数据 RBAC 对 Google SecOps 功能的影响
数据 RBAC(数据 RBAC)是一种安全模型, 用户基于单个用户角色对数据的访问权限 组织。在环境中配置数据 RBAC 后,您会看到 Google Security Operations 功能中已过滤的数据。数据 RBAC 控件 根据用户分配的范围确定用户访问权限,并确保用户可以访问 授权信息。本页将简要介绍 数据 RBAC 会影响每项 Google SecOps 功能。
如需了解数据 RBAC 的工作原理,请参阅数据 RBAC 概览。
搜索
搜索结果中返回的数据基于用户的数据访问权限 范围。用户只能看到与所分配范围匹配的数据的结果 。如果用户分配了多个范围,则系统会执行搜索 所有授权范围的合并数据。属于范围的数据 用户无权访问的内容不会显示在搜索结果中。
Rules
规则是一种检测机制,可分析提取的数据并帮助识别 潜在的安全威胁您可以查看和管理 数据范围。
一条规则可以是全局规则(可供所有用户访问),也可以绑定到单一范围。 规则针对与范围定义匹配的数据运行。外部数据 范围。
提醒的生成也仅限于符合规则范围的事件。规则 未绑定到任何范围、在全局范围内运行,并且会应用于 数据。在实例上启用数据 RBAC 后,所有现有规则都会生效 会自动转换为全局范围规则。
与规则关联的范围决定了全局用户和范围用户 可以与之互动以下页面简要说明了访问权限 下表:
| 操作 | 全局用户 | 分区用户 |
|---|---|---|
| 可以查看限定了范围的规则 | 是 | 是(前提是规则的范围在用户的指定范围内)
例如,范围为 A 和 B 的用户可以看到范围为 A 的规则,但范围为 C 的规则则看不到。 |
| 可以查看全局规则 | 是 | 否 |
| 可以创建和更新限定范围的规则 | 是 | 是(前提是规则的范围在用户的指定范围内)
例如,范围为 A 和 B 的用户可以创建范围为 A 的规则,但不能创建范围为 C 的规则。 |
| 可以创建和更新全局规则 | 是 | 否 |
检测
检测是指用于表明潜在安全威胁的提醒。检测 这些自定义规则由安全团队为 Google SecOps 环境。
设备来电时,会生成检测 与规则中定义的条件匹配的安全数据。用户只能看到 检测是否源自与其分配范围关联的规则。对于 例如,具有财务数据范围的安全分析师仅看到 由分配给财务数据范围的规则生成,不会看到 检测出所有其他规则
用户可以对检测执行的操作(例如,标记检测 也将被限制在检测发生的范围内。
精选检测
检测由安全团队创建的自定义规则触发 而精选检测则是由 Google Cloud 威胁防护提供的规则触发的, 情报 (GCTI) 团队。作为精选检测的一部分,GCTI 提供和管理一组 YARA-L 规则,以帮助您识别常见的 Google SecOps 环境下的安全防护机制。有关 相关信息,请参阅使用精选检测来识别威胁。
精选检测不支持数据 RBAC。仅限具有全局范围的用户 可以访问精选检测。
参考列表
参考列表是用于匹配和 在 UDM 搜索和检测规则中过滤数据。将范围分配给 参考列表(范围列表)只对特定用户开放,并且 例如规则和 UDM 搜索未指定范围的参考文件列表 称为未限定范围的列表
参考列表中用户的访问权限
与参考列表关联的范围决定了全局用户和范围用户与其交互的方式。访问权限包括 如下表所示:
| 操作 | 全局用户 | 分区用户 |
|---|---|---|
| 可以创建范围限定的列表 | 是 | 是(范围与其已分配的范围相符,或者属于其已分配范围的子集)
例如,范围为 A 和 B 且限定了范围的用户可以创建范围为 A 或范围 A 和 B 的参考列表,但不能创建范围为 A、B 和 C 的参考列表。 |
| 可以创建未限定范围的列表 | 是 | 否 |
| 可以更新范围列表 | 是 | 是(范围与其已分配的范围相符,或者属于其已分配范围的子集)
例如,范围为 A 和 B 的用户可以修改范围为 A 或范围 A 和 B 的参考列表,但不能修改范围为 A、B 和 C 的参考列表。 |
| 可以更新未限定范围的列表 | 是 | 否 |
| 可以将范围列表更新为未限定的范围 | 是 | 否 |
| 可以查看和使用范围列表 | 是 | 是(如果用户和参考列表之间至少有一个匹配范围)
例如,范围 A 和范围 B 的用户可以使用范围 A 和范围 B 的参考列表,但不能使用范围 C 和 D 的参考列表。 |
| 可以查看和使用未限定范围的列表 | 是 | 是 |
| 可以使用未限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是 |
| 可以使用限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是(如果用户和参考列表之间至少有一个匹配范围)
例如,范围 A 的用户可以使用范围 A、B 和 C 的参考列表运行 UDM 搜索查询,但不能使用范围 B 和 C 的参考列表来运行 UDM 搜索查询。 |
参考列表中规则的访问权限
如果至少有一个匹配范围,限定了范围的规则可以使用参考文件列表 规则和参考列表之间的内容例如,范围为 A 的规则可以 使用范围为 A、B 和 C 的参考列表,但不要使用范围为 C 的参考列表 范围 B 和 C。
全局范围的规则可以使用任何参考列表。
供稿和转发器
数据 RBAC 不会直接影响 Feed 和转发器的执行。不过, 用户可以在配置过程中为其分配默认标签(日志类型、 命名空间或注入标签)应用于传入的数据。然后应用数据 RBAC 使用加标签的数据的特征。
Looker 信息中心
Looker 信息中心不支持数据 RBAC。Looker 访问权限 信息中心由功能 RBAC 控制。
Applied Threat Intelligence (ATI) 和 IOC 匹配项
IOC 和 ATI 数据是表明 环境中的潜在安全威胁
ATI 精选检测由 高级威胁情报 (ATI) 团队。这些规则使用 Mandiant 威胁 主动识别高优先级威胁的情报。有关 信息,请参阅 Applied Threat Intelligence 概览。
数据 RBAC 不限制对 IOC 匹配项和 ATI 数据的访问,但这些匹配项 系统会根据用户的指定范围进行过滤用户只能看到匹配项 与其内部资产相关联的 IOC 和 ATI 数据 范围。
用户和实体行为分析 (UEBA)
Risk Analytics for UEBA 类别提供了预构建的规则集, 潜在的安全威胁这些规则集使用机器学习技术主动 来触发检测。 如需了解详情,请参阅 UEBA 类别风险分析概览。
UEBA 不支持数据 RBAC。仅限具有全局范围的用户 可以访问 UEBA 类别的风险分析数据。
Google SecOps 中的实体详细信息
以下描述资产或用户的字段出现在多个页面上 Google SecOps 中的“实体上下文”面板,例如 UDM 搜索中的实体上下文面板。 使用数据 RBAC 后,只有具有以下角色的用户才可以使用这些字段: 全局范围。
- 首次出现时间
- 上次出现时间
- 普及率
符合以下条件时,限定了范围的用户可以查看有关用户和资源首次出现和最后一次看到的数据 “首次出现”和“最后一次出现”基于用户所在地理位置中的数据 范围。