Impacto de la RBAC de datos en las funciones de Google SecOps

Compatible con:

El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos según los roles individuales de los usuarios dentro de una organización. Después de configurar el RBAC de datos en un entorno, datos filtrados en las funciones de Google Security Operations. Controles de RBAC de datos el acceso de los usuarios de acuerdo con sus permisos asignados y garantiza que solo la información autorizada. En esta página, se proporciona una descripción general de cómo el RBAC de datos afecta a cada función de SecOps de Google.

Para comprender cómo funciona el RBAC de datos, consulta Descripción general del RBAC de datos.

Los datos que se muestran en los resultados de la búsqueda se basan en el acceso a los datos del usuario de los permisos de acceso. Los usuarios solo pueden ver los resultados de los datos que coinciden con los permisos que se les asignaron. Si los usuarios tienen más de un alcance asignado, se ejecuta la búsqueda en los datos combinados de todos los alcances autorizados. Datos que pertenecen a los permisos a los que el usuario no tiene acceso no aparece en los resultados de la búsqueda.

Reglas

Son mecanismos de detección que analizan los datos transferidos y ayudan a identificar posibles amenazas de seguridad. Puedes ver y administrar las reglas vinculadas a un alcance de datos al que tienes acceso.

Una regla puede ser global (accesible para todos los usuarios) o estar vinculada a un solo permiso. La regla opera en los datos que coinciden con la definición del alcance. No se consideran los datos fuera del alcance.

La generación de alertas también se limita a los eventos que coinciden con el alcance de la regla. Reglas que no están vinculados a ningún permiso ejecutado en el permiso global y se aplican a todos de datos no estructurados. Cuando se habilita la RBAC de datos en una instancia, todas las reglas existentes se convierten automáticamente en reglas de alcance global.

El alcance asociado con una regla determina de qué manera los usuarios globales y con alcance para interactuar con él. Los permisos de acceso se resumen en el siguiente tabla:

Acción Usuario global Usuario con permiso
Puede ver reglas con alcance Sí (solo si el alcance de la regla está dentro de los permisos asignados al usuario)

Por ejemplo, un usuario con los permisos A y B puede ver una regla con el alcance A, pero no una regla con el alcance C.

Puede ver las reglas globales No
Puede crear y actualizar reglas centradas Sí (solo si el alcance de la regla está dentro de los alcances asignados por el usuario)

Por ejemplo, un usuario con los permisos A y B puede crear una regla con el permiso A, pero no una regla con el permiso C.

Puede crear y actualizar reglas globales No

Detecciones

Las detecciones son alertas que indican posibles amenazas de seguridad. Las detecciones son activadas por reglas personalizadas, creadas por el equipo de seguridad para tus entorno de Google SecOps.

Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver detecciones que se originan en reglas asociadas a sus alcances asignados. Para ejemplo, un analista de seguridad con el alcance de los datos financieros solo ve detecciones generado por las reglas asignadas al permiso de los datos financieros y no ve detecciones de cualquier otra regla.

Las acciones que un usuario puede realizar en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al alcance en el que ocurrió la detección.

Detecciones seleccionadas

Las detecciones se activan con reglas personalizadas que crea tu equipo de seguridad, mientras que las detecciones seleccionadas se activan con reglas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas de YARA-L para ayudarte a identificar amenazas de seguridad comunes en tu entorno de Google SecOps. Para obtener más información, consulta Cómo usar detecciones seleccionadas para identificar amenazas.

Las detecciones seleccionadas no admiten el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las detecciones seleccionadas.

Listas de referencia

Las listas de referencia son colecciones de valores que se usan para hacer coincidir yfiltrar datos en las reglas de detección y búsqueda de la AUA. La asignación de alcances a un una lista de referencia (lista específica) restringe su acceso a usuarios específicos y como reglas y búsquedas de UDM. Una lista de referencia que no tiene un permiso asignado se denomina lista sin alcance.

Permisos de acceso para usuarios en listas de referencia

Los permisos asociados con una lista de referencias determinan cómo los usuarios globales y con permisos pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:

Acción Usuario global Usuario específico
Puede crear listas específicas Sí (con alcances que coinciden con sus alcances asignados o que son un subconjunto de ellos)

Por ejemplo, el usuario con alcances A y B puede crear una lista de referencias con el alcance A o con los alcances A y B, pero no con los alcances A, B y C.

