Impacto do RBAC de dados nos recursos do Google SecOps
O controle de acesso baseado em função de dados (RBAC de dados) é um modelo de segurança que restringe o acesso do usuário aos dados com base nas funções individuais de usuários em uma organização. Depois que o RBAC de dados é configurado em um ambiente, você começa a ver dados filtrados nos recursos do Google Security Operations. O RBAC de dados controla o acesso do usuário de acordo com os escopos atribuídos e garante que os usuários possam acessar apenas informações autorizadas. Esta página apresenta uma visão geral de como o RBAC de dados afeta cada recurso do Google SecOps.
Para entender como o RBAC de dados funciona, consulte Visão geral do RBAC de dados.
Pesquisar
Os dados retornados nos resultados da pesquisa são baseados nos escopos de acesso a dados do usuário. Os usuários só podem ver resultados de dados que correspondem aos escopos atribuídos a eles. Se os usuários tiverem mais de um escopo atribuído, a pesquisa será executada nos dados combinados de todos os escopos autorizados. Os dados pertencentes a escopos a que o usuário não tem acesso não aparecem nos resultados da pesquisa.
Regras
As regras são mecanismos de detecção que analisam os dados ingeridos e ajudam a identificar possíveis ameaças à segurança. Você pode conferir e gerenciar regras vinculadas a um escopo de dados a que você tem acesso.
Uma regra pode ser global (acessível por todos os usuários) ou vinculada a um único escopo. A regra opera nos dados que correspondem à definição do escopo. Os dados fora do escopo não são considerados.
A geração de alertas também é limitada a eventos que correspondem ao escopo da regra. Regras que não são vinculadas a nenhuma execução de escopo no escopo global e são aplicadas a todos os dados. Quando o RBAC de dados é ativado em uma instância, todas as regras atuais são convertidas automaticamente em regras de escopo global.
O escopo associado a uma regra determina como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário com escopo |
|---|---|---|
| Pode ver regras de escopo | Sim | Sim, apenas se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B pode acessar uma regra com escopo A, mas não uma regra com escopo C. |
| Pode acessar as regras globais | Sim | Não |
| Pode criar e atualizar regras de escopo | Sim | Sim, apenas se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B pode criar uma regra com escopo A, mas não uma regra com escopo C. |
| Pode criar e atualizar regras globais | Sim | Não |
Detecções
As detecções são alertas que indicam possíveis ameaças à segurança. As detecções são acionadas por regras personalizadas, que são criadas pela equipe de segurança para seu ambiente do Google SecOps.
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver as detecções que são originadas de regras associadas aos escopos atribuídos. Por exemplo, um analista de segurança com o escopo de dados financeiros só tem acesso às detecções geradas por regras atribuídas ao escopo de dados financeiros e não tem acesso a detecções de outras regras.
As ações que um usuário pode realizar em uma detecção (por exemplo, marcar uma detecção como resolvida) também são limitadas ao escopo em que a detecção ocorreu.
Detecções selecionadas
As detecções são acionadas por regras personalizadas criadas pela equipe de segurança, enquanto as detecções selecionadas são acionadas por regras fornecidas pela equipe de Inteligência contra ameaças do Google Cloud (GCTI, na sigla em inglês). Como parte das detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar você a identificar ameaças de segurança comuns no seu ambiente do Google SecOps. Para mais informações, consulte Usar detecções selecionadas para identificar ameaças.
As detecções selecionadas não são compatíveis com o RBAC de dados. Somente usuários com escopo global podem acessar as detecções selecionadas.
Listas de referências
As listas de referência são coleções de valores usados para corresponder e filtrar dados nas regras de pesquisa e detecção do UDM. A atribuição de escopos a uma lista de referência (lista com escopo) restringe o acesso a usuários e recursos específicos, como regras e pesquisa da UDM. Uma lista de referência sem escopo atribuído é chamada de lista sem escopo.
Permissões de acesso para usuários em listas de referência
Os escopos associados a uma lista de referência determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso são sintetizadas na tabela a seguir:
| Ação | Usuário global | Usuário com escopo |
|---|---|---|
| Pode criar uma lista de escopo | Sim | Sim, com escopos que correspondem aos atribuídos ou são um subconjunto deles.
