Dampak RBAC data pada fitur Google SecOps
Kontrol akses berbasis peran data (RBAC data) adalah model keamanan yang membatasi akses pengguna ke data berdasarkan peran pengguna individual dalam organisasi. Setelah RBAC data dikonfigurasi di lingkungan, Anda akan mulai melihat data yang difilter di fitur Google Security Operations. RBAC data mengontrol akses pengguna sesuai dengan cakupan yang ditetapkan dan memastikan bahwa pengguna hanya dapat mengakses informasi yang diotorisasi. Halaman ini memberikan ringkasan tentang pengaruh RBAC data terhadap setiap fitur Google SecOps.
Untuk memahami cara kerja RBAC data, lihat Ringkasan RBAC Data.
Telusuri
Data yang ditampilkan dalam hasil penelusuran didasarkan pada cakupan akses data pengguna. Pengguna hanya dapat melihat hasil dari data yang cocok dengan cakupan yang ditetapkan kepada mereka. Jika pengguna memiliki lebih dari satu cakupan yang ditetapkan, penelusuran akan dijalankan di seluruh data gabungan dari semua cakupan yang diotorisasi. Data yang termasuk dalam cakupan yang tidak dapat diakses oleh pengguna tidak akan muncul di hasil penelusuran.
Aturan
Aturan adalah mekanisme deteksi yang menganalisis data yang diserap dan membantu mengidentifikasi potensi ancaman keamanan. Anda dapat melihat dan mengelola aturan yang terikat dengan cakupan data yang dapat Anda akses.
Aturan dapat bersifat global (dapat diakses oleh semua pengguna) atau terikat ke satu cakupan. Aturan beroperasi pada data yang cocok dengan definisi cakupan. Data di luar cakupan tidak dipertimbangkan.
Pembuatan pemberitahuan juga dibatasi untuk peristiwa yang cocok dengan cakupan aturan. Aturan yang tidak terikat dengan cakupan apa pun akan berjalan dalam cakupan global dan diterapkan ke semua data. Saat RBAC data diaktifkan di instance, semua aturan yang ada akan otomatis dikonversi ke aturan cakupan global.
Cakupan yang terkait dengan aturan menentukan cara pengguna global dan cakupan dapat berinteraksi dengannya. Izin akses dirangkum dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna cakupan |
|---|---|---|
| Dapat melihat aturan cakupan | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat melihat aturan dengan cakupan A, tetapi tidak dapat melihat aturan dengan cakupan C. |
| Dapat melihat aturan global | Ya | Tidak |
| Dapat membuat dan memperbarui aturan cakupan | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat membuat aturan dengan cakupan A, tetapi tidak dapat membuat aturan dengan cakupan C. |
| Dapat membuat dan memperbarui aturan global | Ya | Tidak |
Deteksi
Deteksi adalah pemberitahuan yang menunjukkan potensi ancaman keamanan. Deteksi dipicu oleh aturan kustom, yang dibuat oleh tim keamanan untuk lingkungan Google SecOps Anda.
Deteksi dihasilkan saat data keamanan masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Misalnya, analis keamanan dengan cakupan data keuangan hanya melihat deteksi yang dihasilkan oleh aturan yang ditetapkan ke cakupan data keuangan, dan tidak melihat deteksi dari aturan lainnya.
Tindakan yang dapat dilakukan pengguna pada deteksi (misalnya, menandai deteksi sebagai terselesaikan) juga dibatasi pada cakupan tempat deteksi terjadi.
Deteksi pilihan
Deteksi dipicu oleh aturan kustom yang dibuat oleh tim keamanan Anda, sedangkan deteksi yang diseleksi dipicu oleh aturan yang disediakan oleh tim Google Cloud Threat Intelligence (GCTI). Sebagai bagian dari deteksi pilihan, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu Anda mengidentifikasi ancaman keamanan umum dalam lingkungan Google SecOps. Untuk informasi selengkapnya, lihat Menggunakan deteksi pilihan untuk mengidentifikasi ancaman.
Deteksi pilihan tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses deteksi pilihan.
Daftar referensi
Daftar referensi adalah kumpulan nilai yang digunakan untuk mencocokkan dan memfilter data dalam aturan deteksi dan Penelusuran UDM. Menetapkan cakupan ke daftar referensi (daftar cakupan) akan membatasi aksesnya ke pengguna dan resource tertentu seperti aturan dan penelusuran UDM. Daftar referensi yang tidak memiliki cakupan yang ditetapkan disebut daftar tanpa cakupan.
