Impatto del RBAC dei dati sulle funzionalità di Google SecOps
Il controllo degli accessi basato su ruoli ai dati (RBAC di dati) è un modello di sicurezza che limita l'accesso degli utenti ai dati in base ai singoli ruoli utente all'interno di un'organizzazione. Dopo aver configurato RBAC dei dati in un ambiente, inizierai a visualizzare i dati filtrati nelle funzionalità di Google Security Operations. Data RBAC controlla l'accesso degli utenti in base agli ambiti assegnati e garantisce che gli utenti possano accedere solo alle informazioni autorizzate. Questa pagina fornisce una panoramica dell'impatto dei dati RBAC su ciascuna funzionalità di Google SecOps.
Per capire come funziona RBAC dei dati, consulta Panoramica del RBAC dei dati.
Ricerca
I dati che vengono restituiti nei risultati di ricerca si basano sugli ambiti di accesso ai dati dell'utente. Gli utenti possono visualizzare solo i risultati dei dati che corrispondono agli ambiti a loro assegnati. Se agli utenti è assegnato più di un ambito, la ricerca viene eseguita tra i dati combinati di tutti gli ambiti autorizzati. I dati che appartengono agli ambiti a cui l'utente non ha accesso non vengono visualizzati nei risultati di ricerca.
Regole
Le regole sono meccanismi di rilevamento che analizzano i dati importati e aiutano a identificare potenziali minacce alla sicurezza. Puoi visualizzare e gestire le regole associate a un ambito dei dati a cui hai accesso.
Una regola può essere globale (accessibile da tutti gli utenti) o associata a un singolo ambito. La regola opera sui dati che corrispondono alla definizione dell'ambito. I dati che non rientrano nell'ambito non vengono presi in considerazione.
La generazione degli avvisi è limitata anche agli eventi che corrispondono all'ambito della regola. Le regole che non sono associate a nessun ambito vengono eseguite nell'ambito globale e vengono applicate a tutti i dati. Quando RBAC dei dati è abilitato su un'istanza, tutte le regole esistenti vengono convertite automaticamente in regole in ambito globale.
L'ambito associato a una regola determina il modo in cui gli utenti globali e con ambito possono interagire con la regola. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può visualizzare le regole con ambito | Sì | Sì (solo se l'ambito della regola rientra in quelli assegnati all'utente)
Ad esempio, un utente con ambiti A e B può vedere una regola con ambito A, ma non una regola con ambito C. |
| Può visualizzare le regole globali | Sì | No |
| Può creare e aggiornare regole con ambito | Sì | Sì (solo se l'ambito della regola rientra in quelli assegnati all'utente)
Ad esempio, un utente con ambiti A e B può creare una regola con ambito A, ma non con ambito C. |
| Può creare e aggiornare le regole globali | Sì | No |
Rilevamenti
I rilevamenti sono avvisi che indicano potenziali minacce alla sicurezza. I rilevamenti sono attivati da regole personalizzate, create dal tuo team di sicurezza per il tuo ambiente Google SecOps.
I rilevamenti vengono generati quando i dati sulla sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono visualizzare solo i rilevamenti provenienti dalle regole associate agli ambiti a cui sono assegnati. Ad esempio, un analista della sicurezza con ambito dei dati finanziari vede solo i rilevamenti generati dalle regole assegnate all'ambito dei dati finanziari e non vede i rilevamenti di altre regole.
Anche le azioni che un utente può eseguire per un rilevamento (ad esempio, contrassegnare un rilevamento come risolto) sono limitate all'ambito in cui si è verificato il rilevamento.
Rilevamenti selezionati
I rilevamenti vengono attivati da regole personalizzate create dal tuo team di sicurezza, mentre quelli selezionati vengono attivati dalle regole fornite dal team Google Cloud Threat Intelligence (GCTI). Nell'ambito di rilevamenti selezionati, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutarti a identificare le minacce alla sicurezza più comuni all'interno dell'ambiente Google SecOps. Per ulteriori informazioni, consulta Utilizzare rilevamenti selezionati per identificare le minacce.
I rilevamenti selezionati non supportano RBAC di dati. Solo gli utenti con ambito globale possono accedere a rilevamenti selezionati.
Elenchi di riferimento
Gli elenchi di riferimento sono raccolte di valori utilizzati per trovare corrispondenze e filtrare i dati nelle regole di ricerca e rilevamento UDM. L'assegnazione di ambiti a un elenco di riferimenti (elenco di ambito) ne limita l'accesso a risorse e utenti specifici, come regole e ricerca UDM. Un elenco di riferimento a cui non è assegnato ambito si chiama elenco senza ambito.
