Importare i dati utilizzando il modello dei dati delle entità
Le entità forniscono contesto agli eventi di rete che in genere non mostrano tutte le informazioni note sui sistemi a cui si connettono. Ad esempio, mentre un evento PROCESS_LAUNCH potrebbe essere collegato a un utente (abc@foo.corp) che ha avviato il processo shady.exe, l'evento PROCESS_LAUNCH non indicherà che l'utente (abc@foo.corp) era un dipendente terminato di recente in un progetto altamente sensibile. Tale contesto verrebbe normalmente fornito solo da ulteriori ricerche condotte da un analista della sicurezza.
Il modello dei dati delle entità consente di importare questi tipi di relazioni tra entità, fornendo dati di intelligence sulle minacce IOC più completi e mirati. Inoltre, introduce ed espande i messaggi di autorizzazione, ruolo, vulnerabilità e risorsa per acquisire il nuovo contesto disponibile da IAM, i sistemi di gestione delle vulnerabilità e i sistemi di protezione dei dati.
Per maggiori dettagli sulla sintassi del modello dei dati delle entità, consulta la documentazione di riferimento sul modello dei dati di entità.
Parser predefiniti
I seguenti analizzatori sintattico predefiniti e feed API supportano l'importazione di dati contestuali sugli asset o sugli utenti:
- Contesto organizzativo di Azure AD
- Contesto utente Duo
- Analisi IAM di Google Cloud
- Contesto IAM Google Cloud
- Contesto di Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender per endpoint
- Gestione unificata delle vulnerabilità Nucleus
- Metadati asset nucleo
- Contesto utente Okta
- Informazioni su Rapid7
- IAM SailPoint
- CMDB ServiceNow
- Tanio asset
- Workday
- Dispositivi ChromeOS di Workspace
- Dispositivi mobili Workspace
- Privilegi di Workspace
- Utenti Workspace
API Ingestion
Utilizza l'API Ingestion per importare i dati delle entità direttamente nel tuo account Google Security Operations.
Consulta la documentazione dell'API Importion.