使用實體資料模型擷取資料

實體會為網路事件提供脈絡，這類事件通常不會顯示與所連線系統相關的所有資訊。舉例來說，PROCESS_LAUNCH 事件可能與啟動 shady.exe 程序的某位使用者 (abc@foo.corp) 相關聯，但 PROCESS_LAUNCH 事件不會指出該使用者 (abc@foo.corp) 是近期遭解雇的員工，且曾參與高度機密專案。這類背景資訊通常只會由安全分析師進行深入研究後提供。

實體資料模型可讓您擷取這類實體關係，提供更豐富且更精確的入侵指標威脅情報資料。此外，這項更新也導入並擴充了「權限」、「角色」、「安全性弱點」和「資源」訊息，以便擷取 IAM、安全性弱點管理系統和資料保護系統提供的新情境。

如要瞭解實體資料模型語法的詳細資料，請參閱「實體資料模型參考資料」說明文件。

預設剖析器

下列預設剖析器和 API 動態饋給支援擷取資產或使用者環境資料：

• Azure AD 組織環境
• Duo 使用者情境
• Google Cloud IAM 分析
• Google Cloud IAM 背景資訊
• Google Cloud Identity Context
• JAMF
• Microsoft AD
• 適用於端點的 Microsoft Defender
• Nucleus 整合式安全漏洞管理
• Nucleus 資產中繼資料
• Okta 使用者情境
• Rapid7 Insight
• SailPoint IAM
• ServiceNow CMDB
• Tanium 資產
• Workday 人資管理平台
• Workspace ChromeOS 裝置
• Workspace 行動裝置
• Workspace 權限
• Workspace 使用者

Ingestion API

使用 Ingestion API 將實體資料直接擷取至 Google Security Operations 帳戶。

請參閱 Ingestion API 說明文件。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。