Impacto do RBAC de dados nos recursos do Google SecOps
O controle de acesso baseado em função de dados (RBAC de dados) é um modelo de segurança que restringe o acesso do usuário aos dados com base em funções de usuário individuais em um organização. Depois que o RBAC de dados é configurado em um ambiente, você começa a ver dados filtrados nos recursos das Operações de segurança do Google. Controles de RBAC de dados o acesso do usuário de acordo com os escopos atribuídos e garante que os usuários possam acessar apenas informações autorizadas. Nesta página, você encontra uma visão geral o RBAC de dados afeta cada recurso do Google SecOps.
Para entender como o RBAC de dados funciona, consulte a Visão geral do RBAC de dados.
Pesquisar
Os dados retornados nos resultados da pesquisa são baseados no acesso do usuário aos dados escopos. Os usuários só podem acessar os resultados dos dados que correspondem aos escopos atribuídos a eles. Se os usuários tiverem mais de um escopo atribuído, a pesquisa será executada dos dados combinados de todos os escopos autorizados. Dados pertencentes a escopos aos quais o usuário não tem acesso não aparece nos resultados da pesquisa.
Regras
Regras são mecanismos de detecção que analisam os dados ingeridos e ajudam a identificar e possíveis ameaças à segurança. É possível visualizar e gerenciar regras vinculadas a um escopo de dados ao qual você tem acesso.
Uma regra pode ser global (acessível por todos os usuários) ou vinculada a um único escopo. A regra opera nos dados que correspondem à definição do escopo. Dados fora o escopo não é considerado.
A geração de alertas também é limitada a eventos que correspondem ao escopo da regra. Regras que não estão vinculados a nenhum escopo executados no escopo global e são aplicados a todos dados. Quando o controle de acesso baseado em função (RBAC) de dados está ativado em uma instância, automaticamente convertidas em regras de escopo global.
O escopo associado a uma regra determina como os usuários globais e com escopo possam interagir com ele. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode ver regras com escopo | Sim | Sim (apenas se o escopo da regra estiver dentro dos escopos atribuídos do usuário)
Por exemplo, um usuário com escopos A e B poderá ver uma regra com escopo A, mas não uma regra com escopo C. |
| Pode ver regras globais | Sim | Não |
| Pode criar e atualizar regras com escopo | Sim | Sim (apenas se o escopo da regra estiver dentro dos escopos atribuídos do usuário)
Por exemplo, um usuário com os escopos A e B pode criar uma regra com o escopo A, mas não uma com o escopo C. |
| Pode criar e atualizar regras globais | Sim | Não |
Detecções
As detecções são alertas que indicam possíveis ameaças à segurança. As detecções são acionadas por regras personalizadas, que são criadas pela equipe de segurança para sua ambiente do Google SecOps.
As detecções são geradas ao receber dados de segurança correspondem aos critérios definidos em uma regra. Os usuários só podem ver detecções originadas de regras associadas aos escopos atribuídos a elas. Para exemplo, um analista de segurança com escopo de dados financeiros vê apenas detecções gerada por regras atribuídas ao escopo de dados financeiros e não vê de qualquer outra regra.
As ações que um usuário pode realizar em uma detecção (por exemplo, marcar uma detecção conforme resolvido) também são limitados ao escopo em que a detecção ocorreu.
Detecções selecionadas
As detecções são acionadas por regras personalizadas criadas pela equipe de segurança enquanto as detecções selecionadas são acionadas por regras fornecidas pelo Intelligence (GCTI). Como parte das detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar a identificar ameaças dentro do ambiente do Google SecOps. Para mais informações, consulte Usar detecções selecionadas para identificar ameaças.
As detecções selecionadas não são compatíveis com o RBAC de dados. Somente usuários com escopo global possam acessar detecções selecionadas.
Listas de referências
Listas de referência são coleções de valores que são usadas para correspondência e filtrar dados nas regras de pesquisa e detecção do UDM. Atribuir escopos a um referência (lista com escopo) restringe o acesso a usuários específicos e recursos, como regras e pesquisa UDM. Uma lista de referências sem escopo atribuído é chamada de lista sem escopo.
Permissões de acesso para usuários em listas de referência
Os escopos associados a uma lista de referência determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso são resumidos na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode criar lista com escopo | Sim | Sim (com escopos que correspondem aos seus escopos atribuídos ou são um subconjunto deles)
Por exemplo, o usuário com escopo A e B pode criar uma lista de referência com o escopo A ou com os escopos A e B, mas não com os escopos A, B e C. |
| Pode criar uma lista sem escopo | Sim | Não |
| Pode atualizar a lista com escopo | Sim | Sim (com escopos que correspondem aos seus escopos atribuídos ou são um subconjunto deles)
Por exemplo, um usuário com escopos A e B pode modificar uma lista de referência com o escopo A ou com os escopos A e B, mas não uma lista de referência com os escopos A, B e C. |
| Pode atualizar a lista sem escopo | Sim | Não |
| Pode atualizar a lista com escopo para sem escopo | Sim | Não |
| Pode ver e usar a lista com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com os escopos A e B pode usar uma lista de referência com os escopos A e B, mas não uma lista de referência com os escopos C e D. |
| Pode ver e usar a lista sem escopo | Sim | Sim |
| Pode executar consultas de pesquisa UDM e painel com listas de referência sem escopo | Sim | Sim |
| Pode executar pesquisas de UDM e consultas de painel com listas de referência com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com escopo A pode executar consultas de pesquisa UDM com listas de referência com os escopos A, B e C, mas não com listas de referência com escopos B e C. |
Permissões de acesso para regras em listas de referência
Uma regra com escopo poderá usar uma lista de referência se houver pelo menos um escopo de correspondência entre a regra e a lista de referências. Por exemplo, uma regra com escopo A pode use uma lista de referência com os escopos A, B e C, mas não uma lista de referência com escopos B e C.
Uma regra com escopo global pode usar qualquer lista de referência.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os usuários podem atribuir os marcadores padrão (tipo de registro, ou rótulos de ingestão) aos dados de entrada. Em seguida, o RBAC de dados é aplicado atributos que usam esses dados rotulados.
Painéis do Looker
Os painéis do Looker não oferecem suporte ao RBAC de dados. Acesso ao Looker é controlado pelo recurso RBAC.
Correspondências de Inteligência aplicada sobre ameaças (ATI) e IOC
Os IOCs e os dados da ATI são informações que sugerem uma uma possível ameaça à segurança no seu ambiente.
As detecções selecionadas pela ATI são acionadas por regras fornecidas pelo Advanced Threat Intelligence (ATI). Essas regras usam ameaças da Mandiant inteligência artificial para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte Visão geral da Inteligência aplicada sobre ameaças.
O RBAC de dados não restringe o acesso a correspondências de IOC e dados de ATI; no entanto, as correspondências são filtradas com base nos escopos atribuídos ao usuário. Os usuários só veem as correspondências para dados de IOCs e ATI que estão associados a ativos que estão em seus escopos.
Análise comportamental de usuários e entidades (UEBA)
A categoria de análise de risco para UEBA oferece conjuntos de regras pré-criados para detectar e possíveis ameaças à segurança. Esses conjuntos de regras usam o aprendizado de máquina para acionar detecções analisando padrões comportamentais de usuários e entidades. Para mais informações, consulte Visão geral da análise de risco para a categoria UEBA.
O UEBA não é compatível com o RBAC de dados. Somente usuários com escopo global pode acessar a análise de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os campos a seguir, que descrevem um recurso ou um usuário, aparecem em várias páginas no Google SecOps, como o painel Contexto da entidade na pesquisa do UDM. Com o controle de acesso baseado em função (RBAC, na sigla em inglês) de dados, os campos ficam disponíveis apenas para os usuários com escopo global.
- Visto pela primeira vez
- Visto pela última vez
- Prevalência
Os usuários do escopo poderão conferir os dados visualizados pela primeira e última visualização de usuários e recursos se: é calculado com base nos dados das funções atribuídas escopos.
A seguir
Configurar o RBAC de dados para usuários