Ingérer des données à l'aide du modèle de données d'entité

Compatible avec :

Les entités fournissent un contexte aux événements réseau qui ne font généralement pas apparaître toutes les informations connues sur les systèmes auxquels elles se connectent. Par exemple, si un événement PROCESS_LAUNCH peut être associé à un utilisateur (abc@foo.corp) qui a lancé le processus shady.exe, il n'indiquera pas que l'utilisateur (abc@foo.corp) était un employé récemment licencié travaillant sur un projet très sensible. Ce contexte n'est normalement fourni que par des recherches plus approfondies menées par un analyste de sécurité.

Le modèle de données d'entité vous permet d'ingérer ces types de relations d'entité, ce qui fournit des données de renseignements sur les menaces d'IOC plus riches et plus ciblées. Il introduit et développe également les messages "Autorisation", "Rôle", "Faille" et "Ressource" pour capturer le nouveau contexte disponible à partir des systèmes IAM, de gestion des failles et de protection des données.

Pour en savoir plus sur la syntaxe du modèle de données d'entité, consultez la documentation de référence sur le modèle de données d'entité.

Analyseurs par défaut

Les analyseurs par défaut et les flux d'API suivants sont compatibles avec l'ingestion de données de contexte d'utilisateur ou d'asset :

  • Contexte organisationnel Azure AD
  • Contexte utilisateur Duo
  • Analyse IAM pourGoogle Cloud
  • Google Cloud Contexte IAM
  • Contexte Google Cloud Identity
  • JAMF
  • Microsoft AD
  • Microsoft Defender for Endpoint
  • Nucleus Unified Vulnerability Management
  • Métadonnées des composants Nucleus
  • Contexte utilisateur Okta
  • Rapid7 Insight
  • SailPoint IAM
  • CMDB ServiceNow
  • Composant Tanium
  • Workday
  • Appareils Workspace ChromeOS
  • Appareils mobiles Workspace
  • Droits d'accès à l'espace de travail
  • Utilisateurs Workspace

API d'ingestion

Utilisez l'API Ingestion pour ingérer directement des données d'entité dans votre compte Google Security Operations.

Consultez la documentation de l'API Ingestion.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.