Cómo transferir datos con el modelo de datos de entidades
Las entidades proporcionan contexto a los eventos de red que, por lo general, no muestran toda la información conocida sobre los sistemas a los que se conectan. Por ejemplo, si bien un evento PROCESS_LAUNCH puede estar vinculado a un usuario ([email protected]) que inició el proceso shady.exe, el evento PROCESS_LAUNCH no indicará que el usuario ([email protected]) era un empleado despedido recientemente de un proyecto altamente sensible. Por lo general, este contexto solo se proporciona mediante una investigación adicional que realiza un analista de seguridad.
El modelo de datos de entidades te permite transferir estos tipos de relaciones de entidades, lo que proporciona datos de inteligencia contra amenazas de IOC más enriquecidos y enfocados. También presenta y expande los mensajes de permiso, rol, vulnerabilidad y recurso para capturar el nuevo contexto disponible de IAM, los sistemas de administración de vulnerabilidades y los sistemas de protección de datos.
Para obtener detalles sobre la sintaxis del modelo de datos de entidades, consulta la documentación de Referencia del modelo de datos de entidades.
Analizadores predeterminados
Los siguientes analizadores predeterminados y feeds de API admiten la transferencia de datos de contexto del usuario o del activo:
- Contexto organizativo de Azure AD
- Contexto del usuario de Duo
- Análisis de IAM de GCP
- Contexto de IAM de GCP
- Contexto de Google Cloud Identity
- JAMF
- real
- Microsoft Defender for Endpoint
- Administración unificada de vulnerabilidades de Nucleus
- Metadatos de activos de Nucleus
- Contexto del usuario de Okta
- Rapid7 Insight
- IAM de SailPoint
- CMDB de ServiceNow
- Recurso de Tanium
- Workday
- Dispositivos ChromeOS de Workspace
- Dispositivos móviles de Workspace
- Privilegios de Workspace
- Usuarios de Workspace
Stream Ingestion
Usa la API de transferencia para transferir datos de entidades directamente a tu cuenta de Operaciones de seguridad de Google.
Consulta la documentación de la API de transferencia.