Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Importa dati utilizzando il modello di dati dell'entità

Le entità forniscono contesto agli eventi di rete, che in genere non mostrano tutte le informazioni note sui sistemi a cui si connettono. Ad esempio, anche se un evento PROCESS_LAUNCH potrebbe essere collegato a un utente (abc@foo.corp) che ha avviato il processo shady.exe, l'evento PROCESS_LAUNCH non deve indicare che l'utente (abc@foo.corp) era un dipendente licenziato di recente in un progetto altamente sensibile. Generalmente questo contesto viene fornito solo da ulteriori ricerche condotte da un analista di sicurezza.

Il modello di dati delle entità consente di importare questi tipi di relazioni di entità, fornendo dati di intelligence sulle minacce IOC più completi e mirati. Introduce inoltre ed espande i messaggi relativi ad autorizzazioni, ruoli, vulnerabilità e risorse per acquisire nuovi contesti disponibili da IAM, sistemi di gestione delle vulnerabilità e sistemi di protezione dei dati.

Per maggiori dettagli sulla sintassi dei modelli di dati delle entità, consulta la documentazione Riferimento dei dati di tipo entità.

Analizzatori sintattico predefiniti

I seguenti analizzatori sintattico predefiniti e i feed API supportano l'importazione di dati contestuali relativi agli asset o agli utenti:

  • Contesto organizzativo di Azure AD
  • Contesto utente Duo di Duo
  • Analisi Google Cloud IAM
  • Contesto IAM di GCP
  • JAMF
  • Microsoft Defender per l'endpoint
  • Gestione delle vulnerabilità unificate di Nucleus
  • Metadati asset nucleo
  • Contesto dell'utente Okta
  • Rapid7 Insight
  • IAM SailPoint
  • CMDB di ServiceNow
  • Asset di tanium
  • Microsoft Active Directory
  • Lavoro
  • Dispositivi Chrome OS Workspace
  • Dispositivi mobili Workspace
  • Privilegi per Workspace
  • Utenti Workspace

API Ingestion

Utilizza l'API Ingestion per importare direttamente i dati delle entità nel tuo account Chronicle.

Consulta la documentazione dell'API Ingestion.