Ingérer des données à l'aide du modèle de données d'entité
Les entités fournissent un contexte aux événements réseau, qui ne présentent généralement pas toutes les informations connues sur les systèmes auxquels ils se connectent. Par exemple, bien qu'un événement PROCESS_LAUNCH puisse être associé à un utilisateur (abc@foo.corp) qui a lancé le processus shady.exe, il n'indiquera pas que l'utilisateur (abc@foo.corp) était un employé récemment licencié travaillant sur un projet hautement sensible. Ce contexte ne serait normalement fourni que par des recherches supplémentaires menées par un analyste de sécurité.
Le modèle de données d’entité vous permet d’ingérer ces types de relations entre entités, ce qui vous permet d’obtenir des données de Threat Intelligence IOC plus complètes et plus ciblées. Elle introduit et développe également les messages d'autorisation, de rôle, de faille et de ressource pour capturer le nouveau contexte disponible dans IAM, les systèmes de gestion des failles et les systèmes de protection des données.
Pour en savoir plus sur la syntaxe du modèle de données d'entité, consultez la documentation de référence sur le modèle de données d'entité.
Analyseurs par défaut
Les analyseurs par défaut et les flux d'API suivants sont compatibles avec l'ingestion de données de contexte d'élément ou d'utilisateur :
- Contexte organisationnel Azure AD
- Contexte utilisateur Duo
- Analyse IAM GCP
- Contexte IAM GCP
- Contexte Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender pour point de terminaison
- Gestion unifiée des failles Nucleus
- Métadonnées d'éléments Nucleus
- Contexte utilisateur Okta
- Rapid7 Insight
- SailPoint IAM
- CMDB ServiceNow
- Composant Tanium
- Workday
- Appareils ChromeOS Workspace
- Appareils mobiles Workspace
- Droits Workspace
- Utilisateurs Workspace
API d'ingestion
Utilisez l'API d'ingestion pour ingérer les données d'entité directement dans votre compte Google Security Operations.
Consultez la documentation de l'API Ingestion.