Ingerir datos mediante el modelo de datos de entidad

Disponible en:

Las entidades proporcionan contexto a los eventos de red, que normalmente no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, aunque un evento PROCESS_LAUNCH pueda estar vinculado a un usuario (abc@foo.corp) que haya iniciado el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario (abc@foo.corp) haya sido un empleado despedido recientemente que trabajaba en un proyecto muy sensible. Normalmente, este contexto solo se proporciona mediante investigaciones adicionales realizadas por un analista de seguridad.

El modelo de datos de entidades le permite ingerir estos tipos de relaciones de entidades, lo que proporciona datos de inteligencia de amenazas de IOC más completos y específicos. También introduce y amplía los mensajes de permiso, rol, vulnerabilidad y recurso para captar el nuevo contexto disponible en IAM, los sistemas de gestión de vulnerabilidades y los sistemas de protección de datos.

Para obtener información sobre la sintaxis del modelo de datos de entidad, consulta la documentación de referencia del modelo de datos de entidad.

Analizadores predeterminados

Los siguientes analizadores predeterminados y feeds de APIs admiten la ingesta de datos de contexto de recursos o de usuarios:

  • Contexto organizativo de Azure AD
  • Contexto de usuario de Duo
  • Google Cloud Análisis de gestión de identidades y accesos
  • Google Cloud Contexto de gestión de identidades y accesos
  • Contexto de identidad de Google Cloud
  • JAMF
  • Microsoft AD
  • Microsoft Defender for Endpoint
  • Gestión unificada de vulnerabilidades de Nucleus
  • Metadatos de recursos de Nucleus
  • Contexto de usuario de Okta
  • Rapid7 Insight
  • Gestión de identidades y accesos de SailPoint
  • CMDB de ServiceNow
  • Recurso de Tanium
  • Workday
  • Dispositivos ChromeOS de Workspace
  • Dispositivos móviles de Workspace
  • Privilegios de Workspace
  • Usuarios de Workspace

API Ingestion

Usa la API Ingestion para ingerir datos de entidades directamente en tu cuenta de Google Security Operations.

Consulta la documentación de la API Ingestion.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.