Menyerap data menggunakan model data entity
Entitas memberikan konteks ke peristiwa jaringan yang biasanya tidak menampilkan semua informasi yang diketahui tentang sistem yang terhubung. Misalnya, meskipun peristiwa PROCESS_LAUNCH mungkin ditautkan ke pengguna (abc@foo.corp) yang meluncurkan proses shady.exe, peristiwa PROCESS_LAUNCH tidak akan menunjukkan bahwa pengguna (abc@foo.corp) adalah karyawan yang baru saja diberhentikan dari project yang sangat sensitif. Konteks ini biasanya hanya diberikan oleh riset lebih lanjut yang dilakukan oleh analis keamanan.
Model data entitas memungkinkan Anda menyerap jenis hubungan entitas ini, sehingga memberikan data intelijen ancaman IOC yang lebih kaya dan lebih terfokus. Versi ini juga memperkenalkan dan memperluas pesan Izin, Peran, Kerentanan, dan Resource untuk menangkap konteks baru yang tersedia dari IAM, sistem pengelolaan kerentanan, dan sistem perlindungan data.
Untuk mengetahui detail tentang sintaksis model data entitas, lihat dokumentasi Referensi Model Data Entitas.
Parser default
Parser default dan feed API berikut mendukung penyerapan data konteks aset atau pengguna:
- Konteks Organisasi Azure AD
- Konteks Pengguna Duo
- Analisis IAM GCP
- Konteks IAM GCP
- Konteks Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender untuk Endpoint
- Nucleus Unified Vulnerability Management
- Metadata Aset Nucleus
- Konteks Pengguna Okta
- Insight Rapid7
- SailPoint IAM
- CMDB ServiceNow
- Aset Tanium
- Workday
- Perangkat ChromeOS Workspace
- Perangkat Seluler Workspace
- Hak Istimewa Workspace
- Pengguna Workspace
Ingestion API
Gunakan Ingestion API untuk menyerap data entitas ke akun Google Security Operations Anda secara langsung.
Lihat dokumentasi Ingestion API.