Ingérer des données à l'aide du modèle de données d'entité
Les entités fournissent du contexte sur les événements réseau, qui n'affichent généralement pas toutes les informations connues sur les systèmes auxquels elles se connectent. Par exemple, alors qu'un événement PROCESS_LAUNCH peut être lié à un utilisateur (abc@foo.corp) qui a lancé le processus shady.exe, l'événement PROCESS_LAUNCH n'indique pas que l'utilisateur (abc@foo.corp) a récemment été clôturé pour un projet hautement sensible. Ce contexte ne serait normalement fourni que par des recherches plus approfondies menées par un analyste de sécurité.
Le modèle de données d’entité vous permet d’ingérer ces types de relations entre entités, ce qui vous permet d’obtenir des données de Threat Intelligence IOC plus complètes et plus ciblées. Elle introduit et développe également les messages d'autorisation, de rôle, de faille et de ressource pour capturer le nouveau contexte disponible dans IAM, les systèmes de gestion des failles et les systèmes de protection des données.
Pour en savoir plus sur la syntaxe du modèle de données d'entité, consultez la documentation de référence sur le modèle de données des entités.
Analyseurs par défaut
Les analyseurs par défaut et les flux d'API suivants acceptent l'ingestion d'éléments ou de données contextuelles sur les utilisateurs:
- Contexte organisationnel Azure AD
- Contexte utilisateur Duo
- Analyse IAM GCP
- Contexte IAM GCP
- Contexte Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender pour point de terminaison
- Gestion unifiée des failles Nucleus
- Métadonnées d'éléments Nucleus
- Contexte utilisateur Okta
- Rapid7 Insight
- SailPoint IAM
- CMDB ServiceNow
- Composant Tanium
- Workday
- Appareils ChromeOS pour Workspace
- Appareils mobiles Workspace
- Droits Workspace
- Utilisateurs Workspace
API d'ingestion
Utilisez l'API d'ingestion pour ingérer les données d'entité directement dans votre compte Google Security Operations.
Consultez la documentation sur l'API d'ingestion.