데이터 RBAC가 Google SecOps 기능에 미치는 영향
데이터 역할 기반 액세스 제어 (데이터 RBAC)는 조직 내 개별 사용자 역할에 따라 데이터에 대한 사용자 액세스를 제한하는 보안 모델입니다. 환경에서 데이터 RBAC가 구성되면 Google Security Operations 기능에 필터링된 데이터가 표시됩니다. 데이터 RBAC는 할당된 범위에 따라 사용자 액세스를 제어하고 사용자가 승인된 정보에만 액세스할 수 있도록 합니다. 이 페이지에서는 데이터 RBAC가 각 Google SecOps 기능에 미치는 영향을 간략히 설명합니다.
데이터 RBAC의 작동 방식을 이해하려면 데이터 RBAC 개요를 참조하세요.
검색
검색 결과에 반환되는 데이터는 사용자의 데이터 액세스 범위를 기반으로 합니다. 사용자는 할당된 범위와 일치하는 데이터의 결과만 볼 수 있습니다. 사용자에게 할당된 범위가 두 개 이상인 경우 모든 승인된 범위의 결합된 데이터에서 검색이 실행됩니다. 사용자가 액세스할 수 없는 범위에 속한 데이터는 검색 결과에 표시되지 않습니다.
규칙
규칙은 처리된 데이터를 분석하고 잠재적인 보안 위협을 식별하는 데 도움이 되는 감지 메커니즘입니다. 액세스 권한이 있는 데이터 범위에 연결된 규칙을 보고 관리할 수 있습니다.
규칙은 전역 (모든 사용자가 액세스할 수 있음)이거나 단일 범위에 바인딩될 수 있습니다. 이 규칙은 범위의 정의와 일치하는 데이터를 대상으로 작동합니다. 범위를 벗어난 데이터는 고려되지 않습니다.
알림 생성은 규칙의 범위와 일치하는 이벤트로 제한됩니다. 범위에 바인딩되지 않은 규칙은 전역 범위에서 실행되며 모든 데이터에 적용됩니다. 인스턴스에서 데이터 RBAC가 사용 설정되면 모든 기존 규칙이 전역 범위 규칙으로 자동 변환됩니다.
규칙과 연결된 범위에 따라 전역 및 범위가 지정된 사용자가 규칙과 상호작용할 수 있는 방법이 결정됩니다. 액세스 권한은 다음 표에 요약되어 있습니다.
| 작업 | 전 세계 사용자 | 범위가 지정된 사용자 |
|---|---|---|
| 범위가 지정된 규칙을 볼 수 있습니다. | 예 | 예 (규칙의 범위가 사용자에게 할당된 범위 내에 있는 경우에만 해당)
예를 들어 범위가 A와 B인 사용자는 범위 A의 규칙은 볼 수 있지만 범위 C의 규칙은 볼 수 없습니다. |
| 글로벌 규칙을 볼 수 있음 | 예 | 아니요 |
| 범위가 지정된 규칙을 만들고 업데이트할 수 있습니다. | 예 | 예 (규칙의 범위가 사용자에게 할당된 범위 내에 있는 경우에만 해당)
예를 들어 범위가 A와 B인 사용자는 범위 A로 규칙을 만들 수 있지만 범위 C로 규칙을 만들 수는 없습니다. |
| 글로벌 규칙을 만들고 업데이트할 수 있습니다. | 예 | 아니요 |
감지
감지는 잠재적인 보안 위협을 나타내는 알림입니다. 감지는 보안팀에서 Google SecOps 환경을 위해 만든 맞춤 규칙에 의해 트리거됩니다.
수신되는 보안 데이터가 규칙에 정의된 기준과 일치하면 감지가 생성됩니다. 사용자는 할당된 범위와 연결된 규칙에서 발생한 감지만 볼 수 있습니다. 예를 들어 금융 데이터 범위가 있는 보안 분석가는 금융 데이터 범위에 할당된 규칙에서 생성된 감지만 볼 수 있으며 다른 규칙의 감지는 볼 수 없습니다.
사용자가 감지에 대해 취할 수 있는 작업 (예: 감지를 해결됨으로 표시)도 감지가 발생한 범위로 제한됩니다.
선별된 감지
감지는 보안팀에서 만든 맞춤 규칙에 의해 트리거되지만 선별된 감지는 Google Cloud 위협 인텔리전스 (GCTI)팀에서 제공한 규칙에 의해 트리거됩니다. 선별된 감지의 일부인 GCTI는 Google SecOps 환경 내에서 일반적인 보안 위협을 식별하는 데 도움이 되는 YARA-L 규칙 집합을 제공하고 관리합니다. 자세한 내용은 선별된 감지를 사용하여 위협 식별을 참고하세요.
선별된 감지는 데이터 RBAC를 지원하지 않습니다. 전역 범위가 있는 사용자만 선별된 감지에 액세스할 수 있습니다.
