Ingerir dados usando o modelo de dados de entidade

Compatível com:

As entidades fornecem contexto para eventos de rede que normalmente não mostram todas as informações conhecidas sobre os sistemas a que se conectam. Por exemplo, embora um evento PROCESS_LAUNCH possa estar vinculado a um usuário (abc@foo.corp) que iniciou o processo shady.exe, ele não indica que o usuário (abc@foo.corp) era um funcionário demitido recentemente em um projeto altamente sensível. Normalmente, esse contexto só é fornecido por mais pesquisas realizadas por um analista de segurança.

Com o modelo de dados de entidade, é possível ingerir esses tipos de relacionamentos de entidade, fornecendo dados de inteligência de ameaças de IOC mais ricos e focados. Ele também apresenta e expande as mensagens de permissão, função, vulnerabilidade e recurso para capturar novos contextos disponíveis no IAM, em sistemas de gerenciamento de vulnerabilidades e em sistemas de proteção de dados.

Para detalhes sobre a sintaxe do modelo de dados de entidade, consulte a documentação de Referência do modelo de dados de entidade.

Analisadores padrão

Os seguintes analisadores padrão e feeds da API são compatíveis com a ingestão de dados de contexto de ativos ou usuários:

  • Contexto organizacional do Azure AD
  • Contexto do usuário do Duo
  • Análise do IAMGoogle Cloud
  • Google Cloud Contexto do IAM
  • Contexto do Google Cloud Identity
  • JAMF
  • autêntico
  • Microsoft Defender para Ponto de Extremidade
  • Gerenciamento unificado de vulnerabilidades do Nucleus
  • Metadados de recursos do Nucleus
  • Contexto do usuário do Okta
  • Rapid7 Insight
  • IAM do SailPoint
  • CMDB do ServiceNow
  • Recurso do Tanium
  • Workday
  • Dispositivos ChromeOS do Workspace
  • Dispositivos móveis do Workspace
  • Privilégios do Workspace
  • Usuários do Workspace

API Ingestion

Use a API Ingestion para ingerir dados de entidades diretamente na sua conta do Google Security Operations.

Consulte a documentação da API Ingestion.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.