Auswirkungen von RBAC für Daten auf Google SecOps-Features
Die rollenbasierte Zugriffssteuerung für Daten (RBAC für Daten) ist ein Sicherheitsmodell, bei dem den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen in einem Unternehmen. Nachdem die RBAC für Daten in einer Umgebung konfiguriert wurde, sehen Sie gefilterte Daten in Google Security Operations-Funktionen. RBAC-Einstellungen für Daten Nutzerzugriff entsprechend den zugewiesenen Bereichen und stellt sicher, dass Nutzer auf ausschließlich autorisierte Informationen. Auf dieser Seite erhalten Sie einen Überblick darüber, RBAC für Daten auf die einzelnen Google SecOps-Features auswirkt.
Informationen zur Funktionsweise von Daten-RBAC finden Sie unter Daten-RBAC – Übersicht.
Suchen
Welche Daten in den Suchergebnissen zurückgegeben werden, hängt vom Datenzugriff des Nutzers ab. Bereiche. Nutzer können nur Ergebnisse für Daten sehen, die mit den zugewiesenen Bereichen übereinstimmen für sie. Wenn Nutzern mehr als ein Bereich zugewiesen ist, wird die Suche ausgeführt in den kombinierten Daten aller autorisierten Bereiche. Daten, die zu Bereichen gehören auf die der Nutzer keinen Zugriff hat, erscheint nicht in den Suchergebnissen.
Regeln
Regeln sind Erkennungsmechanismen, die die aufgenommenen Daten analysieren und dabei helfen, potenzielle Sicherheitsbedrohungen. Sie können Regeln aufrufen und verwalten, die an eine auf den Sie Zugriff haben.
Eine Regel kann entweder global (für alle Nutzer zugänglich) oder an einen einzelnen Bereich gebunden sein. Die Regel wird auf Daten angewendet, die der Definition des Umfangs entsprechen. Daten außerhalb von wird der Umfang nicht berücksichtigt.
Außerdem sind Benachrichtigungen auf Ereignisse beschränkt, die dem Geltungsbereich der Regel entsprechen. Regeln die nicht an einen im globalen Gültigkeitsbereich gebundenen Bereich gebunden sind und auf alle Daten. Wenn RBAC für Daten auf einer Instanz aktiviert ist, werden alle vorhandenen Regeln werden automatisch in globale Regeln umgewandelt.
Der mit einer Regel verknüpfte Geltungsbereich bestimmt, wie globale und beschränkte Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgende Tabelle:
| Aktion | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Darf auf einen Bereich reduzierte Regeln ansehen | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A sehen, aber keine Regel mit Bereich C. |
| Kann globale Regeln ansehen | Ja | Nein |
| Kann auf einen Bereich reduzierte Regeln erstellen und aktualisieren | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
So kann beispielsweise ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A erstellen, aber keine Regel mit Bereich C. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen sind Diese werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihr Google SecOps-Umgebung
Erkennungen werden generiert, wenn die in einer Regel definierten Kriterien entsprechen. Nutzer können nur Folgendes sehen: Erkennungen, die von Regeln stammen, die mit den ihnen zugewiesenen Bereichen verknüpft sind. Für So sieht beispielsweise eine Sicherheitsanalystin mit dem Bereich Finanzdaten nur Erkennungsmechanismen, die durch Regeln generiert wurden, die dem Finanzdatenbereich zugewiesen sind, und sieht keine Erkennung von anderen Regeln.
Die Aktionen, die ein Nutzer bei einer Erkennung ausführen kann, z. B. das Markieren einer Erkennung gelöst werden) sind ebenfalls auf den Umfang beschränkt, in dem die Erkennung erfolgte.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden Die kuratierten Erkennungsmechanismen werden dagegen durch Regeln ausgelöst, die von Google Cloud Threat Intelligence-Team (GCTI). Im Rahmen der kuratierten Erkennungsmechanismen hat GCTI stellt eine Reihe von YARA-L-Regeln bereit, mit denen Sie gängige Sicherheitsvorkehrungen in Ihrer Google SecOps-Umgebung zu erkennen. Weitere Informationen Weitere Informationen
Ausgewählte Erkennungen unterstützen keine RBAC für Daten. Nur Nutzer mit globalem Geltungsbereich auf ausgewählte Erkennungsmechanismen zugreifen.
