Ingérer des données à l'aide du modèle de données d'entité
Les entités fournissent un contexte aux événements réseau, qui ne présentent généralement pas toutes les informations connues sur les systèmes auxquels ils se connectent. Par exemple, bien qu'un événement PROCESS_LAUNCH puisse être associé à un utilisateur (abc@foo.corp) qui a lancé le processus shady.exe, il n'indiquera pas que l'utilisateur (abc@foo.corp) était un employé récemment licencié travaillant sur un projet hautement sensible. Ce contexte ne serait normalement fourni que par des recherches supplémentaires menées par un analyste de sécurité.
Le modèle de données d'entité vous permet d'ingérer ces types de relations d'entités, ce qui vous fournit des données de renseignement sur les menaces plus riches et plus ciblées sur les indicateurs de compromission. Il introduit et développe également les messages d'autorisation, de rôle, de faille et de ressource pour capturer le nouveau contexte disponible dans IAM, les systèmes de gestion des failles et les systèmes de protection des données.
Pour en savoir plus sur la syntaxe du modèle de données d'entité, consultez la documentation de référence sur le modèle de données d'entité.
Analyseurs par défaut
Les analyseurs par défaut et les flux d'API suivants sont compatibles avec l'ingestion de données de contexte d'élément ou d'utilisateur:
- Contexte organisationnel Azure AD
- Contexte utilisateur Duo
- Analyse IAM GCP
- Contexte IAM GCP
- Contexte Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender for Endpoint
- Gestion unifiée des failles Nucleus
- Métadonnées des composants Nucleus
- Contexte utilisateur Okta
- Rapid7 Insight
- SailPoint IAM
- CMDB ServiceNow
- Composant Tanium
- Workday
- Appareils ChromeOS Workspace
- Appareils mobiles Workspace
- Privilèges Workspace
- Utilisateurs de Workspace
API d'ingestion
Utilisez l'API Ingestion pour ingérer directement des données d'entité dans votre compte Google Security Operations.
Consultez la documentation de l'API Ingestion.