Impact du RBAC des données sur les fonctionnalités Google SecOps
Le contrôle des accès basé sur les rôles aux données (RBAC aux données) est un modèle de sécurité qui limite un accès utilisateur aux données en fonction des rôles utilisateur organisation. Une fois le RBAC des données configuré dans un environnement, vous commencez à voir des données filtrées dans les fonctionnalités Google Security Operations. Commandes RBAC des données l'accès utilisateur selon les niveaux d'accès qui lui sont attribués et garantit que les utilisateurs peuvent accéder que les informations autorisées. Cette page explique comment le RBAC des données a un impact sur chaque fonctionnalité Google SecOps.
Pour comprendre le fonctionnement du RBAC des données, consultez la page Présentation du RBAC des données.
Recherche
Les données affichées dans les résultats de recherche dépendent de l'accès de l'utilisateur aux données. des niveaux d'accès. Les utilisateurs ne peuvent voir que les résultats à partir des données correspondant aux champs d'application attribués pour eux. Si plusieurs champs d'application ont été attribués aux utilisateurs, la recherche est exécutée. sur les données combinées de tous les champs d'application autorisés. Données appartenant aux champs d'application auquel l'utilisateur n'a pas accès n'apparaît pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et identifient les menaces de sécurité potentielles. Vous pouvez afficher et gérer les règles liées à auquel vous avez accès.
Une règle peut être globale (accessible par tous les utilisateurs) ou liée à un seul champ d'application. La règle agit sur les données qui correspondent à la définition du champ d'application. Données externes la portée n’est pas prise en compte.
La génération d'alertes est également limitée aux événements qui correspondent au champ d'application de la règle. Règles qui ne sont liés à aucun champ d'application exécuté dans le champ d'application global et qui s'appliquent à tous données. Lorsque le contrôle des données RBAC est activé sur une instance, toutes les règles existantes sont automatiquement en règles de champ d'application global.
Le champ d'application associé à une règle détermine la manière dont les utilisateurs mondiaux et limités peut interagir avec elle. Les autorisations d'accès sont résumées dans la section tableau suivant:
| Action | Utilisateur dans le monde | Utilisateur concerné |
|---|---|---|
| Peut consulter les règles appliquées | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des champs d'application A et B peut voir une règle du champ d'application A, mais pas une règle du champ d'application C. |
| Peut afficher les règles globales | Oui | Non |
| Peut créer et mettre à jour des règles de champ d'application | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des champs d'application A et B peut créer une règle avec le champ d'application A, mais pas une règle avec le champ d'application C. |
| Peut créer et mettre à jour des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées, créées par votre équipe de sécurité Environnement Google SecOps.
Les détections sont générées à la réception les données de sécurité correspondent aux critères définis dans une règle. Les utilisateurs peuvent uniquement voir qui proviennent de règles associées aux champs d'application qui leur sont attribués. Pour Par exemple, un analyste de sécurité dont le champ d'application est des données financières ne voit que les détections générées par les règles affectées au champ d'application des données financières, et ne voit pas des détections de toute autre règle.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, marquer une détection comme résolu) sont également limitées à la portée de la détection.
Détections sélectionnées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité tandis que les détections organisées sont déclenchées par les règles fournies par Google Cloud Intelligence (GCTI). Dans le cadre des détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les problèmes courants dans votre environnement Google SecOps. Pour plus pour plus d'informations, consultez Identifier les menaces à l'aide de détections sélectionnées.
Les détections sélectionnées ne sont pas compatibles avec le contrôle des accès basé sur les données (RBAC). Uniquement les utilisateurs ayant un champ d'application global peuvent accéder à des détections sélectionnées.
Listes de référence
Les listes de référence sont des collections de valeurs utilisées pour la mise en correspondance le filtrage des données dans les règles de détection et de recherche UDM. L'attribution de champs d'application de référence (liste limitée) restreint son accès à des utilisateurs et telles que les règles et la recherche UDM. Une liste de référence à laquelle aucun champ d'application n'a été attribué est appelée liste sans champ d’application.
