データ RBAC が Google SecOps 機能に与える影響
データのロールベース アクセス制御(データ RBAC)は、組織内の個々のユーザーロールに基づいてデータへのユーザー アクセスを制限するセキュリティ モデルです。環境でデータ RBAC が構成されると、Google Security Operations の機能にフィルタされたデータが表示されます。データ RBAC は、割り当てられたスコープに従ってユーザー アクセスを制御し、ユーザーが承認された情報にのみアクセスできるようにします。このページでは、データ RBAC が各 Google SecOps 機能に与える影響の概要について説明します。
データ RBAC の仕組みについては、データ RBAC の概要をご覧ください。
検索
検索結果で返されるデータは、ユーザーのデータアクセス スコープに基づいています。ユーザーは、割り当てられたスコープに一致するデータの結果のみを表示できます。ユーザーに複数のスコープの割り当てがある場合は、承認されたすべてのスコープの結合データに対して検索が実行されます。ユーザーにアクセス権のないスコープに属するデータは、検索結果に表示されません。
ルール
ルールは、取り込まれたデータを分析し、潜在的なセキュリティ脅威を特定する検出メカニズムです。アクセス可能なデータスコープにバインドされているルールを表示、管理できます。
ルールは、グローバル(すべてのユーザーがアクセス可能)であるか、単一スコープにバインドできます。ルールは、スコープの定義に一致するデータに対して動作します。スコープ外のデータは考慮されません。
アラートの生成も、ルールのスコープに一致するイベントに限定されます。どのスコープにもバインドされていないルールは、グローバル スコープで実行され、すべてのデータに適用されます。インスタンスでデータ RBAC が有効になると、既存のルールはすべてグローバル スコープルールに自動的に変換されます。
ルールに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーがルールを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。
| 操作 | グローバル ユーザー | スコープ設定されたユーザー |
|---|---|---|
| スコープ設定されたルールを表示可能 | ○ | ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)
たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを表示できますが、スコープ C のルールは表示できません。 |
| グローバル ルールを表示可能 | ○ | × |
| スコープ設定されたルールを作成、更新可能 | ○ | ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)
たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを作成できますが、スコープ C のルールは作成できません。 |
| グローバル ルールを作成、更新可能 | ○ | × |
検出
検出は、潜在的なセキュリティ上の脅威を示すアラートです。検出は、Google SecOps 環境用にセキュリティ チームによって作成されたカスタムルールによってトリガーされます。
検出は、受信したセキュリティ データがルールで定義された条件と一致すると生成されます。ユーザーは、割り当てられたスコープに関連付けられたルールから発生した検出結果のみを表示できます。たとえば、財務データ スコープを持つセキュリティ アナリストには、財務データ スコープに割り当てられたルールによって生成された検出結果のみが表示され、他のルールの検出結果は表示されません。
検出に対してユーザーが実行できるアクション(検出を解決済みとしてマークするなど)も、検出が発生したスコープに制限されます。
キュレーテッド検出
検出はセキュリティ チームが作成したカスタムルールによってトリガーされますが、キュレーテッド検出は、 Google Cloud 脅威インテリジェンス(GCTI)チームが提供するルールによってトリガーされます。キュレーテッド検出の一部として、GCTI は一連の YARA-L ルールを備えており、Google SecOps 環境内の一般的なセキュリティ脅威の特定を支援します。詳細については、キュレーテッド検出を使用して脅威を特定するをご覧ください。
キュレーテッド検出は、データ RBAC をサポートしていません。キュレーテッド検出にアクセスできるのは、グローバル スコープを持つユーザーのみです。
未加工のログ
データ RBAC が有効になっている場合、解析されていない未加工ログには、グローバル スコープを持つユーザーのみがアクセスできます。
リファレンス リスト
リファレンス リストは、UDM 検索と検出ルールでデータの照合とフィルタリングに使用される値のコレクションです。リファレンス リスト(スコープ設定されたリスト)にスコープを割り当てると、特定のユーザーとリソース(ルールや UDM 検索など)へのアクセスが制限されます。スコープが割り当てられていないリファレンス リストは、スコープなしリストと呼ばれます。
リファレンス リスト内のユーザーのアクセス権限
参照リストに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーが参照リストを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。
