Auswirkungen der RBAC für Daten auf Google SecOps-Funktionen
Die rollenbasierte Zugriffssteuerung für Daten (data RBAC) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Organisation einschränkt. Nachdem die RBAC für Daten in einer Umgebung konfiguriert wurde, werden in den Google Security Operations-Funktionen gefilterte Daten angezeigt. RBAC-Einstellungen für Daten Nutzerzugriff entsprechend den zugewiesenen Bereichen und stellt sicher, dass Nutzer auf ausschließlich autorisierte Informationen. Auf dieser Seite erhalten Sie einen Überblick darüber, wie sich die datenbasierte RBAC auf die einzelnen Google SecOps-Funktionen auswirkt.
Weitere Informationen zur Funktionsweise der RBAC für Daten finden Sie unter RBAC für Daten.
Suchen
Welche Daten in den Suchergebnissen zurückgegeben werden, hängt vom Datenzugriff des Nutzers ab. Bereiche. Nutzer können nur Ergebnisse für Daten sehen, die mit den zugewiesenen Bereichen übereinstimmen an sie weiterzugeben. Wenn Nutzern mehrere Bereiche zugewiesen sind, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören auf die der Nutzer keinen Zugriff hat, erscheint nicht in den Suchergebnissen.
Regeln
Regeln sind Erkennungsmechanismen, die die aufgenommenen Daten analysieren und dabei helfen, potenzielle Sicherheitsbedrohungen. Sie können Regeln aufrufen und verwalten, die an einen Datenumfang gebunden sind, auf den Sie Zugriff haben.
Eine Regel kann entweder global (für alle Nutzer zugänglich) oder an einen einzelnen Bereich gebunden sein. Die Regel wird auf Daten angewendet, die der Definition des Umfangs entsprechen. Daten außerhalb von wird der Umfang nicht berücksichtigt.
Außerdem sind Benachrichtigungen auf Ereignisse beschränkt, die dem Geltungsbereich der Regel entsprechen. Regeln die nicht an einen im globalen Gültigkeitsbereich gebundenen Bereich gebunden sind und auf alle Daten. Wenn die RBAC für Daten in einer Instanz aktiviert ist, werden alle vorhandenen Regeln automatisch in Regeln mit globalem Gültigkeitsbereich umgewandelt.
Der Umfang, der mit einer Regel verknüpft ist, bestimmt, wie globale und eingeschränkte Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Kann Regeln mit Gültigkeitsbereich ansehen | Ja | Ja (nur wenn der Geltungsbereich der Regel in den zugewiesenen Bereichen des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit dem Bereich A sehen, aber keine Regel mit dem Bereich C. |
| Kann globale Regeln ansehen | Ja | Nein |
| Kann auf einen Bereich reduzierte Regeln erstellen und aktualisieren | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
So kann beispielsweise ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A erstellen, aber keine Regel mit Bereich C. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen sind Diese werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihr Google SecOps-Umgebung
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind. Ein Sicherheitsanalyst mit dem Datenumfang „Finanzdaten“ sieht beispielsweise nur Erkennungen, die von Regeln generiert wurden, die dem Datenumfang „Finanzdaten“ zugewiesen sind. Erkennungen von anderen Regeln werden nicht angezeigt.
Die Aktionen, die ein Nutzer bei einer Erkennung ausführen kann (z. B. eine Erkennung als behoben markieren), sind ebenfalls auf den Umfang beschränkt, in dem die Erkennung stattgefunden hat.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden. Ausgewählte Erkennungen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet diese, damit Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung erkennen können. Weitere Informationen finden Sie unter Mit ausgewählten Erkennungen Bedrohungen identifizieren.
Ausgewählte Erkennungen unterstützen keine RBAC für Daten. Nur Nutzer mit globalem Geltungsbereich auf ausgewählte Erkennungsmechanismen zugreifen.
