Menyerap data menggunakan model data entity
Entitas memberikan konteks ke peristiwa jaringan yang biasanya tidak menampilkan semua informasi yang diketahui tentang sistem yang terhubung dengannya. Misalnya, meskipun peristiwa PROCESS_LAUNCH mungkin ditautkan ke pengguna (abc@foo.corp) yang meluncurkan proses shady.exe, peristiwa PROCESS_LAUNCH tidak akan menunjukkan bahwa pengguna (abc@foo.corp) adalah karyawan yang baru saja dihentikan pada project yang sangat sensitif. Konteks ini biasanya hanya akan diberikan oleh penelitian lebih lanjut yang dilakukan oleh seorang analis keamanan.
Model data entity memungkinkan Anda menyerap jenis hubungan entity ini, sehingga memberikan data kecerdasan ancaman IOC yang lebih beragam dan terfokus. Rilis ini juga memperkenalkan dan memperluas pesan Izin, Peran, Kerentanan, dan Resource untuk menangkap konteks baru yang tersedia dari IAM, sistem pengelolaan kerentanan, dan sistem perlindungan data.
Untuk mengetahui detail tentang sintaksis model data entity, lihat dokumentasi Referensi Model Data Entitas.
Parser default
Parser default dan feed API berikut mendukung penyerapan data konteks pengguna atau aset:
- Konteks Organisasi Azure AD
- Konteks Pengguna Duo
- Analisis IAM GCP
- Konteks IAM GCP
- Konteks Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender untuk Endpoint
- Pengelolaan Kerentanan Terpadu Nucleus
- Metadata Aset Nucleus
- Konteks Pengguna Okta
- Insight Rapid7
- IAM SailPoint
- CMDB ServiceNow
- Aset Tanium
- Hari Kerja
- Perangkat ChromeOS Workspace
- Perangkat Seluler Workspace
- Hak Istimewa Workspace
- Pengguna Workspace
API Penyerapan
Gunakan Ingestion API untuk menyerap data entitas ke akun Chronicle Anda secara langsung.
Lihat dokumentasi Ingestion API.