Ingerir dados usando o modelo de dados de entidade
As entidades fornecem contexto para eventos de rede que normalmente não mostram todas as informações conhecidas sobre os sistemas a que se conectam. Por exemplo, embora um evento PROCESS_LAUNCH possa estar vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, ele não indica que o usuário (abc@foo.corp) era um funcionário demitido recentemente em um projeto altamente sensível. Normalmente, esse contexto só é fornecido por mais pesquisas realizadas por um analista de segurança.
Com o modelo de dados de entidade, é possível ingerir esses tipos de relacionamentos de entidade, fornecendo dados de inteligência de ameaças de IOC mais ricos e focados. Ele também apresenta e expande as mensagens de permissão, função, vulnerabilidade e recurso para capturar novos contextos disponíveis no IAM, em sistemas de gerenciamento de vulnerabilidades e em sistemas de proteção de dados.
Para detalhes sobre a sintaxe do modelo de dados de entidade, consulte a documentação de Referência do modelo de dados de entidade.
Analisadores padrão
Os seguintes analisadores padrão e feeds da API são compatíveis com a ingestão de dados de contexto de ativos ou usuários:
- Contexto organizacional do Azure AD
- Contexto do usuário do Duo
- Análise do IAMGoogle Cloud
- Google Cloud Contexto do IAM
- Contexto do Google Cloud Identity
- JAMF
- autêntico
- Microsoft Defender para Ponto de Extremidade
- Gerenciamento unificado de vulnerabilidades do Nucleus
- Metadados de recursos do Nucleus
- Contexto do usuário do Okta
- Rapid7 Insight
- IAM do SailPoint
- CMDB do ServiceNow
- Recurso do Tanium
- Workday
- Dispositivos ChromeOS do Workspace
- Dispositivos móveis do Workspace
- Privilégios do Workspace
- Usuários do Workspace
API Ingestion
Use a API Ingestion para ingerir dados de entidades diretamente na sua conta do Google Security Operations.
Consulte a documentação da API Ingestion.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.