Ingerir dados usando o modelo de dados de entidade
As entidades fornecem contexto para eventos de rede que normalmente não trazem todas as informações conhecidas sobre os sistemas aos quais se conectam. Por exemplo, embora um evento PROCESS_LAUNCH possa estar vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, o evento PROCESS_LAUNCH não vai indicar que o usuário (abc@foo.corp) era um funcionário recém-encerrado em um projeto altamente confidencial. Esse contexto normalmente só seria fornecido por pesquisas adicionais conduzidas por um analista de segurança.
O modelo de dados de entidade permite ingerir esses tipos de relações de entidade, fornecendo dados de inteligência de ameaças de IOC mais ricos e focados. Ele também introduz e expande as mensagens de permissão, função, vulnerabilidade e recurso para capturar o novo contexto disponível no IAM, nos sistemas de gerenciamento de vulnerabilidades e de proteção de dados.
Para detalhes sobre a sintaxe do modelo de dados da entidade, consulte a documentação Referência do modelo de dados da entidade.
Analisadores padrão
Os analisadores padrão a seguir e os feeds de API dão suporte à ingestão de dados de contexto do usuário ou do ativo:
- Contexto organizacional do Azure AD
- Contexto do usuário do Duo
- Análise de IAM do GCP
- Contexto do IAM do GCP
- Contexto do Google Cloud Identity
- JAMF
- autêntico
- Microsoft Defender para endpoint
- Gerenciamento unificado de vulnerabilidades do Nucleus
- Metadados de recursos Nucleus
- Contexto do usuário do Okta
- Insight Rapid7
- IAM do SailPoint
- CMDB do ServiceNow
- Recurso do Tanium
- Workday
- Dispositivos ChromeOS do Workspace
- Dispositivos móveis do Workspace
- Privilégios do Workspace
- Usuários do Workspace
API Ingestion
Use a API Ingestion para ingerir dados da entidade diretamente na sua conta do Google Security Operations.
Consulte a documentação da API Ingestion.