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in UDM-Such- und -Erkennungsregeln verwendet werden. Das Zuweisen von Bereichen zu einem schränkt die Referenzliste (Bereichsliste) den Zugriff auf bestimmte Nutzer und wie Regeln und UDM-Suche. Eine Referenzliste, der kein Bereich zugewiesen ist, wird als Liste ohne Bereich bezeichnet.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die mit einer Referenzliste verknüpften Bereiche bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Kann Listen mit begrenztem Zugriff erstellen | Ja | Ja (mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind)
Beispielsweise kann ein Nutzer mit einem Umfang mit den Bereichen A und B eine Referenzliste mit den Bereichen A oder den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Listen ohne Einschränkung erstellen | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste aktualisieren | Ja | Ja (mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit dem Bereich A oder mit den Bereichen A und B ändern, aber keine Referenzliste mit den Bereichen A, B und C. |
| Liste ohne Bereich kann aktualisiert werden | Ja | Nein |
| Kann eine auf einen Bereich reduzierte Liste auf eine nicht beschränkte Liste aktualisieren | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste ansehen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber keine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Geltungsbereich ansehen und verwenden | Ja | Ja |
| UDM-Suchanfragen und Dashboard-Abfragen mit Referenzlisten ohne Bereich können ausgeführt werden | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit Bereichsreferenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten mit den Bereichen B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Eine Bereichsregel kann eine Referenzliste verwenden, wenn es mindestens einen übereinstimmenden Bereich gibt zwischen der Regel und der Referenzliste. Für eine Regel mit dem Gültigkeitsbereich „A“ kann beispielsweise eine Referenzliste mit den Gültigkeitsbereichen „A“, „B“ und „C“ verwendet werden, aber keine Referenzliste mit den Gültigkeitsbereichen „B“ und „C“.
Für eine Regel mit globalem Geltungsbereich kann jede beliebige Referenzliste verwendet werden.
Feeds und Weiterleitungen
RBAC wirkt sich nicht direkt auf die Ausführung des Feeds und des Forwarders aus. Bei der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Protokolltyp, Namespace oder Aufnahmelabels) zuweisen. Die RBAC für Daten wird dann auf Funktionen angewendet, die diese mit Labels versehenen Daten verwenden.
Looker-Dashboards
Looker-Dashboards unterstützen keine Daten-RBAC. Zugriff auf Looker wird durch Feature-RBAC gesteuert.
Übereinstimmungen mit Applied Threat Intelligence (ATI) und IOC
IOCs und ATI-Daten sind Informationen, die auf eine potenzielle Sicherheitsbedrohung in Ihrer Umgebung hinweisen.
Von ATI ausgewählte Erkennungen werden durch Regeln ausgelöst, die vom ATI-Team (Advanced Threat Intelligence) bereitgestellt werden. Bei diesen Regeln werden Mandiant-Bedrohungsinformationen verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
Die Data RBAC schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden jedoch anhand der zugewiesenen Bereiche des Nutzers gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, Bereiche.
Nutzer- und Entitätsverhaltensanalysen (UEBA)
Die Kategorie "Risikoanalyse für UEBA" bietet vordefinierte Regelsätze, potenzielle Sicherheitsbedrohungen. Diese Regelsätze nutzen maschinelles Lernen, um durch die Analyse von Verhaltensmustern von Nutzern und Entitäten die Erkennung auslösen. Weitere Informationen finden Sie unter Übersicht über die Risikoanalyse für die Kategorie „UEBA“.
UEBA unterstützt keine RBAC für Daten. Nur Nutzer mit globaler Zuständigkeit können auf die Risikoanalysen für die Kategorie „UEBA“ zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, sind auf mehreren Seiten in Google SecOps zu sehen, z. B. im Bereich Entity Context (Entitätskontext) in der UDM-Suche. Mit Daten-RBAC sind die Felder nur für Nutzer verfügbar, die globalen Geltungsbereich zu finden.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer mit Berechtigungen können die Daten zum ersten und letzten Aufruf von Nutzern und Assets aufrufen, wenn diese Daten aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.
Nächste Schritte
RBAC für Daten für Nutzer konfigurieren