Puede crear una lista sin alcance No
Puede actualizar la lista específica Sí (con alcances que coincidan con sus alcances asignados o que sean un subconjunto de sus alcances asignados)

Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencias con el permiso A o con los permisos A y B, pero no una lista de referencias con los permisos A, B y C.

Se puede actualizar la lista sin alcance No
Puede actualizar una lista delimitada a una sin alcance No
Puede ver y usar la lista centrada Sí (si hay al menos un alcance que coincide entre el usuario y la lista de referencia)

Por ejemplo, un usuario con los alcances A y B puede usar una lista de referencia con los alcances A y B, pero no una lista de referencia con los alcances C y D.

Puede ver y usar listas sin alcance
Puede ejecutar búsquedas de UDM y del panel con listas de referencia sin alcance
Puede ejecutar búsquedas de UDM y de paneles con listas de referencia específicas. Sí (si hay al menos un alcance coincidente entre el usuario y la lista de referencia)

Por ejemplo, un usuario con el permiso A puede ejecutar consultas de búsqueda de la AUA con listas de referencia con los permisos A, B y C, pero no con listas de referencia con los permisos B y C.

Permisos de acceso para reglas en listas de referencia

Una regla con permiso puede usar una lista de referencia si hay al menos un permiso que coincida entre la regla y la lista de referencia. Por ejemplo, una regla con el permiso A puede usar una lista de referencias con los permisos A, B y C, pero no una lista de referencias con los permisos B y C.

Una regla con alcance global puede usar cualquier lista de referencia.

Feeds y reenvío

El RBAC de datos no afecta directamente la ejecución del reenviador y del feed. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de transferencia) a los datos entrantes. Luego, se aplica la RBAC de datos a las funciones que usan estos datos etiquetados.

Paneles de Looker

Los paneles de Looker no son compatibles con el RBAC de datos. Acceso a Looker y paneles de control se controla con el RBAC de funciones.

Coincidencias de información sobre amenazas aplicadas (ATI) y de IOC

Los datos de IOC y ATI son piezas de información que sugieren de una posible amenaza de seguridad en tu entorno.

Las detecciones seleccionadas de ATI se activan mediante reglas proporcionadas por el Equipo de información sobre amenazas avanzadas (Advanced Threat Intelligence, ATI). Estas reglas usan la inteligencia de amenazas de Mandiant para identificar de forma proactiva amenazas de alta prioridad. Para obtener más información, consulta la descripción general de la Inteligencia de amenazas aplicada.

El RBAC de datos no restringe el acceso a las coincidencias de IOC y ATI, pero se filtran según los permisos asignados al usuario. Los usuarios solo ven las coincidencias para los datos de IOC y ATI asociados con recursos que se encuentran dentro de de los permisos de acceso.

Análisis de comportamiento del usuario y la entidad (User and Entity Behavior Analytics, UEBA)

La categoría Análisis de riesgos para la AUA ofrece conjuntos de reglas precompiladas para detectar posibles amenazas de seguridad. Estos conjuntos de reglas usan el aprendizaje automático para activar detecciones de forma proactiva a través del análisis de patrones de comportamiento de usuarios y entidades. Para obtener más información, consulta la Descripción general de la categoría Análisis de riesgos para la AUA.

La AUA no admite la RBAC de datos. Solo los usuarios con alcance global pueden acceder a las estadísticas de riesgos para la categoría UEBA.

Detalles de las entidades en Google SecOps

Los siguientes campos, que describen un recurso o un usuario, aparecen en varias páginas. en Google SecOps, como el panel Entity Context en UDM Search. Con el RBAC de datos, los campos están disponibles solo para los usuarios con alcance global.

  • First seen
  • Visto por última vez
  • Prevalencia

Los usuarios con permisos pueden ver los datos de los recursos y del usuario y los recursos que se vieron por primera y última vez si el primer y el último caso se calculan a partir de datos dentro del rango de los permisos de acceso.

¿Qué sigue?

Configura el RBAC de datos para los usuarios