Impacto de la RBAC de datos en las funciones de Google SecOps
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos según los roles individuales de los usuarios dentro de una organización. Después de configurar el RBAC de datos en un entorno, comenzarás a ver datos filtrados en las funciones de Operaciones de seguridad de Google. El RBAC de datos controla el acceso de los usuarios según sus permisos asignados y garantiza que los usuarios solo puedan acceder a la información autorizada. En esta página, se proporciona una descripción general de cómo el RBAC de datos afecta a cada función de SecOps de Google.
Para comprender cómo funciona el RBAC de datos, consulta Descripción general del RBAC de datos.
Buscar
Los datos que se muestran en los resultados de la búsqueda se basan en los permisos de acceso a los datos del usuario. Los usuarios solo pueden ver los resultados de los datos que coinciden con los permisos que se les asignaron. Si los usuarios tienen más de un permiso asignado, la búsqueda se ejecuta en los datos combinados de todos los permisos autorizados. Los datos que pertenecen a permisos a los que el usuario no tiene acceso no aparecen en los resultados de la búsqueda.
Reglas
Las reglas son mecanismos de detección que analizan los datos transferidos y ayudan a identificar posibles amenazas de seguridad. Puedes ver y administrar las reglas vinculadas a un alcance de datos al que tienes acceso.
Una regla puede ser global (a la que pueden acceder todos los usuarios) o estar vinculada a un solo alcance. La regla opera en los datos que coinciden con la definición del alcance. No se consideran los datos fuera del alcance.
La generación de alertas también se limita a los eventos que coinciden con el alcance de la regla. Las reglas que no están vinculadas a ningún alcance se ejecutan en el alcance global y se aplican a todos los datos. Cuando se habilita la RBAC de datos en una instancia, todas las reglas existentes se convierten automáticamente en reglas de alcance global.
El alcance asociado con una regla determina cómo los usuarios globales y centrados pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario con permiso |
|---|---|---|
| Puede ver reglas centradas | Sí | Sí (solo si el alcance de la regla está dentro de los permisos asignados al usuario)
Por ejemplo, un usuario con los permisos A y B puede ver una regla con el permiso A, pero no una regla con el permiso C. |
| Puede ver las reglas globales | Sí | No |
| Puede crear y actualizar reglas centradas | Sí | Sí (solo si el alcance de la regla está dentro de los permisos asignados al usuario)
Por ejemplo, un usuario con los permisos A y B puede crear una regla con el permiso A, pero no una regla con el permiso C. |
| Puede crear y actualizar reglas globales | Sí | No |
Detecciones
Las detecciones son alertas que indican posibles amenazas de seguridad. Las detecciones se activan con reglas personalizadas que crea tu equipo de seguridad para tu entorno de Google SecOps.
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con sus permisos asignados. Por ejemplo, un analista de seguridad con el permiso de acceso a datos financieros solo ve las detecciones generadas por las reglas asignadas a ese permiso, y no ve las detecciones de ninguna otra regla.
Las acciones que un usuario puede realizar en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al alcance en el que se produjo la detección.
Detecciones seleccionadas
Las detecciones se activan con reglas personalizadas que crea tu equipo de seguridad, mientras que las detecciones seleccionadas se activan con reglas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas de YARA-L para ayudarte a identificar amenazas de seguridad comunes en tu entorno de Google SecOps. Para obtener más información, consulta Cómo usar detecciones seleccionadas para identificar amenazas.
Las detecciones seleccionadas no admiten el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las detecciones seleccionadas.
Listas de referencia
Las listas de referencia son colecciones de valores que se usan para hacer coincidir yfiltrar datos en las reglas de detección y búsqueda de la AUA. Asignar alcances a una lista de referencia (lista con alcance) restringe su acceso a usuarios y recursos específicos, como reglas y búsqueda de la AUA. Una lista de referencias que no tiene un alcance asignado se denomina lista sin alcance.
