Daten mit dem Entitätsdatenmodell aufnehmen
Entitäten liefern Kontext für Netzwerkereignisse, die in der Regel nicht alle Informationen enthalten, die über die Systeme bekannt sind, mit denen sie verbunden sind. Ein PROCESS_LAUNCH-Ereignis kann beispielsweise mit einem Nutzer (abc@foo.corp) verknüpft sein, der den Prozess „shady.exe“ gestartet hat. Das PROCESS_LAUNCH-Ereignis gibt jedoch nicht an, dass der Nutzer (abc@foo.corp) ein kürzlich gekündigter Mitarbeiter in einem hochsensiblen Projekt war. Dieser Kontext wird normalerweise nur durch weitere Recherchen eines Sicherheitsanalysten bereitgestellt.
Mit dem Entitätsdatenmodell können Sie diese Arten von Entitätsbeziehungen erfassen und so umfassendere und gezieltere IOC-Threat-Intelligence-Daten erhalten. Außerdem werden die Meldungen zu Berechtigungen, Rollen, Sicherheitslücken und Ressourcen eingeführt und erweitert, um neuen Kontext zu erfassen, der aus IAM-, Sicherheitslückenverwaltungs- und Datenschutzsystemen verfügbar ist.
Details zur Syntax des Entitätsdatenmodells finden Sie in der Referenz zum Entitätsdatenmodell.
Standardparser
Die folgenden Standardparser und API-Feeds unterstützen die Aufnahme von Asset- oder Nutzerkontextdaten:
- Organisationskontext von Azure AD
- Duo-Nutzerkontext
- Google Cloud IAM-Analyse
- Google Cloud IAM-Kontext
- Google Cloud Identity-Kontext
- JAMF
- Microsoft AD
- Microsoft Defender for Endpoint
- Nucleus Unified Vulnerability Management
- Nucleus-Asset-Metadaten
- Okta-Nutzerkontext
- Rapid7 Insight
- SailPoint IAM
- ServiceNow CMDB
- Tanium Asset
- Workday
- Workspace ChromeOS-Geräte
- Mobile Workspace-Geräte
- Workspace-Berechtigungen
- Workspace-Nutzer
Ingestion API
Mit der Ingestion API können Sie Entitätsdaten direkt in Ihr Google Security Operations-Konto aufnehmen.
Weitere Informationen finden Sie in der Dokumentation zur Ingestion API.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten