Daten mit dem Entitätsdatenmodell aufnehmen

Entitäten liefern Kontext für Netzwerkereignisse, in denen normalerweise nicht alle Informationen über die Systeme angezeigt werden, mit denen sie eine Verbindung herstellen. Beispiel: Ein Ereignis vom Typ PROCESS_LAUNCH ist möglicherweise mit einem Nutzer (abc@foo.corp) verknüpft, der den Prozess shady.exe gestartet hat. Das Ereignis PROCESS_LAUNCH gibt jedoch nicht an, dass der Nutzer (abc@foo.corp) kürzlich gekündigt wurde und in einem hochsensiblen Projekt arbeitet. Dieser Kontext würde normalerweise nur durch weitere Untersuchungen eines Sicherheitsanalysten bereitgestellt werden.

Mit dem Entitätsdatenmodell können Sie diese Arten von Entitätsbeziehungen aufnehmen und so umfassendere und fokussiertere IOC-Daten zu Bedrohungsinformationen bereitstellen. Außerdem werden die Meldungen zu Berechtigungen, Rollen, Sicherheitslücken und Ressourcen eingeführt und erweitert, um neuen Kontext zu erfassen, der von IAM, Sicherheitslückenverwaltungssystemen und Datenschutzsystemen verfügbar ist.

Weitere Informationen zur Syntax des Entitätsdatenmodells finden Sie in der Dokumentation Entitätsdatenmodellreferenz.

Standardparser

Die folgenden Standardparser und API-Feeds unterstützen die Aufnahme von Asset- oder Nutzerkontextdaten:

  • Azure AD-Organisationskontext
  • Duo-Nutzerkontext
  • GCP-IAM-Analyse
  • GCP-IAM-Kontext
  • Google Cloud Identity-Kontext
  • JAMF
  • Microsoft AD
  • Microsoft Defender for Endpoint
  • Nucleus Unified Vulnerability Management
  • Nucleus-Asset-Metadaten
  • Okta-Nutzerkontext
  • Rapid7 Insight
  • SailPoint-IAM
  • ServiceNow-CMDB
  • Tanium-Asset
  • Workday
  • Workspace-ChromeOS-Geräte
  • Workspace-Mobilgeräte
  • Workspace-Berechtigungen
  • Workspace-Nutzer

Ingestion API

Verwenden Sie die Ingestion API, um Entitätsdaten direkt in Ihr Chronicle-Konto aufzunehmen.

Weitere Informationen findest du in der Dokumentation zur Ingestion API.