Transfiere datos con el modelo de datos de la entidad

Se admite en los siguientes países:

Las entidades proporcionan contexto a los eventos de red que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, si bien un evento PROCESS_LAUNCH puede estar vinculado a un usuario (abc@foo.corp) que inició el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario (abc@foo.corp) era un empleado despedido recientemente de un proyecto altamente sensible. Normalmente, este contexto solo se proporcionaría mediante una investigación adicional realizada por un analista de seguridad.

El modelo de datos de entidades le permite transferir este tipo de relaciones de entidades, lo que proporciona datos de inteligencia sobre amenazas de IOC más completos y enfocados. También se presentan y amplían los mensajes de permisos, roles, vulnerabilidades y recursos para capturar el nuevo contexto disponible en IAM, los sistemas de administración de vulnerabilidades y los sistemas de protección de datos.

Para obtener más información sobre la sintaxis del modelo de datos de la entidad, consulta la documentación de Referencia del modelo de datos de la entidad.

Analizadores predeterminados

Los siguientes analizadores predeterminados y los feeds de API admiten la Transferencia de datos de activos o del contexto del usuario:

  • Contexto organizacional de Azure AD
  • Contexto del usuario de Duo
  • Análisis de IAM de GCP
  • Contexto de IAM de GCP
  • Contexto de Google Cloud Identity
  • JAMF
  • real
  • Microsoft Defender para Endpoint
  • Administración unificada de vulnerabilidades de Nucleus
  • Metadatos de activos de Nucleus
  • Contexto del usuario de Okta
  • Rapid7 Insight
  • IAM de SailPoint
  • CMDB de ServiceNow
  • Recurso de Tanium
  • Workday
  • Dispositivos ChromeOS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

Stream Ingestion

Usa la API de transferencia para transferir datos de entidades directamente a tu cuenta de Google Security Operations.

Consulta la documentación de la API de transferencia.