
• GCP IAM 分析
• GCP IAM コンテキスト
• Google Cloud Identity コンテキスト
• JAMF
• Microsoft AD
• Microsoft Defender for Endpoint
• Nucleus 統合的脆弱性管理
• Nucleus アセットのメタデータ
• Okta User Context
• Rapid7 Insight
• SailPoint IAM
• ServiceNow CMDB
• Tanium Asset
• Workday
• Workspace の ChromeOS デバイス
• Workspace のモバイル デバイス
• Workspace の権限
• Workspace ユーザー

Ingestion API

Ingestion API を使ってエンティティ データを Google Security Operations アカウントに直接取り込みます。

取り込み API のドキュメントをご覧ください。