Importa i dati utilizzando il modello dei dati delle entità
Le entità forniscono un contesto agli eventi di rete che in genere non mostrano tutte le informazioni note sui sistemi a cui si connettono. Ad esempio, anche se un evento PROCESS_LAUNCH potrebbe essere collegato a un utente (abc@foo.corp) che ha avviato il processo shady.exe, l'evento PROCESS_LAUNCH non indicherà che l'utente (abc@foo.corp) era un dipendente di recente licenziato da un progetto altamente sensibile. In genere, questo contesto viene fornito solo da ulteriori ricerche condotte da un analista della sicurezza.
Il modello dei dati delle entità ti consente di importare questi tipi di relazioni tra entità, fornendo dati di intelligence sulle minacce IOC più completi e mirati. Inoltre, introduce ed espande i messaggi di autorizzazione, ruolo, vulnerabilità e risorsa per acquisire il nuovo contesto disponibile da IAM, sistemi di gestione delle vulnerabilità e sistemi di protezione dei dati.
Per informazioni dettagliate sulla sintassi del modello dei dati delle entità, consulta la documentazione di riferimento del modello di dati delle entità.
Analizzatori sintattici predefiniti
I seguenti parser predefiniti e feed API supportano l'importazione di dati di asset o contesto utente:
- Contesto organizzativo di Azure AD
- Contesto utente Duo
- Analisi IAM di Google Cloud
- Contesto IAM di Google Cloud
- Contesto Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender di Endpoint
- Nucleus Unified Vulnerability Management
- Metadati della risorsa Nucleus
- Contesto utente di Okta
- Rapid7 Insight
- SailPoint IAM
- ServiceNow CMDB
- Asset Tanium
- Workday
- Dispositivi ChromeOS di Workspace
- Dispositivi mobili Workspace
- Privilegi di Workspace
- Utenti di Workspace
API Ingestion
Utilizza l'API Ingestion per importare i dati delle entità direttamente nel tuo account Google Security Operations.
Consulta la documentazione dell'API di importazione.