Izin akses untuk pengguna dalam daftar referensi
Cakupan yang dikaitkan dengan daftar referensi menentukan cara pengguna global dan tercakup berinteraksi dengannya. Izin akses dirangkum dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna cakupan |
|---|---|---|
| Dapat membuat daftar cakupan | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan atau merupakan subkumpulan dari cakupan yang ditetapkan)
Misalnya, pengguna dalam cakupan dengan cakupan A dan B dapat membuat daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dengan cakupan A, B, dan C. |
| Dapat membuat daftar yang tidak dicakup | Ya | Tidak |
| Dapat memperbarui daftar cakupan | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan atau merupakan subkumpulan dari cakupan yang ditetapkan)
Misalnya, pengguna dengan cakupan A dan B dapat mengubah daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dapat mengubah daftar referensi dengan cakupan A, B, dan C. |
| Dapat memperbarui daftar tanpa cakupan | Ya | Tidak |
| Dapat memperbarui daftar cakupan menjadi tidak dicakup | Ya | Tidak |
| Dapat melihat dan menggunakan daftar cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dan B dapat menggunakan daftar referensi dengan cakupan A dan B, tetapi tidak dapat menggunakan daftar referensi dengan cakupan C dan D. |
| Dapat melihat dan menggunakan daftar tanpa cakupan | Ya | Ya |
| Dapat menjalankan penelusuran UDM dan kueri dasbor dengan daftar referensi yang tidak dicakup | Ya | Ya |
| Dapat menjalankan kueri dasbor dan penelusuran UDM dengan daftar referensi cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dapat menjalankan kueri penelusuran UDM dengan daftar referensi dengan cakupan A, B, dan C, tetapi tidak dengan daftar referensi dengan cakupan B dan C. |
Izin akses untuk aturan dalam daftar referensi
Aturan cakupan dapat menggunakan daftar referensi jika ada setidaknya satu cakupan yang cocok antara aturan dan daftar referensi. Misalnya, aturan dengan cakupan A dapat menggunakan daftar referensi dengan cakupan A, B, dan C, tetapi tidak dapat menggunakan daftar referensi dengan cakupan B dan C.
Aturan dengan cakupan global dapat menggunakan daftar referensi apa pun.
Feed dan penerusan
RBAC data tidak memengaruhi eksekusi feed dan forwarder secara langsung. Namun, selama konfigurasi, pengguna dapat menetapkan label default (jenis log, namespace, atau label penyerapan) ke data yang masuk. RBAC data kemudian diterapkan ke fitur menggunakan data berlabel ini.
Dasbor Looker
Dasbor Looker tidak mendukung RBAC data. Akses ke dasbor Looker dikontrol oleh RBAC fitur.
Kecocokan Applied Threat Intelligence (ATI) dan IOC
IOC dan data ATI adalah potongan informasi yang menunjukkan potensi ancaman keamanan dalam lingkungan Anda.
Deteksi pilihan ATI dipicu oleh aturan yang diberikan oleh tim Advanced Threat Intelligence (ATI). Aturan ini menggunakan intelijen ancaman Mandiant untuk mengidentifikasi ancaman berprioritas tinggi secara proaktif. Untuk informasi selengkapnya, lihat Ringkasan Applied Threat Intelligence.
RBAC data tidak membatasi akses ke kecocokan IOC dan data ATI, tetapi kecocokan tersebut difilter berdasarkan cakupan yang ditetapkan pengguna. Pengguna hanya melihat kecocokan untuk data IOC dan ATI yang dikaitkan dengan aset yang berada dalam cakupan mereka.
Analisis Perilaku Pengguna dan Entitas (UEBA)
Kategori Analisis Risiko untuk UEBA menawarkan kumpulan aturan bawaan untuk mendeteksi potensi ancaman keamanan. Kumpulan aturan ini menggunakan machine learning untuk memicu deteksi secara proaktif dengan menganalisis pola perilaku pengguna dan entitas. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Analisis Risiko untuk kategori UEBA.
UEBA tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko untuk kategori UEBA.
Detail entitas di seluruh Google SecOps
Kolom berikut, yang menjelaskan aset atau pengguna, muncul di beberapa halaman di Google SecOps, seperti panel Konteks Entitas di Penelusuran UDM. Dengan RBAC data, kolom hanya tersedia untuk pengguna dengan cakupan global.
- Pertama terlihat
- Terakhir terlihat
- Prevalensi
Pengguna dengan cakupan dapat melihat data pengguna dan aset yang pertama kali dilihat dan terakhir dilihat jika data pertama kali dilihat dan terakhir dilihat dihitung dari data dalam cakupan yang ditetapkan pengguna.
Langkah selanjutnya
Mengonfigurasi RBAC data untuk pengguna