Auswirkungen von RBAC für Daten auf Google SecOps-Features
Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen in einer Organisation einschränkt. Nachdem die RBAC für Daten in einer Umgebung konfiguriert wurde, werden gefilterte Daten in Google Security Operations-Features angezeigt. Data RBAC steuert den Nutzerzugriff gemäß den zugewiesenen Bereichen und stellt sicher, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite erhalten Sie einen Überblick darüber, wie sich RBAC für Daten auf die einzelnen Google SecOps-Features auswirkt.
Informationen zur Funktionsweise von Daten-RBAC finden Sie unter Daten-RBAC – Übersicht.
Suchen
Welche Daten in den Suchergebnissen zurückgegeben werden, hängt von den Datenzugriffsbereichen des Nutzers ab. Nutzer können nur Ergebnisse für Daten sehen, die mit den Bereichen übereinstimmen, die ihnen zugewiesen sind. Wenn Nutzern mehr als ein Bereich zugewiesen ist, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören, auf die der Nutzer keinen Zugriff hat, werden nicht in den Suchergebnissen angezeigt.
Regeln
Regeln sind Erkennungsmechanismen, die die aufgenommenen Daten analysieren und potenzielle Sicherheitsbedrohungen identifizieren. Sie können Regeln aufrufen und verwalten, die an einen Datenbereich gebunden sind, auf den Sie Zugriff haben.
Eine Regel kann entweder global (für alle Nutzer zugänglich) oder an einen einzelnen Bereich gebunden sein. Die Regel wird auf Daten angewendet, die der Definition des Umfangs entsprechen. Daten außerhalb des Umfangs werden nicht berücksichtigt.
Außerdem sind Benachrichtigungen auf Ereignisse beschränkt, die dem Geltungsbereich der Regel entsprechen. Regeln, die an keinen Bereich gebunden sind, werden global ausgeführt und auf alle Daten angewendet. Wenn RBAC für Daten auf einer Instanz aktiviert ist, werden alle vorhandenen Regeln automatisch in globale Regeln umgewandelt.
Der mit einer Regel verknüpfte Bereich bestimmt, wie globale und bereichsspezifische Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Vorgang | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Darf auf einen Bereich reduzierte Regeln ansehen | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A sehen, aber keine Regel mit Bereich C. |
| Kann globale Regeln ansehen | Ja | Nein |
| Kann auf einen Bereich reduzierte Regeln erstellen und aktualisieren | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
So kann beispielsweise ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A erstellen, aber keine Regel mit Bereich C. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind. Beispielsweise sieht ein Sicherheitsanalyst mit dem Bereich „Finanzdaten“ nur Erkennungen, die von Regeln generiert werden, die dem Bereich „Finanzdaten“ zugewiesen sind, und keine Erkennungen von anderen Regeln.
Die Aktionen, die ein Nutzer bei einer Erkennung ausführen kann, z. B. eine Erkennung als erledigt markieren, sind ebenfalls auf den Umfang beschränkt, in dem die Erkennung erfolgt ist.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden. Ausgewählte Erkennungen hingegen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der ausgewählten Erkennungsmechanismen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, mit denen Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung identifizieren können. Weitere Informationen finden Sie unter Ausgewählte Erkennungen zum Erkennen von Bedrohungen verwenden.
Ausgewählte Erkennungen unterstützen keine RBAC für Daten. Nur Nutzer mit globalem Geltungsbereich können auf ausgewählte Erkennungen zugreifen.
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in UDM-Such- und -Erkennungsregeln verwendet werden. Wenn Sie einer Referenzliste (Bereichsliste) Bereiche zuweisen, wird deren Zugriff auf bestimmte Nutzer und Ressourcen wie Regeln und die UDM-Suche beschränkt. Eine Referenzliste, der kein Bereich zugewiesen ist, wird als Liste ohne Bereich bezeichnet.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die mit einer Referenzliste verknüpften Bereiche bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Vorgang | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Kann auf einen Bereich reduzierte Liste erstellen | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Beispielsweise kann ein Nutzer mit einem Umfang mit den Bereichen A und B eine Referenzliste mit Bereich A oder den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Darf eine Liste ohne Geltungsbereich erstellen | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste aktualisieren | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Referenzliste mit den Bereichen A oder den Bereichen A und B ändern, aber nicht an einer Referenzliste mit den Bereichen A, B und C. |
| Darf Liste ohne Geltungsbereich aktualisieren | Ja | Nein |
| Kann eine auf einen Bereich reduzierte Liste auf eine nicht beschränkte Liste aktualisieren | Ja | Nein |
| Kann auf einen Bereich reduzierte Liste aufrufen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber keine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Umfang aufrufen und verwenden | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit nicht bereichsbezogenen Referenzlisten ausführen | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit Bereichsreferenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten der Bereiche B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Eine Bereichsregel kann eine Referenzliste verwenden, wenn zwischen der Regel und der Referenzliste mindestens ein übereinstimmender Bereich vorhanden ist. Eine Regel mit Bereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C verwenden, aber keine Referenzliste mit den Bereichen B und C.
Für eine Regel mit globalem Geltungsbereich kann jede beliebige Referenzliste verwendet werden.
Feeds und Weiterleitungen
RBAC wirkt sich nicht direkt auf die Ausführung des Feeds und des Forwarders aus. Während der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Logtyp, Namespace oder Aufnahmelabels) zuweisen. Data RBAC wird dann auf Features angewendet, die diese mit Labels versehenen Daten verwenden.
Looker-Dashboards
Looker-Dashboards unterstützen keine Daten-RBAC. Der Zugriff auf Looker-Dashboards wird durch Feature-RBAC gesteuert.
Übereinstimmungen mit Applied Threat Intelligence (ATI) und IOC
IOCs und ATI-Daten sind Informationen, die auf eine potenzielle Sicherheitsbedrohung in Ihrer Umgebung hindeuten.
Die von ATI ausgewählten Erkennungen werden durch Regeln ausgelöst, die vom Advanced Threat Intelligence-Team (ATI) bereitgestellt werden. Diese Regeln nutzen die Bedrohungsinformationen von Mandiant, um Bedrohungen mit hoher Priorität proaktiv zu identifizieren. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
RBAC für Daten schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden jedoch anhand der dem Nutzer zugewiesenen Bereiche gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, die in ihren Geltungsbereich fallen.
Nutzer- und Entitätsverhaltensanalyse (UEBA)
Die Kategorie „Risikoanalysen für UEBA“ bietet vordefinierte Regelsätze, um potenzielle Sicherheitsbedrohungen zu erkennen. Diese Regelsätze verwenden maschinelles Lernen, um durch die Analyse von Verhaltensmustern von Nutzern und Entitäten proaktiv Erkennungen auszulösen. Weitere Informationen finden Sie in der Übersicht über die Risikoanalyse für die UEBA-Kategorie.
UEBA unterstützt kein Daten-RBAC. Nur Nutzer mit globalem Geltungsbereich können auf die Risikoanalysen für die UEBA-Kategorie zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, werden in Google SecOps auf mehreren Seiten angezeigt, z. B. im Bereich Entitätskontext in der UDM-Suche. Mit der RBAC für Daten sind die Felder nur für Nutzer mit globalem Geltungsbereich verfügbar.
- Zuerst aufgetreten
- Zuletzt erfasst
- Verbreitung
Nutzer mit einem bestimmten Geltungsbereich können die zuerst und zuletzt erfassten Daten von Nutzern und Assets sehen, wenn die zuerst und zuletzt erfassten Daten aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.
Nächste Schritte
RBAC für Daten für Nutzer konfigurieren