Impact du RBAC des données sur les fonctionnalités Google SecOps
Le contrôle des accès basé sur les rôles aux données (RBAC aux données) est un modèle de sécurité qui limite l'accès des utilisateurs aux données en fonction des rôles utilisateur individuels au sein d'une organisation. Une fois le RBAC des données configuré dans un environnement, vous commencez à voir des données filtrées dans les fonctionnalités de Google Security Operations. Data RBAC contrôle l'accès des utilisateurs en fonction des champs d'application qui leur sont attribués et garantit qu'ils ne peuvent accéder qu'aux informations autorisées. Cette page présente l'impact du RBAC des données sur chaque fonctionnalité Google SecOps.
Pour comprendre le fonctionnement du RBAC des données, consultez la page Présentation du RBAC des données.
Rechercher
Les données renvoyées dans les résultats de recherche dépendent des champs d'application d'accès aux données de l'utilisateur. Les utilisateurs ne peuvent voir que les résultats à partir des données correspondant aux champs d'application qui leur sont attribués. Si plusieurs champs d'application sont attribués aux utilisateurs, la recherche est exécutée sur les données combinées de tous les champs d'application autorisés. Les données appartenant à des niveaux d'accès auxquels l'utilisateur n'a pas accès n'apparaissent pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et permettent d'identifier les menaces de sécurité potentielles. Vous pouvez afficher et gérer les règles liées à un champ d'application de données auquel vous avez accès.
Une règle peut être globale (accessible par tous les utilisateurs) ou liée à un seul champ d'application. La règle agit sur les données qui correspondent à la définition du champ d'application. Les données en dehors du champ d'application ne sont pas prises en compte.
La génération d'alertes est également limitée aux événements qui correspondent au champ d'application de la règle. Les règles qui ne sont liées à aucun champ d'application sont exécutées dans le champ d'application global et s'appliquent à toutes les données. Lorsque le contrôle des données RBAC est activé sur une instance, toutes les règles existantes sont automatiquement converties en règles de champ d'application globales.
Le champ d'application associé à une règle détermine la manière dont les utilisateurs globaux et à champ d'application peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant:
| Action | Utilisateur dans le monde | Utilisateur concerné |
|---|---|---|
| Peut consulter les règles appliquées | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des champs d'application A et B peut voir une règle ayant le champ d'application A, mais pas une règle du champ d'application C. |
| Peut afficher les règles globales | Oui | Non |
| Peut créer et mettre à jour des règles de champ d'application | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des champs d'application A et B peut créer une règle avec le champ d'application A, mais pas une règle avec le champ d'application C. |
| Peut créer et mettre à jour des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées, créées par votre équipe de sécurité pour votre environnement Google SecOps.
Des détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux niveaux d'accès qui leur sont attribués. Par exemple, un analyste de sécurité disposant du champ d'application des données financières ne voit que les détections générées par les règles attribuées au champ d'application des données financières. Il ne voit les détections d'aucune autre règle.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, la marquer comme résolue) sont également limitées au champ d'application de la détection.
Détections sélectionnées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité, tandis que les détections sélectionnées sont déclenchées par des règles fournies par l'équipe Google Cloud Threat Intelligence (GCTI). Dans le cadre des détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les menaces de sécurité courantes dans votre environnement Google SecOps. Pour en savoir plus, consultez Utiliser les détections sélectionnées pour identifier les menaces.
Les détections sélectionnées ne sont pas compatibles avec le contrôle des accès basé sur les données (RBAC). Seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux détections sélectionnées.
Listes de référence
Les listes de référence sont des ensembles de valeurs utilisées pour la mise en correspondance et le filtrage des données dans les règles de recherche et de détection UDM. L'attribution de champs d'application à une liste de référence (liste ciblée) limite son accès à des utilisateurs et ressources spécifiques, telles que les règles et la recherche UDM. Une liste de référence à laquelle aucun champ d'application n'a été attribué est appelée "liste sans champ d'application".
