数据 RBAC 对 Google SecOps 功能的影响
基于数据角色的访问权限控制 (数据 RBAC) 是一种安全模型,可根据组织中的各个用户角色来限制用户对数据的访问权限。在环境中配置数据 RBAC 后,您就会开始在 Google Security Operations 功能中看到过滤后的数据。数据 RBAC 根据用户分配的范围控制用户访问权限,并确保用户只能访问已获授权的信息。本页面简要介绍了数据 RBAC 对各项 Google SecOps 功能的影响。
如需了解数据 RBAC 的工作原理,请参阅数据 RBAC 概览。
搜索
搜索结果中返回的数据基于用户的数据访问范围。用户只能看到与分配给他们的范围匹配的数据的结果。如果用户分配了多个范围,则系统会对所有授权范围的合并数据执行搜索。用户无权访问的范围的数据不会显示在搜索结果中。
规则
规则是一种检测机制,可分析所提取的数据并帮助识别潜在的安全威胁。您可以查看和管理绑定到您有权访问的数据范围的规则。
规则可以是全局规则(可供所有用户访问),也可以绑定到单个范围。规则针对与范围定义匹配的数据运行。超出范围的数据不予考虑。
提醒的生成也仅限于符合规则范围的事件。未绑定到任何范围的规则会在全局范围内运行,并会应用于所有数据。在实例上启用数据 RBAC 后,所有现有规则都会自动转换为全局范围规则。
与规则关联的范围决定了全局用户和范围用户与其交互的方式。下表汇总了访问权限:
| 操作 | 全局用户 | 分区用户 |
|---|---|---|
| 可以查看限定了范围的规则 | 是 | 是(前提是规则的范围在用户分配的范围内)
例如,范围为 A 和 B 的用户可以看到范围为 A 的规则,但范围为 C 的规则则看不到。 |
| 可以查看全局规则 | 是 | 否 |
| 可以创建和更新限定范围的规则 | 是 | 是(前提是规则的范围在用户分配的范围内)
例如,范围为 A 和 B 的用户可以创建范围为 A 的规则,但不能创建范围为 C 的规则。 |
| 可以创建和更新全局规则 | 是 | 否 |
检测
检测是指用于表明潜在安全威胁的提醒。检测由自定义规则触发,这些规则由您的安全团队为您的 Google SecOps 环境创建。
当传入的安全数据与规则中定义的条件匹配时,会生成检测。用户只能看到源自与其分配范围关联的规则的检测。例如,具有财务数据范围的安全分析师只能看到由分配给财务数据范围的规则生成的检测,看不到来自任何其他规则的检测。
用户可以在检测时执行的操作(例如,将检测标记为已解决)也限制在检测发生的范围内。
精选检测
检测由安全团队创建的自定义规则触发,而精选检测则由 Google Cloud 威胁情报 (GCTI) 团队提供的规则触发。作为精选检测的一部分,GCTI 提供并管理一组 YARA-L 规则,以帮助您识别 Google SecOps 环境中的常见安全威胁。如需了解详情,请参阅使用精选检测来识别威胁。
精选检测不支持数据 RBAC。只有具有全局范围的用户才能访问精选检测。
参考列表
参考列表是用于匹配和过滤 UDM 搜索和检测规则中的数据的集合。为参考列表(范围列表)分配范围会限制其对特定用户和资源(例如规则和 UDM 搜索)的访问权限。未分配任何范围的参考列表称为未限定范围的列表。
参考列表中用户的访问权限
与参考列表关联的范围决定了全局用户和范围用户与其交互的方式。下表汇总了访问权限:
| 操作 | 全局用户 | 分区用户 |
|---|---|---|
| 可以创建范围限定的列表 | 是 | 是(范围与其已分配的范围相符,或者属于其已分配范围的子集)
例如,范围为 A 和 B 且限定了范围的用户可以创建范围为 A 或范围 A 和 B 的参考列表,但不能创建范围为 A、B 和 C 的参考列表。 |
| 可以创建未限定范围的列表 | 是 | 否 |
| 可以更新范围列表 | 是 | 是(范围与其已分配的范围相符,或者属于其已分配范围的子集)
例如,范围为 A 和 B 的用户可以修改范围为 A 或范围 A 和 B 的参考列表,但不能修改范围为 A、B 和 C 的参考列表。 |
| 可以更新未限定范围的列表 | 是 | 否 |
| 可以将范围列表更新为未限定的范围 | 是 | 否 |
| 可以查看和使用限定了范围的列表 | 是 | 是(如果用户和参考列表之间至少有一个匹配范围)
例如,范围 A 和范围 B 的用户可以使用范围 A 和范围 B 的参考列表,但不能使用范围 C 和 D 的参考列表。 |
| 可以查看和使用未限定范围的列表 | 是 | 是 |
| 可以使用未限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是 |
| 可以使用限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是(如果用户和参考列表之间至少有一个匹配范围)
例如,范围 A 的用户可以使用范围 A、B 和 C 的参考列表运行 UDM 搜索查询,但不能使用范围 B 和 C 的参考列表来运行 UDM 搜索查询。 |
参考列表中规则的访问权限
如果限定了范围的规则与参考列表之间至少有一个匹配范围,则可以使用参考列表。例如,范围为 A 的规则可以使用范围 A、B 和 C 的参考列表,但不能使用范围 B 和 C 的参考列表。
全局范围的规则可以使用任何参考列表。
供稿和转发器
数据 RBAC 不会直接影响 Feed 和转发器的执行。但是,在配置期间,用户可以为传入数据分配默认标签(日志类型、命名空间或提取标签)。然后,数据 RBAC 会应用于使用此加标签数据的特征。
Looker 信息中心
Looker 信息中心不支持数据 RBAC。对 Looker 信息中心的访问权限由功能 RBAC 控制。
Applied Threat Intelligence (ATI) 和 IOC 匹配项
IOC 和 ATI 数据是表明您的环境中存在潜在安全威胁的信息。
ATI 精选检测由高级威胁情报 (ATI) 团队提供的规则触发。这些规则使用 Mandiant 威胁情报主动识别高优先级威胁。如需了解详情,请参阅已应用的威胁情报概览。
数据 RBAC 不限制对 IOC 匹配项和 ATI 数据的访问,但系统会根据用户的分配范围过滤匹配项。用户只能看到与其范围内的资产关联的 IOC 和 ATI 数据的匹配项。
用户和实体行为分析 (UEBA)
Risk Analytics for UEBA 类别提供了预构建的规则集,用于检测潜在的安全威胁。这些规则集使用机器学习技术,通过分析用户和实体行为模式来主动触发检测。如需了解详情,请参阅 UEBA 类别风险分析概览。
UEBA 不支持数据 RBAC。只有具有全局范围的用户才能访问 UEBA 类别的风险分析。
Google SecOps 中的实体详细信息
以下描述资产或用户的字段显示在 Google SecOps 的多个页面上,例如 UDM 搜索中的实体上下文面板。借助数据 RBAC,这些字段仅供具有全局范围的用户使用。
- 首次出现时间
- 上次出现日期
- 普及率
如果“首次看到”和“上次出现时间”是根据用户所分配范围内的数据计算得出的,限定了范围的用户可以查看用户和资源的“首次看到”和“上次出现时间”数据。