Impacto do RBAC de dados nos recursos do Google SecOps
O controle de acesso baseado em função de dados (data RBAC) é um modelo de segurança que restringe o acesso do usuário aos dados com base nas funções individuais de usuários em uma organização. Depois que o RBAC de dados é configurado em um ambiente, você começa a ver dados filtrados nos recursos do Google Security Operations. O RBAC de dados controla o acesso do usuário de acordo com os escopos atribuídos e garante que os usuários possam acessar apenas informações autorizadas. Esta página apresenta uma visão geral de como o RBAC de dados afeta cada recurso do Google SecOps.
Para entender como o RBAC de dados funciona, consulte Visão geral do RBAC de dados.
Pesquisar
Os dados retornados nos resultados da pesquisa são baseados no acesso do usuário aos dados escopos. Os usuários só podem ver resultados de dados que correspondem aos escopos atribuídos a eles. Se os usuários tiverem mais de um escopo atribuído, a pesquisa será executada nos dados combinados de todos os escopos autorizados. Os dados pertencentes a escopos a que o usuário não tem acesso não aparecem nos resultados da pesquisa.
Regras
Regras são mecanismos de detecção que analisam os dados ingeridos e ajudam a identificar e possíveis ameaças à segurança. É possível visualizar e gerenciar regras vinculadas a um escopo de dados ao qual você tem acesso.
Uma regra pode ser global (acessível por todos os usuários) ou vinculada a um único escopo. A regra opera nos dados que correspondem à definição do escopo. Dados fora o escopo não é considerado.
A geração de alertas também é limitada a eventos que correspondem ao escopo da regra. Regras que não são vinculadas a nenhuma execução de escopo no escopo global e são aplicadas a todos os dados. Quando o RBAC de dados é ativado em uma instância, todas as regras atuais são convertidas automaticamente em regras de escopo global.
O escopo associado a uma regra determina como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas tabela a seguir:
Ação | Usuário global | Usuário no escopo |
---|---|---|
Pode ver regras com escopo | Sim | Sim, apenas se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B poderá ver uma regra com escopo A, mas não uma regra com escopo C. |
Pode acessar as regras globais | Sim | Não |
Pode criar e atualizar regras com escopo | Sim | Sim, apenas se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B pode criar uma regra com escopo A, mas não uma regra com escopo C. |
Pode criar e atualizar regras globais | Sim | Não |
Detecções
As detecções são alertas que indicam possíveis ameaças à segurança. As detecções são acionadas por regras personalizadas, que são criadas pela equipe de segurança para seu ambiente do Google SecOps.
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver detecções originadas de regras associadas aos escopos atribuídos a elas. Para exemplo, um analista de segurança com escopo de dados financeiros vê apenas detecções gerada por regras atribuídas ao escopo de dados financeiros e não vê de qualquer outra regra.
As ações que um usuário pode realizar em uma detecção (por exemplo, marcar uma detecção como resolvida) também são limitadas ao escopo em que a detecção ocorreu.
Detecções selecionadas
As detecções são acionadas por regras personalizadas criadas pela equipe de segurança, enquanto as detecções selecionadas são acionadas por regras fornecidas pela equipe de Inteligência contra ameaças do Google Cloud (GCTI, na sigla em inglês). Como parte das detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar você a identificar ameaças de segurança comuns no seu ambiente do Google SecOps. Para mais informações, consulte Usar detecções selecionadas para identificar ameaças.
As detecções selecionadas não são compatíveis com o RBAC de dados. Somente usuários com escopo global podem acessar as detecções selecionadas.
Listas de referências
Listas de referência são coleções de valores que são usadas para correspondência e filtrar dados nas regras de pesquisa e detecção do UDM. A atribuição de escopos a uma lista de referência (lista com escopo) restringe o acesso a usuários e recursos específicos, como regras e pesquisa da UDM. Uma lista de referências sem escopo atribuído é chamada de lista sem escopo.
