Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Daten mit dem Entitätsdatenmodell aufnehmen

Entitäten stellen Kontext zu Netzwerkereignissen bereit, die in der Regel nicht alle Informationen zu den Systemen liefern, mit denen sie verbunden sind. Ein Beispiel: Ein PROCESS_LAUNCH-Ereignis ist möglicherweise mit einem Nutzer (abc@foo.corp) verknüpft, der den Vorgang „shady.exe“ gestartet hat. Dagegen hat das Ereignis PROCESS_LAUNCH nicht angegeben, dass der Nutzer (abc@foo.corp) ein kürzlich beendetes Team in einem sensiblen Projekt war. Dieser Kontext wird normalerweise nur durch weitere Untersuchungen von einem Sicherheitsanalysten vermittelt.

Mit dem Entitätsdatenmodell können Sie diese Arten von Entitätsbeziehungen aufnehmen und liefern umfassendere IOC-Daten zu Bedrohungen. Außerdem werden die Berechtigungen, Rollen, Sicherheitslücken und Ressourcennachrichten eingeführt und erweitert, um neuen Kontext aus IAM, Sicherheitslückenverwaltungssystemen und Datenschutzsystemen zu erfassen.

Weitere Informationen zur Syntax des Entitätsdatenmodells finden Sie in der Referenz zum Entitätsdatenmodell.

Standard-Parser

Die folgenden Standard-Parser und API-Feeds unterstützen die Aufnahme von Asset- oder Nutzerkontextdaten:

  • Azure AD-Organisationskontext
  • Duo User ContextDuo-Nutzerkontext
  • Google Cloud IAM-Analyse
  • GCP-IAM-Kontext
  • Logo: JAMF
  • Microsoft Defender für Endpunkt
  • Logo: Nucleus Unified Vulnerability Management
  • Nucleus-Asset-Metadaten
  • Okta-Nutzerkontext
  • Logo: Rapid7 Insight
  • SailPoint-IAM
  • ServiceNow CMDB
  • Tanium-Asset
  • Microsoft AD
  • Arbeitstag
  • Workspace – Chrome OS-Geräte
  • Workspace-Mobilgeräte
  • Workspace-Berechtigungen
  • Workspace-Nutzer

Ingestion API

Mit der Ingestion API können Sie Entitätsdaten direkt in Ihr Chronicle-Konto aufnehmen.

Weitere Informationen finden Sie in der Dokumentation zur Ingestion API.