Impatto del RBAC dei dati sulle funzionalità di Google SecOps
Il controllo degli accessi basato su ruoli per i dati (RBAC dei dati) è un modello di sicurezza che limita l'accesso degli utenti ai dati in base ai singoli ruoli degli utenti all'interno di un'organizzazione. Dopo aver configurato il RBAC dei dati in un ambiente, inizierai a vedere i dati filtrati nelle funzionalità di Google Security Operations. Il RBAC dei dati controlla l'accesso degli utenti in base agli ambiti assegnati e garantisce che gli utenti possano accedere solo alle informazioni autorizzate. Questa pagina fornisce una panoramica dell'impatto del RBAC dei dati su ogni funzionalità di Google SecOps.
Per comprendere il funzionamento del RBAC dei dati, consulta la Panoramica del RBAC dei dati.
Cerca
I dati restituiti nei risultati di ricerca si basano sugli ambiti di accesso ai dati dell'utente. Gli utenti possono visualizzare solo i risultati dei dati che corrispondono agli ambiti assegnati a loro. Se agli utenti è stato assegnato più di un ambito, la ricerca viene eseguita su tutti i dati combinati di tutti gli ambiti autorizzati. I dati appartenenti a ambiti a cui l'utente non ha accesso non vengono visualizzati nei risultati di ricerca.
Regole
Le regole sono meccanismi di rilevamento che analizzano i dati importati e aiutano a identificare potenziali minacce alla sicurezza. Le regole possono essere classificate come segue:
Regole basate su ambito: associate a un ambito di dati specifico. Le regole basate su ambito possono essere applicate solo ai dati che rientrano nella definizione dell'ambito. Gli utenti con accesso a un ambito possono visualizzare e gestire le relative regole.
Regole globali: con una visibilità più ampia, queste regole possono operare sui dati in tutti gli ambiti. Per garantire sicurezza e controllo, solo gli utenti con ambito globale possono visualizzare e creare regole globali.
La generazione di avvisi è limitata anche agli eventi corrispondenti all'ambito della regola. Le regole che non sono associate a nessun ambito vengono eseguite nell'ambito globale e applicate a tutti i dati. Quando il RBAC dei dati è abilitato in un'istanza, tutte le regole esistenti vengono convertite automaticamente in regole di ambito globale.
L'ambito associato a una regola determina in che modo gli utenti globali e con ambito possono interagire con essa. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può visualizzare le regole basate sugli ambiti | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può vedere una regola con ambito A, ma non una regola con ambito C. |
| Può visualizzare le regole globali | Sì | No |
| Può creare e aggiornare regole basate su ambito | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può creare una regola con l'ambito A, ma non una regola con l'ambito C. |
| Può creare e aggiornare regole globali | Sì | No |
Rilevamenti
I rilevamenti sono avvisi che indicano potenziali minacce alla sicurezza. I rilevamenti vengono attivati da regole personalizzate create dal team di sicurezza per l'ambiente Google SecOps.
I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono vedere solo i rilevamenti che provengono da regole associate agli ambiti assegnati. Ad esempio, un analista della sicurezza con l'ambito dei dati finanziari vede solo i rilevamenti generati dalle regole assegnate all'ambito dei dati finanziari e non vede i rilevamenti di altre regole.
Le azioni che un utente può intraprendere in merito a un rilevamento (ad esempio, contrassegnare un rilevamento come risolto) sono limitate anche all'ambito in cui si è verificato il rilevamento.
Rilevamenti selezionati
I rilevamenti vengono attivati da regole personalizzate create dal team di sicurezza, mentre i rilevamenti selezionati vengono attivati dalle regole fornite dal team di Google Cloud Threat Intelligence (GCTI). Nell'ambito dei rilevamenti selezionati, il team GCTI fornisce e gestisce un insieme di regole YARA-L per aiutarti a identificare le minacce alla sicurezza comuni all'interno del tuo ambiente Google SecOps. Per ulteriori informazioni, consulta la sezione Utilizzare i rilevamenti selezionati per identificare le minacce.
I rilevamenti selezionati non supportano il RBAC dei dati. Solo gli utenti con ambito globale possono accedere ai rilevamenti selezionati.
Log non elaborati
Con l'RBAC dei dati abilitato, i log non elaborati sono accessibili solo agli utenti con ambito globale.
Elenchi di riferimento
Gli elenchi di riferimento sono raccolte di valori utilizzati per abbinare e filtrare i dati nelle regole di ricerca e rilevamento UDM. L'assegnazione di ambiti a un elenco di riferimento (elenco basato su ambito) ne limita l'accesso a utenti e risorse specifici, come le regole e la ricerca UDM. Un elenco di riferimento a cui non è stato assegnato alcun ambito è chiamato elenco senza ambito.
