エンティティ データモデルを使用してデータを取り込む
エンティティはネットワーク イベントへのコンテキストを提供しますが、通常は接続先のシステムに関するすべての情報を表示できるわけではありません。たとえば、PROCESS_LAUNCH イベントは shady.exe プロセスを起動したユーザー(abc@foo.corp)にリンクされていても、PROCESS_LAUNCH イベントは、そのユーザー (abc@foo.corp) が機密性の高いプロジェクトで最近解雇された従業員であることを示しません。このコンテキストは通常、セキュリティ アナリストによる詳細な調査によってのみ提供されます。
エンティティ データモデルを使用すると、この種のエンティティの関係を取り込んで、より豊富で的を絞った IOC の脅威インテリジェンス データを得ることができます。また、権限、役割、脆弱性、リソースに関するメッセージを導入、拡張し、IAM、脆弱性管理システム、データ保護システムから利用できる新しいコンテキストをキャプチャします。
エンティティ データモデルの構文の詳細については、エンティティ データモデル リファレンスのドキュメントをご覧ください。
デフォルト パーサー
次のデフォルト パーサーと API フィードでは、アセットやユーザー コンテキスト データの取り込みがサポートされています。
- Azure AD の組織コンテキスト
- Duo ユーザー ContextDuo ユーザー コンテキスト
- Google Cloud IAM 分析
- GCP IAM コンテキスト
- JAMF
- Microsoft Defender for Endpoint
- Nucleus の統合脆弱性管理
- Nucleus アセット メタデータ
- Okta User Context
- Rapid7 インサイト
- SailPoint IAM
- ServiceNow CMDB
- Tanium アセット
- Microsoft AD
- Workday
- Workspace の ChromeOS デバイス
- Workspace のモバイル デバイス
- ワークスペースの権限
- Workspace ユーザー
取り込み API
取り込み API を使ってエンティティ データを Chronicle アカウントに直接取り込みます。
取り込み API のドキュメントをご覧ください。