Ingerir dados usando o modelo de dados de entidade

As entidades fornecem contexto para eventos de rede que normalmente não trazem todas as informações conhecidas sobre os sistemas aos quais se conectam. Por exemplo, embora um evento PROCESS_LAUNCH possa estar vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, o evento PROCESS_LAUNCH não vai indicar que o usuário (abc@foo.corp) era um funcionário recém-encerrado em um projeto altamente confidencial. Esse contexto normalmente só seria fornecido por pesquisas adicionais conduzidas por um analista de segurança.

O modelo de dados de entidade permite ingerir esses tipos de relações de entidade, fornecendo dados de inteligência de ameaças de IOC mais ricos e focados. Ele também apresenta e amplia as mensagens de Permissão, Papel, Vulnerabilidade e Recurso para capturar o novo contexto disponível no IAM, nos sistemas de gerenciamento de vulnerabilidades e nos sistemas de proteção de dados.

Para detalhes sobre a sintaxe do modelo de dados da entidade, consulte a documentação Referência do modelo de dados da entidade.

Analisadores padrão

Os analisadores padrão e feeds de API abaixo dão suporte à ingestão de recursos ou dados de contexto do usuário:

  • Contexto organizacional do Azure AD
  • Contexto do usuário do Duo
  • Análise de IAM do GCP
  • Contexto do IAM do GCP
  • Contexto do Google Cloud Identity
  • JAMF
  • autêntico
  • Microsoft Defender para endpoint
  • Gerenciamento de vulnerabilidades unificados do Nucleus
  • Metadados de recursos Nucleus
  • Contexto do usuário do Okta
  • Insight Rapid7
  • IAM do SailPoint
  • CMDB do ServiceNow
  • Recurso de tânio
  • Workday
  • Dispositivos ChromeOS do Workspace
  • Dispositivos móveis do Workspace
  • Privilégios do Workspace
  • Usuários do Workspace

API Ingestion

Use a API Ingestion para ingerir dados da entidade diretamente na sua conta do Google Security Operations.

Consulte a documentação da API Ingestion.