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die für den Abgleich und Filtern von Daten in UDM-Such- und Erkennungsregeln Das Zuweisen von Bereichen zu einem schränkt die Referenzliste (Bereichsliste) den Zugriff auf bestimmte Nutzer und wie Regeln und UDM-Suche. Eine Referenzliste, der kein Bereich zugewiesen ist ist eine Liste ohne Geltungsbereich.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die mit einer Referenzliste verknüpften Bereiche bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Kann auf einen Bereich reduzierte Liste erstellen | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Beispielsweise kann ein Nutzer mit einem Umfang mit den Bereichen A und B eine Referenzliste mit Bereich A oder den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Darf eine Liste ohne Geltungsbereich erstellen | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste aktualisieren | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Referenzliste mit den Bereichen A oder den Bereichen A und B ändern, aber nicht an einer Referenzliste mit den Bereichen A, B und C. |
| Darf Liste ohne Geltungsbereich aktualisieren | Ja | Nein |
| Kann eine auf einen Bereich reduzierte Liste auf eine nicht beschränkte Liste aktualisieren | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste aufrufen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber keine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Umfang aufrufen und verwenden | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit nicht bereichsbezogenen Referenzlisten ausführen | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit Bereichsreferenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten der Bereiche B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Eine Bereichsregel kann eine Referenzliste verwenden, wenn es mindestens einen übereinstimmenden Bereich gibt zwischen der Regel und der Referenzliste. Eine Regel mit Geltungsbereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C, aber keine Referenzliste mit die Bereiche B und C.
Für eine Regel mit globalem Geltungsbereich kann jede beliebige Referenzliste verwendet werden.
Feeds und Weiterleitungen
RBAC wirkt sich nicht direkt auf die Ausführung des Feeds und des Forwarders aus. Sie können jedoch können Nutzer während der Konfiguration Standardlabels (Logtyp, Namespace oder Aufnahmelabels) zu den eingehenden Daten hinzufügen. Daten-RBAC wird dann angewendet mit diesen Daten verknüpft sind.
Looker-Dashboards
Looker-Dashboards unterstützen keine Daten-RBAC. Zugriff auf Looker wird durch Feature-RBAC gesteuert.
Übereinstimmungen mit Applied Threat Intelligence (ATI) und IOC
IOCs und ATI-Daten sind Informationen, die eine potenzielle Sicherheitsbedrohungen in Ihrer Umgebung.
Von ATI kuratierte Erkennungen werden durch Regeln ausgelöst, die vom Advanced Threat Intelligence-Team (ATI) Diese Regeln nutzen Mandiant-Bedrohungen um Bedrohungen mit hoher Priorität proaktiv zu identifizieren. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
RBAC schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden anhand der dem Nutzer zugewiesenen Bereiche gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, Bereiche.
Nutzer- und Entitätsverhaltensanalyse (UEBA)
Die Kategorie "Risikoanalyse für UEBA" bietet vordefinierte Regelsätze, potenzielle Sicherheitsbedrohungen. Diese Regelsätze nutzen maschinelles Lernen, um durch die Analyse von Verhaltensmustern von Nutzern und Entitäten die Erkennung auslösen. Weitere Informationen finden Sie in der Übersicht über die Risikoanalyse für die UEBA-Kategorie.
UEBA unterstützt kein Daten-RBAC. Nur Nutzer mit globalem Geltungsbereich kann auf die Risikoanalyse für die UEBA-Kategorie zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, erscheinen auf mehreren Seiten. in Google SecOps, z. B. im Bereich Entitätskontext in der UDM-Suche. Mit Daten-RBAC sind die Felder nur für Nutzer verfügbar, die globalen Geltungsbereich zu finden.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer in einer bestimmten Gruppe können die zuerst und zuletzt erfassten Daten von Nutzern und Assets sehen, wenn „Zuerst erfasst“ und „Zuletzt erfasst“ werden anhand der Daten berechnet, Bereiche.
Nächste Schritte
RBAC für Daten für Nutzer konfigurieren