Permisos de acceso para los usuarios en las listas de referencia
Los permisos asociados con una lista de referencias determinan cómo los usuarios globales y con permisos pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario con permiso |
|---|---|---|
| Puede crear una lista centrada | Sí | Sí (con alcances que coinciden con sus alcances asignados o que son un subconjunto de ellos)
Por ejemplo, un usuario con permisos limitados con los permisos A y B puede crear una lista de referencia con el permiso A o con los permisos A y B, pero no con los permisos A, B y C. |
| Puede crear una lista sin permisos limitados | Sí | No |
| Se puede actualizar la lista centrada | Sí | Sí (con alcances que coinciden con sus alcances asignados o que son un subconjunto de ellos)
Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencia con el permiso A o con los permisos A y B, pero no una lista de referencia con los permisos A, B y C. |
| Se puede actualizar la lista sin alcance | Sí | No |
| Se puede actualizar la lista con alcance a una sin alcance | Sí | No |
| Puede ver y usar la lista centrada | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con los permisos A y B puede usar una lista de referencias con los permisos A y B, pero no una lista de referencias con los permisos C y D. |
| Puede ver y usar una lista sin alcance. | Sí | Sí |
| Se pueden ejecutar búsquedas de la AUA y consultas de paneles con listas de referencia sin alcance. | Sí | Sí |
| Se pueden ejecutar consultas de búsqueda y de panel de la AUA con listas de referencias centradas | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con el permiso A puede ejecutar consultas de búsqueda de la AUA con listas de referencia con los permisos A, B y C, pero no con listas de referencia con los permisos B y C. |
Permisos de acceso para las reglas en las listas de referencia
Una regla con permiso puede usar una lista de referencia si hay al menos un permiso que coincida entre la regla y la lista de referencia. Por ejemplo, una regla con el permiso A puede usar una lista de referencias con los permisos A, B y C, pero no una lista de referencias con los permisos B y C.
Una regla con alcance global puede usar cualquier lista de referencia.
Feeds y reenvío
La RBAC de datos no afecta directamente la ejecución del feed y del reenviador. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de transferencia) a los datos entrantes. Luego, se aplica la RBAC de datos a las funciones que usan estos datos etiquetados.
Paneles de Looker
Los paneles de Looker no son compatibles con el RBAC de datos. El acceso a los paneles de Looker se controla mediante el RBAC de funciones.
Inteligencia contra amenazas aplicada (ATI) y coincidencias de IOC
Los IOC y los datos de ATI son datos que sugieren una posible amenaza de seguridad en tu entorno.
Las detecciones seleccionadas de ATI se activan con reglas que proporciona el equipo de información sobre amenazas avanzada (ATI). Estas reglas usan la inteligencia de amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad. Para obtener más información, consulta la descripción general de la Inteligencia de amenazas aplicada.
La RBAC de datos no restringe el acceso a las coincidencias de IOC ni a los datos de ATI. Sin embargo, las coincidencias se filtran según los permisos asignados al usuario. Los usuarios solo ven coincidencias para los IOC y los datos de ATI que están asociados con recursos que se encuentran dentro de sus alcances.
Análisis de comportamiento del usuario y la entidad (UEBA)
La categoría Análisis de riesgos para la AUA ofrece conjuntos de reglas precompilados para detectar posibles amenazas de seguridad. Estos conjuntos de reglas usan el aprendizaje automático para activar detecciones de forma proactiva a través del análisis de patrones de comportamiento de usuarios y entidades. Para obtener más información, consulta la Descripción general de la categoría Análisis de riesgos para la AUA.
La AUA no admite la RBAC de datos. Solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo de la categoría de la AUA.
Detalles de las entidades en Google SecOps
Los siguientes campos, que describen un recurso o un usuario, aparecen en varias páginas de Google SecOps, como el panel Contexto de la entidad en la Búsqueda de la AUA. Con el RBAC de datos, los campos solo están disponibles para los usuarios con alcance global.
- First seen
- Visto por última vez
- Prevalencia
Los usuarios con alcance pueden ver los datos de la primera y la última vez que se vieron los usuarios y los recursos si la primera y la última vez que se vieron se calculan a partir de los datos dentro de los alcances asignados al usuario.
¿Qué sigue?
Cómo configurar el RBAC de datos para los usuarios