항목 데이터 모델을 사용하여 데이터 수집

항목은 연결된 시스템에 대해 알려진 모든 정보를 제공하지 않는 네트워크 이벤트에 대해 컨텍스트를 제공합니다. 예를 들어 PROCESS_LAUNCH 이벤트가 shady.exe 프로세스를 실행한 사용자(abc@foo.corp)에게 연결될 수 있지만 PROCESS_LAUNCH 이벤트에는 이 사용자(abc@foo.corp)가 매우 중요한 프로젝트에서 최근에 퇴직한 직원인 것이 표시되지 않습니다. 이러한 컨텍스트는 일반적으로 보안 분석가의 추가 연구를 통해서만 제공될 것입니다.

항목 데이터 모델은 이러한 유형의 관계를 수집할 수 있게 함으로써 더 다양하고 더 집중적인 IOC 위협 인텔리전스 데이터를 제공합니다. 또한 IAM, 취약점 관리 시스템, 데이터 보호 시스템에서 제공되는 새 컨텍스트를 캡처하기 위해 권한, 역할, 취약점, 리소스 메시지를 도입하고 확장합니다.

항목 데이터 모델 구문에 대한 자세한 내용은 항목 데이터 모델 참조 문서를 참조하세요.

기본 파서

다음 기본 파서API 피드에서 애셋 또는 사용자 컨텍스트 데이터 수집이 지원됩니다.

  • Azure AD Organizational Context
  • Duo 사용자 ContextDuo 사용자 컨텍스트
  • Google Cloud IAM 분석
  • GCP IAM 컨텍스트
  • JAMF
  • 엔드포인트용 Microsoft Defender
  • Nucleus Unified Vulnerability Management
  • Nucleus Asset Metadata
  • Okta User Context
  • Rapid7 Insight
  • SailPoint IAM
  • ServiceNow CMDB
  • Tanium Asset
  • Microsoft AD
  • Workday
  • Workspace ChromeOS 기기
  • Workspace 휴대기기
  • Workspace 권한
  • Workspace 사용자

Ingestion API

Ingestion API를 사용하여 항목 데이터를 Chronicle 계정에 직접 수집합니다.

Ingestion API 문서를 참조하세요.