Transfiere datos con el modelo de datos de la entidad

Las entidades proporcionan contexto a los eventos de red que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, mientras que un evento PROCESS_LAUNCH podría estar vinculado a un usuario (abc@foo.corp) que inició el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario (abc@foo.corp) fue un empleado finalizado recientemente en un proyecto altamente confidencial. Normalmente, este contexto solo se proporcionaría mediante una investigación adicional realizada por un analista de seguridad.

El modelo de datos de entidades le permite transferir este tipo de relaciones de entidades, lo que proporciona datos de inteligencia sobre amenazas de IOC más completos y enfocados. También se presentan y amplían los mensajes sobre permisos, roles, vulnerabilidades y recursos para capturar el nuevo contexto disponible en IAM, los sistemas de administración de vulnerabilidades y los sistemas de protección de datos.

Para obtener más información sobre la sintaxis del modelo de datos de la entidad, consulta la documentación de Referencia del modelo de datos de la entidad.

Analizadores predeterminados

Los siguientes analizadores predeterminados y feeds de API admiten la transferencia de datos de elementos o de contexto del usuario:

  • Contexto organizacional de Azure AD
  • Contexto del usuario de Duo
  • Análisis de IAM de GCP
  • Contexto de IAM de GCP
  • Contexto de Google Cloud Identity
  • JAMF
  • real
  • Microsoft Defender para Endpoint
  • Administración unificada de vulnerabilidades de Nucleus
  • Metadatos de activos de Nucleus
  • Contexto del usuario de Okta
  • Estadísticas de Rapid7
  • IAM de SailPoint
  • CMDB de ServiceNow
  • Recurso de tanio
  • Workday
  • Dispositivos ChromeOS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

Stream Ingestion

Usa la API de transferencia para transferir datos de entidades directamente a tu cuenta de Google Security Operations.

Consulta la documentación de la API de transferencia.