数据 RBAC 对 Google SecOps 功能的影响
数据基于角色的访问控制 (data RBAC) 是一种安全模型,可根据组织中的各个用户角色限制用户对数据的访问权限。在环境中配置数据 RBAC 后,您会在 Google Security Operations 功能中看到经过过滤的数据。数据 RBAC 会根据用户分配的范围来控制用户访问权限,并确保用户只能访问已获授权的信息。本页面简要介绍了数据 RBAC 对各项 Google SecOps 功能的影响。
如需了解数据 RBAC 的运作方式,请参阅数据 RBAC 概览。
搜索
搜索结果中返回的数据取决于用户的数据访问范围。用户只能看到与分配给他们的范围相符的数据的结果。如果用户被分配了多个范围,则系统会对所有已获授权范围的组合数据执行搜索。属于用户无权访问的镜重的数据不会显示在搜索结果中。
规则
规则是用于分析提取的数据并帮助识别潜在安全威胁的检测机制。规则可分为以下几类:
作用域规则:与特定数据范围相关联。 受限规则只能对属于该范围定义的数据进行操作。有权访问某个镜的用户可以查看和管理该镜的规则。
全局规则:这些规则的公开范围更广,可对所有范围内的数据执行操作。为了确保安全和控制,只有具有全局范围的用户才能查看和创建全局规则。
系统仅会针对与规则范围匹配的事件生成提醒。未绑定到任何范围的规则会在全局范围内运行,并应用于所有数据。在实例上启用数据 RBAC 后,所有现有规则都会自动转换为全局范围规则。
与规则关联的范围决定了全局用户和受限用户可以如何与该规则互动。下表汇总了访问权限:
| 操作 | 全局用户 | 受限用户 |
|---|---|---|
| 可以查看限定范围的规则 | 是 | 是(仅当规则的范围在用户分配的范围内时)
例如,具有范围 A 和 B 的用户可以看到范围为 A 的规则,但无法看到范围为 C 的规则。 |
| 可以查看全局规则 | 是 | 否 |
| 可以创建和更新限定范围的规则 | 是 | 是(仅当规则的范围在用户分配的范围内时)
例如,具有范围 A 和 B 的用户可以创建范围为 A 的规则,但无法创建范围为 C 的规则。 |
| 可以创建和更新全局规则 | 是 | 否 |
检测
检测是指表明存在潜在安全威胁的提醒。检测由自定义规则触发,这些规则由安全团队为 Google SecOps 环境创建。
当传入的安全数据与规则中定义的条件匹配时,系统会生成检测。用户只能看到与其分配的镜重范围相关联的规则产生的检测结果。例如,具有“财务”数据范围的安全分析师只能看到分配给“财务”数据范围的规则生成的检测结果,而看不到任何其他规则生成的检测结果。
用户对检测结果可执行的操作(例如将检测结果标记为已解决)也仅限于检测发生的范围。
精选检测
检测由安全团队创建的自定义规则触发,而由 Google Cloud 威胁情报 (GCTI) 团队提供的规则触发的检测则属于“精选检测”。作为精选检测的一部分,GTTI 会提供和管理一组 YARA-L 规则,以帮助您在 Google SecOps 环境中识别常见的安全威胁。如需了解详情,请参阅使用精选检测功能识别威胁。
精选检测不支持数据 RBAC。只有全球范围的用户才能访问精选检测结果。
原始日志
启用数据 RBAC 后,只有具有全局范围的用户才能访问未解析的原始日志。
参考列表
引用列表是值的集合,用于在 UDM 搜索和检测规则中匹配和过滤数据。向参考列表(范围列表)分配镜重会限制其对特定用户和资源(例如规则和 UDM 搜索)的访问权限。未分配范围的引用列表称为无范围列表。
参考列表中用户的访问权限
与参考列表关联的镜重决定了全局用户和受限用户可以如何与其互动。下表总结了访问权限:
| 操作 | 全局用户 | 受限用户 |
|---|---|---|
| 可以创建受限列表 | 是 | 可以(使用与其分配的镜重合或属于其分配的镜的子集的镜)
例如,具有范围 A 和 B 的限定范围用户可以使用范围 A 或范围 A 和 B 创建参考列表,但不能使用范围 A、B 和 C 创建参考列表。 |
| 可以创建未限定范围的列表 | 是 | 否 |
| 可以更新限定范围的列表 | 是 | 可以(使用与其分配的镜重合或属于其分配的镜的子集的镜)
例如,具有范围 A 和 B 的用户可以修改范围为 A 或范围为 A 和 B 的参考列表,但不能修改范围为 A、B 和 C 的参考列表。 |
| 可以更新未限定范围的列表 | 是 | 否 |
| 可以将限定范围的列表更新为不限定范围的列表 | 是 | 否 |
| 可以查看和使用限定范围的列表 | 是 | 是(如果用户与参考列表之间至少有一个匹配的范围)
例如,具有范围 A 和 B 的用户可以使用范围 A 和 B 的参考列表,但不能使用范围 C 和 D 的参考列表。 |
| 可以查看和使用未限定范围的列表 | 是 | 是 |
| 可以使用未限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是 |
| 可以使用限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是(如果用户与参考列表之间至少有一个匹配的范围)
例如,具有范围 A 的用户可以使用范围为 A、B 和 C 的参考列表运行 UDM 搜索查询,但无法使用范围为 B 和 C 的参考列表运行 UDM 搜索查询。 |
参考列表中规则的访问权限
如果规则和参考列表之间至少有一个匹配的范围,则范围限定的规则可以使用参考列表。例如,范围为 A 的规则可以使用范围为 A、B 和 C 的参考列表,但不能使用范围为 B 和 C 的参考列表。
具有全局范围的规则可以使用任何参考列表。
Feed 和转发器
数据 RBAC 不会直接影响 Feed 和转发器的执行。不过,在配置期间,用户可以为传入数据分配默认标签(日志类型、命名空间或提取标签)。然后,使用这些标记数据将数据 RBAC 应用于地图项。
Looker 信息中心
Looker 信息中心不支持数据 RBAC。对 Looker 信息中心的访问权限由功能 RBAC 控制。
实用威胁情报 (ATI) 和 IOC 匹配项
IOC 和 ATI 数据是指表明您环境中存在潜在安全威胁的信息。
ATI 精选检测由高级威胁情报 (ATI) 团队提供的规则触发。这些规则使用 Mandiant 威胁情报主动识别高优先级威胁。如需了解详情,请参阅应用威胁情报概览。
数据 RBAC 不会限制对 IOC 匹配项和 ATI 数据的访问权限,但会根据用户分配的镜重范围过滤匹配项。用户只能看到与其所涵盖的资源相关联的 IOC 和 ATI 数据的匹配项。
用户和实体行为分析 (UEBA)
“适用于 UEBA 的风险分析”类别提供了预构建的规则集,用于检测潜在的安全威胁。这些规则集使用机器学习技术分析用户和实体行为模式,以便主动触发检测。如需了解详情,请参阅“用户体验反欺诈”类别的风险分析概览。
UEBA 不支持数据 RBAC。只有全球范围的用户才能访问 UEBA 类别的风险分析。
Google SecOps 中的实体详细信息
以下用于描述资产或用户的字段会显示在 Google SecOps 的多个页面上,例如 UDM 搜索中的实体上下文面板。使用数据 RBAC 时,只有具有全局范围的用户才能使用这些字段。
- 首次出现时间
- 上次出现时间
- 普及率
如果首次看到和上次看到是根据用户分配的范围内的数据计算得出的,则受限用户可以查看用户和素材资源的首次看到和上次看到数据。
后续步骤
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。