エンティティ データモデルを使用してデータを取り込む

エンティティはネットワーク イベントへのコンテキストを提供します。これは通常、接続先のシステムに関する既知の情報をすべては示しません。たとえば、PROCESS_LAUNCH イベントが shady.exe プロセスを開始したユーザー(abc@foo.corp)にリンクされている場合でも、PROCESS_LAUNCH イベントでは、そのユーザー(abc@foo.corp)が、機密性の高いプロジェクトで最近解雇された従業員だったことは示されません。このようなコンテキストは通常、セキュリティ アナリストが実施するさらなる調査によってのみ提供されます。

エンティティ データモデルを使用すると、このようなエンティティ関係を取り込むことができ、より集中的な IOC 脅威インテリジェンス データを実現できます。また、権限、ロール、脆弱性、リソース メッセージを導入して展開し、IAM、脆弱性管理システム、データ保護システムから利用可能な新しいコンテキストを取得します。

エンティティ データモデル構文の詳細については、エンティティ データモデル リファレンスのドキュメントをご覧ください。

デフォルト パーサー

次のデフォルト パーサーAPI フィードは、アセットまたはユーザー コンテキスト データの取り込みをサポートしています。

  • Azure AD 組織コンテキスト
  • Duo ユーザー コンテキスト
  • GCP IAM 分析
  • GCP IAM コンテキスト
  • Google Cloud Identity コンテキスト
  • JAMF
  • Microsoft AD
  • Microsoft Defender for Endpoint
  • Nucleus 統合的脆弱性管理
  • Nucleus アセットのメタデータ
  • Okta User Context
  • Rapid7 Insight
  • SailPoint IAM
  • ServiceNow CMDB
  • Tanium Asset
  • Workday
  • Workspace の ChromeOS デバイス
  • Workspace のモバイル デバイス
  • Workspace の権限
  • Workspace ユーザー

Ingestion API

Ingestion API を使ってエンティティ データを Google Security Operations アカウントに直接取り込みます。

取り込み API のドキュメントをご覧ください。