Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Transfiere datos con el modelo de datos de entidad

Las entidades proporcionan contexto a los eventos de red que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, si bien un evento PROCESS_LAUNCH puede estar vinculado a un usuario (abc@foo.corp) que inició el proceso shady.exe, el evento PROCESS_LAUNCH ganó't indica que el usuario (abc@foo.corp) fue un empleado recientemente dado de baja en un proyecto sumamente sensible. Normalmente, solo las proporcionaría una investigación realizada por un analista de seguridad.

El modelo de datos de entidades le permite transferir estos tipos de relaciones de entidad, lo que proporciona datos de inteligencia de amenazas de IOC más completos y completos. También incluye y expande los mensajes de permisos, funciones, vulnerabilidades y recursos para capturar un contexto nuevo disponible desde IAM, sistemas de administración de vulnerabilidades y sistemas de protección de datos.

Para obtener detalles sobre la sintaxis del modelo de datos de la entidad, consulta la documentación Referencia de modelos de datos de entidad.

Analizadores predeterminados

Los siguientes analizadores predeterminados y feeds de API admiten la transferencia de datos de elementos o del contexto del usuario:

  • Contexto organizativo de Azure AD
  • Contexto de usuario de Duo Contexto de usuario
  • Análisis de Google Cloud IAM
  • Contexto de IAM de GCP
  • JAMF
  • Microsoft Defender para el extremo
  • Administración de vulnerabilidades unificadas de Nucleus
  • Metadatos de recursos de Nucleus
  • Contexto de usuario de Okta
  • Rapid7 Insight
  • IAM de SailPoint
  • CMDB de ServiceNow
  • Elemento de tanio
  • real
  • Día laboral
  • Dispositivos con Chrome OS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

API Ingestion

Usa la API de transferencia para transferir los datos de la entidad directamente a tu cuenta de Chronicle.

Consulta la documentación de la API de transferencia.