Autorizzazioni di accesso per gli utenti negli elenchi di riferimento
Gli ambiti associati a un elenco di riferimento determinano il modo in cui gli utenti globali e con ambito possono interagire con l'elenco. Le autorizzazioni di accesso sono riassunte nella seguente tabella:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare un elenco con ambito | Sì | Sì (con ambiti che corrispondono agli ambiti assegnati o sono un sottoinsieme degli ambiti assegnati)
Ad esempio, un utente con ambito A e B può creare un elenco di riferimento con gli ambiti A o con gli ambiti A e B, ma non con gli ambiti A, B e C. |
| Può creare un elenco senza ambito | Sì | No |
| Può aggiornare l'elenco con ambito | Sì | Sì (con ambiti che corrispondono agli ambiti assegnati o sono un sottoinsieme degli ambiti assegnati)
Ad esempio, un utente con ambiti A e B può modificare un elenco di riferimento con ambiti A o con ambiti A e B, ma non un elenco di riferimento con ambiti A, B e C. |
| Può aggiornare un elenco senza ambito | Sì | No |
| L'elenco con ambito può essere aggiornato a senza ambito | Sì | No |
| Può visualizzare e utilizzare un elenco limitato | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con ambiti A e B può utilizzare un elenco di riferimento con ambiti A e B, ma non un elenco di riferimenti con ambiti C e D. |
| Può visualizzare e utilizzare un elenco senza ambito | Sì | Sì |
| Può eseguire query di dashboard e di ricerca UDM con elenchi di riferimento senza ambito | Sì | Sì |
| Può eseguire query di dashboard e di ricerca UDM con elenchi di riferimento con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con ambito A può eseguire query di ricerca UDM con elenchi di riferimento con ambiti A, B e C, ma non con elenchi di riferimento con ambiti B e C. |
Autorizzazioni di accesso per le regole negli elenchi di riferimento
Una regola con ambito può utilizzare un elenco di riferimento se esiste almeno un ambito corrispondente tra la regola e l'elenco di riferimento. Ad esempio, una regola con ambito A può utilizzare un elenco di riferimento con ambiti A, B e C, ma non un elenco di riferimento con ambiti B e C.
Una regola con ambito globale può utilizzare qualsiasi elenco di riferimento.
Feed e inoltro
Data RBAC non influisce direttamente sul feed e sull'esecuzione dello spedizioniere. Tuttavia, durante la configurazione, gli utenti possono assegnare le etichette predefinite (tipo di log, spazio dei nomi o etichette di importazione) ai dati in entrata. Data RBAC viene quindi applicato alle caratteristiche che usano questi dati etichettati.
Dashboard di Looker
Le dashboard di Looker non supportano RBAC dei dati. L'accesso alle dashboard di Looker è controllato dalla funzionalità RBAC.
Corrispondenze di Applied Threat Intelligence (ATI) e IOC
I dati IOC e ATI sono informazioni che suggeriscono una potenziale minaccia alla sicurezza nel tuo ambiente.
I rilevamenti selezionati di ATI vengono attivati dalle regole fornite dal team di Advanced Threat Intelligence (ATI). Queste regole utilizzano le informazioni sulle minacce di Mandiant per identificare proattivamente le minacce ad alta priorità. Per ulteriori informazioni, vedi Panoramica di Applied Threat Intelligence.
Data RBAC non limita l'accesso alle corrispondenze IOC e ai dati ATI; tuttavia, le corrispondenze vengono filtrate in base agli ambiti assegnati dell'utente. Gli utenti visualizzano solo le corrispondenze per i dati IOC e ATI associati ad asset che rientrano nei loro ambiti.
Analisi comportamentale di entità e utente (UEBA)
La categoria Analisi del rischio per UEBA offre serie di regole predefinite per rilevare potenziali minacce alla sicurezza. Queste serie di regole utilizzano il machine learning per attivare in modo proattivo i rilevamenti, analizzando i pattern di comportamento degli utenti e delle entità. Per ulteriori informazioni, consulta Panoramica dell'analisi del rischio per la categoria UEBA.
UEBA non supporta RBAC di dati. Solo gli utenti con ambito globale possono accedere all'analisi del rischio per la categoria UEBA.
Dettagli entità in Google SecOps
I seguenti campi, che descrivono un asset o un utente, vengono visualizzati su più pagine in Google SecOps, ad esempio il riquadro Contesto entità nella ricerca UDM. Con RBAC di dati, i campi sono disponibili solo per gli utenti con ambito globale.
- Prima visualizzazione
- Ultima visualizzazione
- Prevalenza
Gli utenti con ambito possono visualizzare i dati relativi alla prima e all'ultima visualizzazione di utenti e asset se la prima e l'ultima visualizzazione vengono calcolate dai dati all'interno degli ambiti assegnati all'utente.
Passaggi successivi
Configurare il RBAC dei dati per gli utenti