使用实体数据模型注入数据
支持的平台:
Google SecOps
SIEM
实体会向网络事件提供情境,这些事件通常不会显示有关它们所连接的系统的所有已知信息。例如,虽然 PROCESS_LAUNCH 事件可能与启动 shady.exe 进程的用户 (abc@foo.corp) 相关联,但 PROCESS_LAUNCH 事件并不会表明该用户 (abc@foo.corp) 是一个高敏感项目中最近被解雇的员工。通常只能通过安全分析师进行的后续调查才能提供此情境。
借助实体数据模型,您可以注入这些类型的实体关系,从而提供更丰富、更集中的 IOC 威胁情报数据。此外还引入并扩展了权限、角色、漏洞和资源消息,以捕获 IAM、漏洞管理系统和数据保护系统提供的新情境。
如需详细了解实体数据模型语法,请参阅实体数据模型参考文档。
默认解析器
以下默认解析器和 API Feed 支持注入资产或用户上下文数据:
- Azure AD Organizational Context
- Duo User Context
- GCP IAM 分析
- GCP IAM Context
- Google Cloud Identity Context
- JAMF
- Microsoft AD
- Microsoft Defender for Endpoint
- Nucleus Unified Vulnerability Management
- Nucleus Asset Metadata
- Okta 用户上下文
- Rapid7 Insight
- SailPoint IAM
- ServiceNow CMDB
- Tanium Asset
- Workday
- Workspace ChromeOS Devices
- Workspace Mobile Devices
- Workspace Privileges
- Workspace Users
Ingestion API
使用 Ingestion API 将实体数据直接注入您的 Google Security Operations 账号。
请参阅 Ingestion API 文档。