Autorisations d'accès attribuées aux utilisateurs des listes de référence
Les champs d'application associés à une liste de référence déterminent la manière dont les utilisateurs au niveau global et limité peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant:
| Action | Utilisateur dans le monde | Utilisateur concerné |
|---|---|---|
| Peut créer une liste limitée | Oui | Oui (avec les habilitations qui correspondent aux habilitations attribuées ou un sous-ensemble de ces habilitations)
Par exemple, un utilisateur dont le champ d'application est défini sur les champs d'application A et B peut créer une liste de référence avec les champs d'application A ou A et B, mais pas avec les champs d'application A, B et C. |
| Peut créer une liste sans champ d'application | Oui | Non |
| Peut mettre à jour la liste délimitée | Oui | Oui (avec les habilitations qui correspondent aux habilitations attribuées ou un sous-ensemble de ces habilitations)
Par exemple, un utilisateur disposant des champs d'application A et B peut modifier une liste de référence associée aux champs d'application A ou A et B, mais pas à une liste de référence associée aux champs d'application A, B et C. |
| Peut mettre à jour la liste sans champ d'application | Oui | Non |
| Possibilité de passer d'une liste limitée à une liste sans champ d'application | Oui | Non |
| Peut afficher et utiliser la liste délimitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des champs d'application A et B peut utiliser une liste de référence avec les champs d'application A et B, mais pas une liste de référence avec les champs d'application C et D. |
| Peut afficher et utiliser la liste sans champ d'application | Oui | Oui |
| Peut exécuter des recherches UDM et des requêtes de tableau de bord avec des listes de référence sans champ d'application | Oui | Oui |
| Peut exécuter des requêtes de recherche UDM et de tableau de bord avec des listes de référence délimitées | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur ayant le champ d'application A peut exécuter des requêtes de recherche UDM avec des listes de référence associées aux champs d'application A, B et C, mais pas avec des listes de référence associées aux champs d'application B et C. |
Autorisations d'accès pour les règles des listes de référence
Une règle délimitée peut utiliser une liste de référence s'il existe au moins un champ d'application correspondant entre la règle et la liste de référence. Par exemple, une règle ayant le champ d'application A peut utiliser une liste de référence avec les champs d'application A, B et C, mais pas une liste de référence avec les champs d'application B et C.
Une règle ayant un champ d'application global peut utiliser n'importe quelle liste de référence.
Flux et redirecteurs
Le contrôle des accès basé sur les données (RBAC) n'affecte pas directement l'exécution du flux et du redirecteur. Toutefois, lors de la configuration, les utilisateurs peuvent attribuer les libellés par défaut (type de journal, espace de noms ou libellés d'ingestion) aux données entrantes. Le contrôle des données RBAC est ensuite appliqué aux fonctionnalités utilisant ces données étiquetées.
Tableaux de bord Looker
Les tableaux de bord Looker ne sont pas compatibles avec le contrôle des accès basé sur les données (RBAC). L'accès aux tableaux de bord Looker est contrôlé par la fonctionnalité RBAC.
Correspondances entre Applied Threat Intelligence (ATI) et IOC
Les données IOC et ATI sont des éléments d'information suggérant une menace de sécurité potentielle dans votre environnement.
Les détections sélectionnées par ATI sont déclenchées par des règles fournies par l'équipe Advanced Threat Intelligence (ATI). Ces règles s'appuient sur la Threat Intelligence de Mandiant pour identifier les menaces prioritaires de manière proactive. Pour en savoir plus, consultez la page Présentation d'Applied Threat Intelligence.
Le contrôle des données RBAC ne limite pas l'accès aux correspondances IOC et aux données ATI. Toutefois, les correspondances sont filtrées en fonction des champs d'application attribués à l'utilisateur. Les utilisateurs ne voient que les correspondances pour les IOC et les données ATI qui sont associées aux éléments compris dans leurs champs d'application.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour l'UEBA" propose des ensembles de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning pour déclencher des détections de manière proactive en analysant les modèles de comportement des utilisateurs et des entités. Pour en savoir plus, consultez Présentation de l'analyse des risques pour la catégorie UEBA.
L'UEBA n'est pas compatible avec le contrôle des accès basé sur les données (RBAC). Seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux analyses des risques pour la catégorie UEBA.
Détails de l'entité dans Google SecOps
Les champs suivants, qui décrivent un élément ou un utilisateur, apparaissent sur plusieurs pages de Google SecOps, comme le panneau Contexte de l'entité dans la recherche UDM. Avec le contrôle des accès basé sur les données (RBAC), les champs ne sont disponibles que pour les utilisateurs ayant un champ d'application global.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs délimités peuvent afficher les données de première et de dernière occurrence des utilisateurs et des éléments si ces données sont calculées à partir des données correspondant aux champs d'application attribués à l'utilisateur.
Étapes suivantes
Configurer le contrôle des accès basé sur les données pour les utilisateurs