Menyerap data menggunakan model data entity

Entitas memberikan konteks pada peristiwa jaringan yang biasanya tidak menampilkan semua informasi yang diketahui tentang sistem yang terhubung dengannya. Misalnya, meskipun peristiwa PROCESS_LAUNCH mungkin ditautkan ke pengguna (abc@foo.corp) yang meluncurkan proses shady.exe, peristiwa PROCESS_LAUNCH tidak akan menunjukkan bahwa pengguna (abc@foo.corp) adalah karyawan yang baru-baru ini diberhentikan dalam proyek yang sangat sensitif. Konteks ini biasanya hanya diberikan oleh riset lebih lanjut yang dilakukan oleh analis keamanan.

Model data entitas memungkinkan Anda menyerap jenis hubungan entitas ini, sehingga memberikan data intelijen ancaman IOC yang lebih kaya dan lebih terfokus. Selain itu, pesan Izin, Peran, Kerentanan, dan Resource diperkenalkan dan diperluas untuk mencakup konteks baru yang tersedia dari IAM, sistem pengelolaan kerentanan, dan sistem perlindungan data.

Untuk mengetahui detail sintaksis model data entitas, lihat dokumentasi Referensi Model Data Entitas.

Parser default

Parser default dan feed API berikut mendukung penyerapan data konteks aset atau pengguna:

• Konteks Organisasi Azure AD
• Konteks Pengguna Duo
• Google Cloud Analisis IAM
• Google Cloud Konteks IAM
• Konteks Google Cloud Identity
• JAMF
• Microsoft AD
• Microsoft Defender untuk Endpoint
• Nucleus Unified Vulnerability Management
• Metadata Aset Nucleus
• Konteks Pengguna Okta
• Insight Rapid7
• SailPoint IAM
• CMDB ServiceNow
• Aset Tanium
• Workday
• Perangkat ChromeOS Workspace
• Perangkat Seluler Workspace
• Hak Istimewa Workspace
• Pengguna Workspace

Ingestion API

Gunakan Ingestion API untuk menyerap data entitas ke akun Google Security Operations Anda secara langsung.

Lihat dokumentasi Ingestion API.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.