Por exemplo, um usuário com escopos A e B pode criar uma lista de referência com o escopo A ou com os escopos A e B, mas não com os escopos A, B e C. |
| Pode criar uma lista sem escopo | Sim | Não |
| Pode atualizar a lista de escopo | Sim | Sim, com escopos que correspondem aos atribuídos ou são um subconjunto deles.
Por exemplo, um usuário com escopos A e B pode modificar uma lista de referência com escopo A ou com escopos A e B, mas não uma lista de referência com escopos A, B e C. |
| Pode atualizar a lista sem escopo | Sim | Não |
| É possível atualizar a lista de escopo para sem escopo | Sim | Não |
| Pode acessar e usar a lista de escopo | Sim | Sim (se houver pelo menos um escopo correspondente entre o usuário e a lista de referência)
Por exemplo, um usuário com escopos A e B pode usar uma lista de referência com escopos A e B, mas não uma lista de referência com escopos C e D. |
| Pode acessar e usar a lista sem escopo | Sim | Sim |
| Pode executar consultas de pesquisa e painel da UDM com listas de referência sem escopo | Sim | Sim |
| Pode executar consultas de pesquisa e painel da UDM com listas de referência com escopo | Sim | Sim (se houver pelo menos um escopo correspondente entre o usuário e a lista de referência)
Por exemplo, um usuário com escopo A pode executar consultas de pesquisa da UDM com listas de referência com escopos A, B e C, mas não com listas de referência com escopos B e C. |
Permissões de acesso a regras em listas de referência
Uma regra com escopo pode usar uma lista de referência se houver pelo menos um escopo correspondente entre a regra e a lista de referência. Por exemplo, uma regra com escopo A pode usar uma lista de referência com os escopos A, B e C, mas não uma lista de referência com os escopos B e C.
Uma regra com escopo global pode usar qualquer lista de referência.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os usuários podem atribuir os rótulos padrão (tipo de registro, namespace ou rótulos de ingestão) aos dados recebidos. O RBAC de dados é aplicado aos recursos que usam esses dados rotulados.
Painéis do Looker
Os painéis do Looker não são compatíveis com o RBAC de dados. O acesso aos painéis do Looker é controlado pelo RBAC de recursos.
Inteligência aplicada contra ameaças (ATI) e correspondências de IOC
Os IOCs e os dados de ATI são informações que sugerem uma possível ameaça de segurança no seu ambiente.
As detecções selecionadas da ATI são acionadas por regras fornecidas pela equipe de Advanced Threat Intelligence (ATI). Essas regras usam a inteligência de ameaças do Mandiant para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte Visão geral da inteligência contra ameaças aplicada.
O RBAC de dados não restringe o acesso às correspondências de IOC e aos dados de ATI. No entanto, as correspondências são filtradas com base nos escopos atribuídos ao usuário. Os usuários só veem correspondências de IOCs e dados de ATI associados a recursos dentro dos escopos deles.
Análise comportamental de usuários e entidades (UEBA)
A categoria "Análise de risco para UEBA" oferece conjuntos de regras pré-criados para detectar possíveis ameaças à segurança. Esses conjuntos de regras usam o aprendizado de máquina para acionar detecção proativa, analisando padrões de comportamento de usuários e entidades. Para mais informações, consulte Visão geral da análise de risco para a categoria UEBA.
A UEBA não oferece suporte ao RBAC de dados. Somente usuários com escopo global podem acessar a análise de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os campos a seguir, que descrevem um recurso ou um usuário, aparecem em várias páginas no Google SecOps, como o painel Contexto da entidade na Pesquisa de UDM. Com o RBAC de dados, os campos estão disponíveis apenas para os usuários com escopo global.
- Visto pela primeira vez
- Visto pela última vez
- Prevalência
Os usuários com escopo podem conferir os dados de primeira e última visualização de usuários e recursos se eles forem calculados com base nos dados dos escopos atribuídos ao usuário.
A seguir
Configurar o RBAC de dados para usuários