Impacto del RBAC de datos en las funciones de Google SecOps
El control de acceso basado en funciones de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos según las funciones individuales de los usuarios dentro de una organización. Después de configurar el RBAC de datos en un entorno, comenzarás a ver datos filtrados en las funciones de Google Security Operations. El RBAC de datos controla el acceso de los usuarios de acuerdo con sus permisos asignados y garantiza que los usuarios solo puedan acceder a la información autorizada. Esta página ofrece una descripción general del impacto del RBAC de datos en cada función.
Para comprender cómo funciona el RBAC de datos, consulta Descripción general del RBAC de datos.
Búsqueda
Los datos que se muestran en los resultados de la búsqueda se basan en los permisos de acceso a los datos del usuario. Los usuarios solo pueden ver los resultados de los datos que coinciden con los permisos que se les asignaron. Si los usuarios tienen más de un alcance asignado, la búsqueda se ejecuta en los datos combinados de todos los alcances autorizados. Los datos que pertenecen a los permisos a los que el usuario no tiene acceso no aparecen en los resultados de la búsqueda.
Reglas
Las reglas son mecanismos de detección que analizan los datos transferidos y ayudan a identificar posibles amenazas de seguridad. Puedes ver y administrar reglas vinculadas a un permiso de datos al que tienes acceso.
Una regla puede ser global (accesible para todos los usuarios) o estar vinculada a un solo permiso. La regla opera en los datos que coinciden con la definición del permiso. Los datos fuera del alcance no se tienen en cuenta.
La generación de alertas también se limita a los eventos que coinciden con el alcance de la regla. Las reglas que no están vinculadas a ningún permiso ejecutado en el permiso global y se aplican a todos los datos. Cuando el RBAC de datos está habilitado en una instancia, todas las reglas existentes se convierten de forma automática en reglas de permiso global.
El permiso asociado a una regla determina cómo los usuarios globales y con alcance pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario específico |
|---|---|---|
| Puede ver reglas con alcance | Sí | Sí (solo si el alcance de la regla está dentro de los alcances asignados por el usuario)
Por ejemplo, un usuario con los permisos A y B puede ver una regla con el alcance A, pero no una regla con el alcance C. |
| Puede ver reglas globales | Sí | No |
| Puede crear y actualizar reglas con alcance | Sí | Sí (solo si el alcance de la regla está dentro de los alcances asignados por el usuario)
Por ejemplo, un usuario con los permisos A y B puede crear una regla con el permiso A, pero no una regla con el permiso C. |
| Puede crear y actualizar reglas globales | Sí | No |
Detecciones
Las detecciones son alertas que indican posibles amenazas de seguridad. Las detecciones se activan mediante reglas personalizadas que crea tu equipo de seguridad para tu entorno de Google SecOps.
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con sus permisos asignados. Por ejemplo, un analista de seguridad con el permiso de datos financieros solo ve las detecciones generadas por las reglas asignadas al alcance de datos financieros y no ve las detecciones de ninguna otra regla.
Las acciones que un usuario puede realizar en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al alcance en el que se produjo la detección.
Detecciones seleccionadas
Las detecciones se activan mediante reglas personalizadas que crea el equipo de seguridad, mientras que las detecciones seleccionadas se activan mediante reglas que proporciona el equipo de Google Cloud Threat Intelligence (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudarte a identificar amenazas de seguridad comunes en tu entorno de Google SecOps. Para obtener más información, consulta Usa detecciones seleccionadas para identificar amenazas.
Las detecciones seleccionadas no admiten el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las detecciones seleccionadas.
Listas de referencia
Las listas de referencia son colecciones de valores que se utilizan para detectar coincidencias y filtrar datos en las reglas de detección y búsqueda de UDM. La asignación de alcances a una lista de referencia (lista específica) restringe su acceso a usuarios y recursos específicos, como reglas y búsqueda de UDM. Una lista de referencia que no tiene alcance asignado se denomina lista sin alcance.