Permissões de acesso para usuários em listas de referência
Os escopos associados a uma lista de referência determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso são summarizedas na tabela a seguir:
Ação | Usuário global | Usuário com escopo |
---|---|---|
Pode criar uma lista de escopo | Sim | Sim (com escopos que correspondem aos seus escopos atribuídos ou são um subconjunto deles)
Por exemplo, o usuário com escopo A e B pode criar uma lista de referência com o escopo A ou com os escopos A e B, mas não com os escopos A, B e C. |
Pode criar lista sem escopo | Sim | Não |
Pode atualizar a lista com escopo | Sim | Sim, com escopos que correspondem aos atribuídos ou são um subconjunto deles.
Por exemplo, um usuário com escopos A e B pode modificar uma lista de referência com escopo A ou com escopos A e B, mas não uma lista de referência com escopos A, B e C. |
É possível atualizar a lista sem escopo | Sim | Não |
Pode atualizar a lista com escopo para sem escopo | Sim | Não |
Pode ver e usar a lista com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com escopos A e B pode usar uma lista de referência com escopos A e B, mas não uma lista de referência com escopos C e D. |
Pode acessar e usar a lista sem escopo | Sim | Sim |
Pode executar consultas de pesquisa e painel da UDM com listas de referência sem escopo | Sim | Sim |
Pode executar pesquisas de UDM e consultas de painel com listas de referência com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com escopo A pode executar consultas de pesquisa UDM com listas de referência com os escopos A, B e C, mas não com listas de referência com escopos B e C. |
Permissões de acesso para regras em listas de referência
Uma regra com escopo poderá usar uma lista de referência se houver pelo menos um escopo de correspondência entre a regra e a lista de referências. Por exemplo, uma regra com escopo A pode usar uma lista de referência com os escopos A, B e C, mas não uma lista de referência com os escopos B e C.
Uma regra com escopo global pode usar qualquer lista de referência.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os usuários podem atribuir os marcadores padrão (tipo de registro, ou identificadores de ingestão) aos dados de entrada. Em seguida, o RBAC de dados é aplicado atributos que usam esses dados rotulados.
Painéis do Looker
Os painéis do Looker não oferecem suporte ao RBAC de dados. Acesso ao Looker é controlado pelo recurso RBAC.
Inteligência aplicada sobre ameaças (ATI) e correspondências de IOC
Os IOCs e os dados da ATI são informações que sugerem uma uma possível ameaça à segurança no seu ambiente.
As detecções selecionadas da ATI são acionadas por regras fornecidas pela equipe de Advanced Threat Intelligence (ATI). Essas regras usam a inteligência de ameaças da Mandiant para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte Visão geral do Inteligência contra ameaças aplicada.
O Data RBAC não restringe o acesso às correspondências de IOC e aos dados de ATI. No entanto, as correspondências são filtradas com base nos escopos atribuídos ao usuário. Os usuários só veem correspondências de IOCs e dados de ATI associados a recursos dentro do escopo deles.
Análise comportamental de usuários e entidades (UEBA)
A categoria "Análise de risco para UEBA" oferece conjuntos de regras pré-criados para detectar possíveis ameaças à segurança. Esses grupos de regras usam o aprendizado de máquina para acionar detecções analisando padrões comportamentais de usuários e entidades. Para mais informações, consulte Visão geral da análise de risco para a categoria UEBA.
A UEBA não oferece suporte ao RBAC de dados. Somente usuários com escopo global podem acessar a análise de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os campos a seguir, que descrevem um recurso ou um usuário, aparecem em várias páginas no Google SecOps, como o painel Contexto da entidade na Pesquisa de UDM. Com o RBAC de dados, os campos estão disponíveis apenas para os usuários com escopo global.
- Visto pela primeira vez
- Visto pela última vez
- Prevalência
Os usuários com escopo podem conferir os dados de primeira e última visualização de usuários e recursos se eles forem calculados com base nos dados dos escopos atribuídos ao usuário.
A seguir
Configurar o RBAC de dados para usuários