Auswirkungen der RBAC für Daten auf Google SecOps-Funktionen
Die rollenbasierte Zugriffssteuerung für Daten (data RBAC) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Organisation einschränkt. Nachdem die RBAC für Daten in einer Umgebung konfiguriert wurde, werden in den Google Security Operations-Funktionen gefilterte Daten angezeigt. Die rollenbasierte Zugriffssteuerung für Daten steuert den Nutzerzugriff gemäß den zugewiesenen Bereichen und sorgt dafür, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite erhalten Sie einen Überblick darüber, wie sich die datenbasierte RBAC auf die einzelnen Google SecOps-Funktionen auswirkt.
Weitere Informationen zur Funktionsweise der RBAC für Daten finden Sie unter RBAC für Daten.
Suchen
Die in den Suchergebnissen zurückgegebenen Daten basieren auf den Zugriffsbereichen des Nutzers. Nutzer sehen nur Ergebnisse aus Daten, die den zugewiesenen Bereichen entsprechen. Wenn Nutzern mehrere Bereiche zugewiesen sind, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören, auf die der Nutzer keinen Zugriff hat, werden nicht in den Suchergebnissen angezeigt.
Regeln
Regeln sind Erkennungsmechanismen, mit denen die aufgenommenen Daten analysiert und potenzielle Sicherheitsbedrohungen identifiziert werden. Sie können Regeln aufrufen und verwalten, die an einen Datenumfang gebunden sind, auf den Sie Zugriff haben.
Eine Regel kann entweder global (für alle Nutzer zugänglich) oder an einen einzelnen Bereich gebunden sein. Die Regel wird auf die Daten angewendet, die der Definition des Gültigkeitsbereichs entsprechen. Daten außerhalb des Geltungsbereichs werden nicht berücksichtigt.
Die Generierung von Benachrichtigungen ist außerdem auf Ereignisse beschränkt, die dem Geltungsbereich der Regel entsprechen. Regeln, die nicht an einen bestimmten Umfang gebunden sind, werden im globalen Umfang ausgeführt und auf alle Daten angewendet. Wenn die RBAC für Daten in einer Instanz aktiviert ist, werden alle vorhandenen Regeln automatisch in Regeln mit globalem Gültigkeitsbereich umgewandelt.
Der Umfang, der mit einer Regel verknüpft ist, bestimmt, wie globale und eingeschränkte Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit Begrenzung |
|---|---|---|
| Kann Regeln mit Gültigkeitsbereich ansehen | Ja | Ja (nur wenn der Geltungsbereich der Regel in den zugewiesenen Bereichen des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit dem Bereich A sehen, aber keine Regel mit dem Bereich C. |
| Darf globale Regeln aufrufen | Ja | Nein |
| Kann Regeln mit Gültigkeitsbereich erstellen und aktualisieren | Ja | Ja (nur wenn der Geltungsbereich der Regel zu den zugewiesenen Bereichen des Nutzers gehört)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit dem Bereich A erstellen, aber keine Regel mit dem Bereich C. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind. Ein Sicherheitsanalyst mit dem Datenumfang „Finanzdaten“ sieht beispielsweise nur Erkennungen, die von Regeln generiert wurden, die dem Datenumfang „Finanzdaten“ zugewiesen sind. Erkennungen von anderen Regeln werden nicht angezeigt.
Die Aktionen, die ein Nutzer bei einer Erkennung ausführen kann (z. B. eine Erkennung als behoben markieren), sind ebenfalls auf den Umfang beschränkt, in dem die Erkennung stattgefunden hat.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden. Ausgewählte Erkennungen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet diese, damit Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung erkennen können. Weitere Informationen finden Sie unter Mit ausgewählten Erkennungen Bedrohungen identifizieren.
Für benutzerdefinierte Erkennungen wird die RBAC für Daten nicht unterstützt. Nur Nutzer mit globalem Umfang können auf ausgewählte Erkennungen zugreifen.