Permisos de acceso para usuarios en listas de referencia
Los alcances asociados con una lista de referencia determinan cómo los usuarios globales y con alcance pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario específico |
|---|---|---|
| Puede crear listas específicas | Sí | Sí (con alcances que coincidan con sus alcances asignados o que sean un subconjunto de sus alcances asignados)
Por ejemplo, un usuario con alcance y permisos A y B puede crear una lista de referencia con el permiso A o con los permisos A y B, pero no con los permisos A, B y C. |
| Puede crear listas sin alcance | Sí | No |
| Puede actualizar la lista específica | Sí | Sí (con alcances que coincidan con sus alcances asignados o que sean un subconjunto de sus alcances asignados)
Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencia con el alcance A o con los alcances A y B, pero no una lista de referencia con los alcances A, B y C. |
| Puede actualizar la lista sin alcance | Sí | No |
| Puede actualizar una lista delimitada a una sin alcance | Sí | No |
| Puede ver y usar listas específicas | Sí | Sí (si hay al menos un alcance que coincide entre el usuario y la lista de referencia)
Por ejemplo, un usuario con los alcances A y B puede usar una lista de referencia con los alcances A y B, pero no una lista de referencia con los alcances C y D. |
| Puede ver y usar listas sin alcance | Sí | Sí |
| Puede ejecutar búsquedas de UDM y del panel con listas de referencia sin alcance | Sí | Sí |
| Puede ejecutar búsquedas de UDM y de paneles con listas de referencia específicas | Sí | Sí (si hay al menos un alcance que coincide entre el usuario y la lista de referencia)
Por ejemplo, un usuario con el alcance A puede ejecutar búsquedas de UDM con listas de referencia con los alcances A, B y C, pero no con listas de referencia con los alcances B y C. |
Permisos de acceso para reglas en listas de referencia
Una regla con alcance puede usar una lista de referencia si hay al menos un alcance que coincida entre la regla y la lista de referencia. Por ejemplo, una regla con el alcance A puede usar una lista de referencia con los alcances A, B y C, pero no una lista de referencia con los alcances B y C.
Una regla con permiso global puede usar cualquier lista de referencia.
Feeds y reenviadores
El RBAC de datos no afecta directamente la ejecución del reenviador y del feed. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de transferencia) a los datos entrantes. Luego, el RBAC de datos se aplica a los atributos con estos datos etiquetados.
Paneles de Looker
Los paneles de Looker no admiten el RBAC de datos. El acceso a los paneles de Looker se controla con la función RBAC.
Coincidencias de información sobre amenazas aplicadas (ATI) y de IOC
Los datos de IOC y ATI son piezas de información que sugieren una potencial amenaza de seguridad dentro de tu entorno.
Las detecciones seleccionadas de ATI se activan mediante reglas proporcionadas por el equipo de Inteligencia sobre amenazas avanzadas (ATI). Estas reglas usan la inteligencia contra amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad. Para obtener más información, consulta Descripción general de Applied Threat Intelligence.
El RBAC de datos no restringe el acceso a las coincidencias de IOC ni a los datos de ATI. Sin embargo, las coincidencias se filtran según los permisos asignados del usuario. Los usuarios solo ven coincidencias para los datos de IOC y ATI que se asocian con recursos que están dentro de sus alcances.
Análisis de comportamiento del usuario y la entidad (User and Entity Behavior Analytics, UEBA)
La categoría Análisis de riesgos para UEBA ofrece conjuntos de reglas precompilados para detectar posibles amenazas de seguridad. Estos conjuntos de reglas usan el aprendizaje automático para activar de forma proactiva las detecciones mediante el análisis de los patrones de comportamiento de los usuarios y las entidades. Para obtener más información, consulta la descripción general del análisis de riesgos para la categoría UEBA.
La UEBA no admite el RBAC de datos. Solo los usuarios con un alcance global pueden acceder a las estadísticas de riesgos para la categoría UEBA.
Detalles de las entidades en Google SecOps
Los siguientes campos, que describen un recurso o un usuario, aparecen en varias páginas en Google SecOps, como el panel Entity Context en UDM Search. Con el RBAC de datos, los campos están disponibles solo para los usuarios con alcance global.
- First seen
- Visto por última vez
- Prevalencia
Los usuarios con permiso pueden ver los datos de los primeros y los últimos usuarios vistos de usuarios y activos si estos últimos se calculan a partir de datos dentro de los permisos asignados por el usuario.
¿Qué sigue?
Configura el RBAC de datos para los usuarios