| 操作 | グローバル ユーザー | スコープ設定されたユーザー |
|---|---|---|
| スコープ設定されたリストを作成できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット) たとえば、スコープ A と B を持つスコープ設定されたユーザーは、スコープ A またはスコープ A と B の参照リストを作成できますが、スコープ A、B、C のものは作成できません。 |
| スコープ設定されていないリストを作成できる | ○ | × |
| スコープ設定されたリストを更新できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット) たとえば、スコープ A と B を持つユーザーは、スコープ A またはスコープ A と B の参照リストを変更できますが、スコープ A、B、C のものは変更できません。 |
| スコープなしのリストを更新できる | ○ | × |
| スコープ設定されたリストをスコープなしに更新できます | ○ | × |
| スコープ設定されたリストを表示および使用できます。 | ○ | ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)
たとえば、スコープ A と B を持つユーザーは、スコープ A と B の参照リストを使用できますが、スコープ C と D のものは使用できません。 |
| スコープなしのリストを表示および使用できる | ○ | ○ |
| スコープなしのリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる | ○ | ○ |
| スコープ設定されたリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる | ○ | ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)
たとえば、スコープ A のユーザーは、スコープ A、B、C の参照リストを使用して UDM 検索クエリを実行できますが、スコープ B、C のものを使用しては実行できません。 |
リファレンス リスト内のルールのアクセス権限
スコープ設定されたルールは、ルールとリファレンス リストの間に一致するスコープが 1 つ以上ある場合に、リファレンス リストを使用できます。たとえば、スコープ A のルールは、スコープ A、B、C のリファレンス リストを使用できますが、スコープ B、C のリファレンス リストは使用できません。
グローバル スコープのルールでは、任意のリファレンス リストを使用できます。
フィードとフォワーダー
データ RBAC は、フィードとフォワーダーの実行には直接影響しません。ただし、構成時にユーザーは、受信データにデフォルトのラベル(ログタイプ、名前空間、取り込みラベル)を割り当てることができます。その後、このラベル付きデータを使用して、データ RBAC が機能に適用されます。
Looker ダッシュボード
Looker ダッシュボードはデータ RBAC をサポートしていません。Looker ダッシュボードへのアクセスは、機能 RBAC によって制御されます。
Applied Threat Intelligence(ATI)と IOC の一致
IOC と ATI データは、環境内の潜在的なセキュリティ脅威を示唆する情報です。
ATI キュレーテッド検出は、Advanced Threat Intelligence(ATI)チームが提供するルールによってトリガーされます。これらのルールは、Mandiant の脅威インテリジェンスを使用して、優先度の高い脅威を事前に特定します。詳細については、Applied Threat Intelligence の概要をご覧ください。
データ RBAC では、IOC 一致と ATI データへのアクセスは制限されませんが、一致はユーザーに割り当てられたスコープに基づいてフィルタされます。ユーザーには、自分のスコープ内のアセットに関連付けられている IOC と ATI データの一致のみが表示されます。
ユーザーとエンティティの行動分析(UEBA)
UEBA カテゴリのリスク分析には、潜在的なセキュリティ脅威を検出するための事前構築済みルールセットが用意されています。これらのルールセットは、機械学習を使用して、ユーザーとエンティティの行動パターンを分析し、事前に検出をトリガーします。詳細については、UEBA カテゴリのリスク分析の概要をご覧ください。
UEBA はデータ RBAC をサポートしていません。UEBA カテゴリのリスク分析にアクセスできるのは、グローバル スコープを持つユーザーのみです。
Google SecOps 全体のエンティティの詳細
アセットまたはユーザーを記述する次のフィールドは、UDM 検索の [エンティティ コンテキスト] パネルなど、Google SecOps の複数のページに表示されます。データ RBAC では、これらのフィールドはグローバル スコープを持つユーザーのみが使用できます。
- 初回検知
- 最終検知
- 普及率
スコープ設定されたユーザーは、ユーザーに割り当てられたスコープ内のデータから最初に検知された日時と最後に検知された日時を表示できます。
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。