Importare i dati utilizzando il modello dei dati delle entità
Le entità forniscono il contesto agli eventi di rete che in genere non mostrano tutte le informazioni note sui sistemi a cui si connettono. Ad esempio, mentre un evento PROCESS_LAUNCH potrebbe essere collegato a un utente (abc@foo.corp) che ha avviato il processo shady.exe, l'evento PROCESS_LAUNCH non indicherà che l'utente (abc@foo.corp) era un dipendente licenziato di recente in un progetto altamente sensibile. Questo contesto normalmente viene fornito solo da ulteriori ricerche condotte da un analista della sicurezza.
Il modello dei dati delle entità consente di importare questi tipi di relazioni tra entità, fornendo dati di intelligence sulle minacce IOC più ricchi e mirati. Inoltre, introduce ed espande i messaggi relativi a autorizzazioni, ruoli, vulnerabilità e risorse per acquisire il nuovo contesto disponibile da IAM, dai sistemi di gestione delle vulnerabilità e dai sistemi di protezione dei dati.
Per informazioni dettagliate sulla sintassi del modello dei dati delle entità, consulta la documentazione di riferimento al modello di dati delle entità.
Analizzatori sintattici predefiniti
I seguenti parser predefiniti e feed API supportano l'importazione di dati di contesto di asset o utenti:
- Contesto organizzativo di Azure AD
- Contesto utente Duo
- Google Cloud Analisi IAM
- Google Cloud Contesto IAM
- Contesto di Google Cloud Identity
- JAMF
- Microsoft AD
- Microsoft Defender di Endpoint
- Nucleus Unified Vulnerability Management
- Metadati delle risorse di Nucleus
- Contesto utente Okta
- Rapid7 Insight
- SailPoint IAM
- ServiceNow CMDB
- Asset Tanium
- Workday
- Dispositivi ChromeOS Workspace
- Dispositivi mobili Workspace
- Privilegi di Workspace
- Utenti di Workspace
API Ingestion
Utilizza l'API Ingestion per importare direttamente i dati delle entità nel tuo account Google Security Operations.
Consulta la documentazione dell'API Ingestion.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.