Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Ingerir dados usando o modelo de dados da entidade

As entidades fornecem contexto para eventos de rede que normalmente não exibem todas as informações conhecidas sobre os sistemas a que elas se conectam. Por exemplo, enquanto um evento PROCESS_LAUNCH pode ser vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, o evento PROCESS_LAUNCH não indica que o usuário (abc@foo.corp) foi um funcionário recém-encerrado em um projeto altamente confidencial. Esse contexto normalmente seria fornecido apenas por pesquisas adicionais realizadas por um analista de segurança.

O modelo de dados da entidade permite ingerir esses tipos de relações de entidade, fornecendo dados de inteligência de ameaças de IOC mais detalhados e focados. Ele também apresenta e expande as mensagens de Permissão, Papel, Vulnerabilidade e Recurso para capturar o novo contexto disponível do IAM, sistemas de gerenciamento de vulnerabilidades e sistemas de proteção de dados.

Para detalhes sobre a sintaxe do modelo de dados da entidade, consulte a documentação Referência do modelo de dados da entidade.

Analisadores padrão

Os seguintes analisadores padrão e feeds de API são compatíveis com a ingestão de dados de contexto do usuário ou do recurso:

  • Contexto organizacional do Azure AD
  • Contexto do usuário do Duo ContextDuo
  • Análise do Google Cloud IAM
  • Contexto do IAM do GCP
  • JAMF
  • Microsoft Defender para endpoint
  • Gerenciamento unificado de vulnerabilidades do Nucleus
  • Metadados de recurso de núcleo
  • Contexto do usuário do Okta
  • Insight s7
  • IAM do SailPoint
  • CMDB ServiceNow
  • Recurso tânio
  • autêntico
  • Dia de trabalho
  • Dispositivos Chrome OS do Workspace
  • Dispositivos móveis do Workspace
  • Privilégios do Workspace
  • Usuários do Workspace

API Ingestion

Use a API Ingestion para ingerir dados da entidade diretamente no Chronicle.

Consulte a documentação da API Ingestion.