Autorizzazioni di accesso per gli utenti negli elenchi di riferimento
Gli ambiti associati a un elenco di riferimento determinano il modo in cui gli utenti globali e con ambito possono interagire con l'elenco. Le autorizzazioni di accesso sono riassunte nella seguente tabella:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare un elenco basato su criteri | Sì | Sì (con ambiti corrispondenti a quelli assegnati o che ne costituiscono un sottoinsieme)
Ad esempio, un utente con ambito A e B può creare un elenco di riferimento con ambito A o con ambiti A e B, ma non con ambiti A, B e C. |
| Può creare un elenco senza ambito | Sì | No |
| Può aggiornare l'elenco basato su criteri | Sì | Sì (con ambiti corrispondenti a quelli assegnati o che ne costituiscono un sottoinsieme)
Ad esempio, un utente con gli ambiti A e B può modificare un elenco di riferimento con l'ambito A o con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti A, B e C. |
| Può aggiornare l'elenco senza ambito | Sì | No |
| Può aggiornare l'elenco basato su criteri a un elenco senza criteri | Sì | No |
| Può visualizzare e utilizzare l'elenco basato su criteri | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con gli ambiti A e B può utilizzare un elenco di riferimento con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti C e D. |
| Può visualizzare e utilizzare l'elenco senza ambito | Sì | Sì |
| Può eseguire query di ricerca e dashboard UDM con elenchi di riferimento non basati su ambito | Sì | Sì |
| Può eseguire query di ricerca e dashboard UDM con elenchi di riferimento basati su ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con ambito A può eseguire query di ricerca UDM con elenchi di riferimento con ambiti A, B e C, ma non con elenchi di riferimento con ambiti B e C. |
Autorizzazioni di accesso per le regole negli elenchi di riferimento
Una regola basata su ambito può utilizzare un elenco di riferimento se esiste almeno un ambito corrispondente tra la regola e l'elenco di riferimento. Ad esempio, una regola con ambito A può utilizzare un elenco di riferimento con ambiti A, B e C, ma non un elenco di riferimento con ambiti B e C.
Una regola con ambito globale può utilizzare qualsiasi elenco di riferimento.
Feed e forwarder
Il RBAC dei dati non influisce direttamente sull'esecuzione del feed e del forwarder. Tuttavia, durante la configurazione, gli utenti possono assegnare le etichette predefinite (tipo di log, spazio dei nomi o etichette di importazione) ai dati in entrata. Il RBAC dei dati viene poi applicato alle funzionalità che utilizzano questi dati etichettati.
Dashboard di Looker
Le dashboard di Looker non supportano il RBAC dei dati. L'accesso alle dashboard di Looker è controllato dal RBAC delle funzionalità.
Corrispondenze di IOC e Applied Threat Intelligence (ATI)
Gli indicatori di compromissione e i dati di ATI sono informazioni che suggeriscono una potenziale minaccia alla sicurezza all'interno del tuo ambiente.
I rilevamenti selezionati di ATI vengono attivati dalle regole fornite dal team di Advanced Threat Intelligence (ATI). Queste regole utilizzano la threat intelligence di Mandiant per identificare in modo proattivo le minacce ad alta priorità. Per ulteriori informazioni, consulta la panoramica di Informazioni sulle minacce applicate.
Il RBAC dei dati non limita l'accesso alle corrispondenze IOC e ai dati ATI, tuttavia le corrispondenze vengono filtrate in base agli ambiti assegnati all'utente. Gli utenti vedono solo le corrispondenze per i dati IOC e ATI associati alle risorse che rientrano nei loro ambiti.
Analisi comportamentale di entità e utente (UEBA)
La categoria Dati e analisi dei rischi per UEBA offre set di regole predefinite per rilevare potenziali minacce alla sicurezza. Questi insiemi di regole utilizzano il machine learning per attivare in modo proattivo i rilevamenti analizzando i pattern di comportamento di utenti ed entità. Per ulteriori informazioni, consulta la Panoramica di Risk Analytics per la categoria UEBA.
UEBA non supporta il RBAC dei dati. Solo gli utenti con ambito globale possono accedere all'analisi dei rischi per la categoria UEBA.
Dettagli delle entità in Google SecOps
I seguenti campi, che descrivono una risorsa o un utente, vengono visualizzati in più pagine di Google SecOps, ad esempio nel riquadro Contesto entità nella ricerca UDM. Con il modello RBAC dei dati, i campi sono disponibili solo per gli utenti con ambito globale.
- Prima visualizzazione
- Ultima visualizzazione
- Prevalenza
Gli utenti con ambito possono visualizzare i dati della prima e dell'ultima occorrenza di utenti e asset se la prima e l'ultima occorrenza vengono calcolate in base ai dati all'interno degli ambiti assegnati all'utente.
Passaggi successivi
Configurare il RBAC dei dati per gli utenti
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.