Transfiere datos con el modelo de datos de la entidad

Compatible con:

Las entidades proporcionan contexto a los eventos de red, que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, si bien un evento PROCESS_LAUNCH podría vincularse a un usuario (abc@foo.corp) que inició el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario (abc@foo.corp) era un empleado que se despidió recientemente y que trabajaba en un proyecto altamente sensible. Normalmente, este contexto solo se proporcionaría a través de una investigación adicional realizada por un analista de seguridad.

El modelo de datos de entidades te permite incorporar estos tipos de relaciones entre entidades, lo que proporciona datos de inteligencia sobre amenazas de IOC más enriquecidos y enfocados. También presenta y expande los mensajes de permiso, rol, vulnerabilidad y recurso para capturar el nuevo contexto disponible en IAM, los sistemas de administración de vulnerabilidades y los sistemas de protección de datos.

Para obtener detalles sobre la sintaxis del modelo de datos de entidades, consulta la documentación de Referencia del modelo de datos de entidades.

Analizadores predeterminados

Los siguientes analizadores predeterminados y feeds de la API admiten la transferencia de datos de contexto del usuario o del recurso:

  • Contexto organizacional de Azure AD
  • Contexto del usuario de Duo
  • Google Cloud Análisis de IAM
  • Google Cloud Contexto de IAM
  • Contexto de Google Cloud Identity
  • JAMF
  • real
  • Microsoft Defender for Endpoint
  • Administración unificada de vulnerabilidades de Nucleus
  • Metadatos de activos de Nucleus
  • Contexto del usuario de Okta
  • Rapid7 Insight
  • IAM de SailPoint
  • CMDB de ServiceNow
  • Recurso de Tanium
  • Workday
  • Dispositivos ChromeOS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

Stream Ingestion

Usa la API de Ingestion para transferir datos de entidades directamente a tu cuenta de Google Security Operations.

Consulta la documentación de la API de Ingestion.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.