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in UDM-Such- und -Erkennungsregeln verwendet werden. Wenn Sie einer Referenzliste (Liste mit Bereich) Bereiche zuweisen, wird der Zugriff auf bestimmte Nutzer und Ressourcen wie Regeln und UDM-Suche eingeschränkt. Eine Referenzliste, der kein Bereich zugewiesen ist, wird als Liste ohne Bereich bezeichnet.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die Bereiche, die mit einer Referenzliste verknüpft sind, bestimmen, wie globale und eingeschränkte Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit Begrenzung |
|---|---|---|
| Kann eine Liste mit begrenztem Zugriff erstellen | Ja | Ja (mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Listen ohne Bereich erstellen | Ja | Nein |
| Kann die Liste mit Einschränkungen aktualisieren | Ja | Ja (mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit dem Bereich A oder mit den Bereichen A und B ändern, aber keine Referenzliste mit den Bereichen A, B und C. |
| Liste ohne Bereich kann aktualisiert werden | Ja | Nein |
| Liste mit Bereich kann in eine liste ohne Bereich aktualisiert werden | Ja | Nein |
| Kann Listen mit begrenztem Zugriff aufrufen und verwenden | Ja | Ja (wenn zwischen dem Nutzer und der Referenzliste mindestens ein übereinstimmender Bereich vorhanden ist)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber keine Referenzliste mit den Bereichen C und D. |
| Kann Listen ohne Bereich aufrufen und verwenden | Ja | Ja |
| UDM-Suchanfragen und Dashboard-Abfragen mit Referenzlisten ohne Bereich können ausgeführt werden | Ja | Ja |
| UDM-Such- und Dashboard-Abfragen mit referenzierten Listen auf Ebene des Nutzers ausführen | Ja | Ja (wenn zwischen dem Nutzer und der Referenzliste mindestens ein übereinstimmender Bereich vorhanden ist)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten mit den Bereichen B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Für eine regelbasierte Zugriffssteuerung kann eine Referenzliste verwendet werden, wenn zwischen der Regel und der Referenzliste mindestens ein übereinstimmender Bereich vorhanden ist. Für eine Regel mit dem Bereich „A“ kann beispielsweise eine Referenzliste mit den Bereichen „A“, „B“ und „C“ verwendet werden, aber keine Referenzliste mit den Bereichen „B“ und „C“.
Für eine Regel mit globalem Gültigkeitsbereich kann jede Referenzliste verwendet werden.
Feeds und Weiterleitungen
Die RBAC für Daten hat keinen direkten Einfluss auf die Ausführung von Feeds und Weiterleitungen. Bei der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Protokolltyp, Namespace oder Aufnahmelabels) zuweisen. Die RBAC für Daten wird dann auf Funktionen angewendet, die diese mit Labels versehenen Daten verwenden.
Looker-Dashboards
Looker-Dashboards unterstützen keine RBAC-Datenzugriffssteuerung. Der Zugriff auf Looker-Dashboards wird über die rollenbasierte Zugriffssteuerung (RBAC) gesteuert.
Angewandte Bedrohungsinformationen (Applied Threat Intelligence, ATI) und IOC-Übereinstimmungen
IOCs und ATI-Daten sind Informationen, die auf eine potenzielle Sicherheitsbedrohung in Ihrer Umgebung hinweisen.
Von ATI ausgewählte Erkennungen werden durch Regeln ausgelöst, die vom ATI-Team (Advanced Threat Intelligence) bereitgestellt werden. Bei diesen Regeln werden Mandiant-Bedrohungsinformationen verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen. Weitere Informationen finden Sie unter Angewandte Threat Intelligence – Übersicht.
Die Data RBAC schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden jedoch anhand der zugewiesenen Bereiche des Nutzers gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, die in ihren Bereichen liegen.
Analysen des Nutzer- und Entitätsverhaltens (UEBA)
Die Kategorie „Risikoanalyse für UEBA“ bietet vordefinierte Regelsätze zur Erkennung potenzieller Sicherheitsbedrohungen. Bei diesen Regelsätzen werden mithilfe von maschinellem Lernen proaktiv Erkennungen ausgelöst, indem Nutzer- und Entitätsverhaltensmuster analysiert werden. Weitere Informationen finden Sie unter Übersicht über die Risikoanalyse für die Kategorie „UEBA“.
UEBA unterstützt keine RBAC für Daten. Nur Nutzer mit globaler Zuständigkeit können auf die Risikoanalysen für die Kategorie „UEBA“ zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, sind auf mehreren Seiten in Google SecOps zu sehen, z. B. im Bereich Entity Context (Entitätskontext) in der UDM-Suche. Bei der datenbasierten RBAC sind die Felder nur für Nutzer mit globalem Umfang verfügbar.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer mit Berechtigungen können die Daten zum ersten und letzten Aufruf von Nutzern und Assets aufrufen, wenn diese Daten aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.
Nächste Schritte
Daten-RBAC für Nutzer konfigurieren