使用实体数据模型注入数据

实体会向网络事件提供情境,这些事件通常不会显示有关它们所连接的系统的所有已知信息。例如,虽然 PROCESS_LAUNCH 事件可能与启动 shady.exe 进程的用户 (abc@foo.corp) 相关联,但 PROCESS_LAUNCH 事件并不会表明该用户 (abc@foo.corp) 是一个高敏感项目中最近被解雇的员工。通常只能通过安全分析师进行的后续调查才能提供此情境。

借助实体数据模型,您可以注入这些类型的实体关系,从而提供更丰富、更集中的 IOC 威胁情报数据。此外还引入并扩展了权限、角色、漏洞和资源消息,以捕获 IAM、漏洞管理系统和数据保护系统提供的新情境。

如需详细了解实体数据模型语法,请参阅实体数据模型参考文档。

默认解析器

以下默认解析器API Feed 支持注入资产或用户上下文数据:

  • Azure AD Organizational Context
  • Duo User ContextDuo User Context
  • Google Cloud IAM Analysis
  • GCP IAM Context
  • JAMF
  • Microsoft Defender for Endpoint
  • Nucleus Unified Vulnerability Management
  • Nucleus Asset Metadata
  • Okta 用户上下文
  • Rapid7 Insight
  • SailPoint IAM
  • ServiceNow CMDB
  • Tanium Asset
  • Microsoft AD
  • Workday
  • Workspace ChromeOS Devices
  • Workspace Mobile Devices
  • Workspace Privileges
  • Workspace Users

Ingestion API

使用 Ingestion API 将实体数据直接注入到您的 Chronicle 帐号。

请参阅 Ingestion API 文档。