Autorisations d'accès attribuées aux utilisateurs des listes de référence
Les champs d'application associés à une liste de référence déterminent la manière dont les utilisateurs au niveau global et limité peuvent interagir avec elle. Les autorisations d'accès sont résumés dans le tableau suivant:
| Action | Utilisateur dans le monde | Utilisateur concerné |
|---|---|---|
| Peut créer une liste limitée | Oui | Oui (avec les habilitations qui correspondent aux habilitations attribuées ou un sous-ensemble de ces habilitations)
Par exemple, un utilisateur dont le champ d'application est défini sur les champs d'application A et B peut créer une liste de référence avec les champs d'application A ou A et B, mais pas avec les champs d'application A, B et C. |
| Peut créer une liste sans champ d'application | Oui | Non |
| Peut mettre à jour la liste délimitée | Oui | Oui (avec les habilitations qui correspondent aux habilitations attribuées ou un sous-ensemble de ces habilitations)
Par exemple, un utilisateur disposant des champs d'application A et B peut modifier une liste de référence associée aux champs d'application A ou A et B, mais pas à une liste de référence associée aux champs d'application A, B et C. |
| Peut mettre à jour la liste sans champ d'application | Oui | Non |
| Possibilité de passer d'une liste limitée à une liste sans champ d'application | Oui | Non |
| Peut afficher et utiliser la liste délimitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des champs d'application A et B peut utiliser une liste de référence avec les champs d'application A et B, mais pas une liste de référence avec les champs d'application C et D. |
| Peut afficher et utiliser la liste sans champ d'application | Oui | Oui |
| Peut exécuter des recherches UDM et des requêtes de tableau de bord avec des listes de référence sans champ d'application | Oui | Oui |
| Peut exécuter des requêtes de recherche UDM et de tableau de bord avec des listes de référence délimitées | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur ayant le champ d'application A peut exécuter des requêtes de recherche UDM avec des listes de référence associées aux champs d'application A, B et C, mais pas avec des listes de référence associées aux champs d'application B et C. |
Autorisations d'accès pour les règles des listes de référence
Une règle délimitée peut utiliser une liste de référence s'il existe au moins un champ d'application correspondant entre la règle et la liste de référence. Par exemple, une règle ayant le champ d'application A peut utiliser une liste de référence avec les champs d'application A, B et C, mais pas une liste de référence avec les champs d'application B et C.
Une règle ayant un champ d'application global peut utiliser n'importe quelle liste de référence.
Flux et redirecteurs
Le contrôle des accès basé sur les données (RBAC) n'affecte pas directement l'exécution du flux et du redirecteur. Toutefois, pendant la configuration, les utilisateurs peuvent attribuer les étiquettes par défaut (type de journal, ou étiquettes d'ingestion) aux données entrantes. Le contrôle des données RBAC est ensuite appliqué aux caractéristiques utilisant ces données étiquetées.
Tableaux de bord Looker
Les tableaux de bord Looker ne sont pas compatibles avec le contrôle des accès basé sur les données (RBAC). Accès à Looker est contrôlé par la fonctionnalité RBAC.
Correspondances entre Applied Threat Intelligence (ATI) et IOC
Les données IOC et ATI sont des éléments d'information qui suggèrent une menace de sécurité potentielle dans votre environnement.
Les détections sélectionnées avec ATI sont déclenchées par des règles fournies par l’équipe ATI (Advanced Threat Intelligence). Ces règles s'appuient sur les stratégies la Threat Intelligence pour identifier de manière proactive les menaces prioritaires. Pour plus consultez la page Présentation d'Applied Threat Intelligence.
Le contrôle des données RBAC ne limite pas l'accès aux correspondances IOC et aux données ATI, mais les correspondances sont filtrés selon les niveaux d'accès attribués à l'utilisateur. Les utilisateurs ne voient que les correspondances pour les données IOC et ATI associées à des ressources comprises dans des niveaux d'accès.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour l'UEBA" propose des jeux de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning déclencher la détection en analysant des modèles de comportement des utilisateurs et des entités. Pour en savoir plus, consultez Présentation de l'analyse des risques pour la catégorie UEBA.
L'UEBA n'est pas compatible avec le contrôle des accès basé sur les données (RBAC). Uniquement les utilisateurs ayant un champ d'application global peut accéder à l'analyse des risques pour la catégorie UEBA.
Détails de l'entité dans Google SecOps
Les champs suivants, qui décrivent un élément ou un utilisateur, apparaissent sur plusieurs pages dans Google SecOps, comme le panneau Contexte de l'entité dans la recherche UDM. Avec le contrôle des accès basé sur les données (RBAC), les champs ne sont disponibles que pour les utilisateurs ayant champ d'application global.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs délimités peuvent afficher les données de première et de dernière vue des utilisateurs et des éléments si : la première et la dernière occurrence sont calculées à partir des données de la plage de dates des niveaux d'accès.
Étape suivante
Configurer le contrôle des accès basé sur les données pour les utilisateurs