참조 목록
참조 목록은 UDM 검색 및 감지 규칙에서 데이터를 일치시키고 필터링하는 데 사용되는 값 모음입니다. 참조 목록 (범위 지정 목록)에 범위를 할당하면 특정 사용자 및 규칙, UDM 검색과 같은 리소스에 대한 액세스가 제한됩니다. 범위가 할당되지 않은 참조 목록을 범위가 지정되지 않은 목록이라고 합니다.
참조 목록의 사용자 액세스 권한
참조 목록과 연결된 범위에 따라 전역 사용자와 범위가 지정된 사용자가 참조 목록과 상호작용할 수 있는 방법이 결정됩니다. 액세스 권한은 다음 표에 요약되어 있습니다.
| 작업 | 전 세계 사용자 | 범위가 지정된 사용자 |
|---|---|---|
| 범위가 지정된 목록을 만들 수 있음 | 예 | 예 (할당된 범위와 일치하거나 할당된 범위의 하위 집합인 범위 포함)
예를 들어 범위가 A와 B인 범위가 지정된 사용자는 범위 A 또는 범위 A와 B로 참조 목록을 만들 수 있지만 범위 A, B, C로는 만들 수 없습니다. |
| 범위가 지정되지 않은 목록을 만들 수 있음 | 예 | 아니요 |
| 범위 지정된 목록을 업데이트할 수 있음 | 예 | 예 (할당된 범위와 일치하거나 할당된 범위의 하위 집합인 범위 포함)
예를 들어 범위가 A와 B인 사용자는 범위 A 또는 범위 A와 B가 있는 참조 목록은 수정할 수 있지만 범위 A, B, C가 있는 참조 목록은 수정할 수 없습니다. |
| 범위가 지정되지 않은 목록을 업데이트할 수 있음 | 예 | 아니요 |
| 범위가 지정된 목록을 범위가 지정되지 않은 목록으로 업데이트할 수 있습니다. | 예 | 아니요 |
| 범위가 지정된 목록을 보고 사용할 수 있습니다. | 예 | 예 (사용자와 참조 목록 간에 일치하는 범위가 하나 이상 있는 경우)
예를 들어 범위가 A와 B인 사용자는 범위 A와 B가 있는 참조 목록을 사용할 수 있지만 범위 C와 D가 있는 참조 목록은 사용할 수 없습니다. |
| 범위가 지정되지 않은 목록을 보고 사용할 수 있습니다. | 예 | 예 |
| 범위가 지정되지 않은 참조 목록으로 UDM 검색 및 대시보드 쿼리를 실행할 수 있습니다. | 예 | 예 |
| 범위 지정된 참조 목록으로 UDM 검색 및 대시보드 쿼리 실행 가능 | 예 | 예 (사용자와 참조 목록 간에 일치하는 범위가 하나 이상 있는 경우)
예를 들어 범위 A의 사용자는 범위 A, B, C의 참조 목록으로 UDM 검색 쿼리를 실행할 수 있지만 범위 B, C의 참조 목록으로는 실행할 수 없습니다. |
참조 목록의 규칙에 대한 액세스 권한
범위가 지정된 규칙은 규칙과 참조 목록 간에 일치하는 범위가 하나 이상 있는 경우 참조 목록을 사용할 수 있습니다. 예를 들어 범위 A의 규칙은 범위 A, B, C가 있는 참조 목록을 사용할 수 있지만 범위 B, C가 있는 참조 목록은 사용할 수 없습니다.
전역 범위의 규칙은 모든 참조 목록을 사용할 수 있습니다.
피드 및 전달자
데이터 RBAC는 피드 및 전달자 실행에 직접적인 영향을 미치지 않습니다. 하지만 구성 중에 사용자는 수신 데이터에 기본 라벨 (로그 유형, 네임스페이스 또는 처리 라벨)을 할당할 수 있습니다. 그런 다음 이 라벨 지정된 데이터를 사용하여 기능에 데이터 RBAC가 적용됩니다.
Looker 대시보드
Looker 대시보드는 데이터 RBAC를 지원하지 않습니다. Looker 대시보드에 대한 액세스는 기능 RBAC로 제어됩니다.
Applied Threat Intelligence (ATI) 및 IOC 일치
IOC 및 ATI 데이터는 환경 내의 잠재적인 보안 위협을 나타내는 정보입니다.
ATI 선별된 감지는 지능형 위협 인텔리전스 (ATI)팀에서 제공하는 규칙에 의해 트리거됩니다. 이러한 규칙은 Mandiant 위협 인텔리전스를 사용하여 높은 우선순위 위협을 사전에 식별합니다. 자세한 내용은 응용 위협 인텔리전스 개요를 참고하세요.
데이터 RBAC는 IOC 일치 및 ATI 데이터에 대한 액세스를 제한하지 않지만 일치는 사용자에게 할당된 범위를 기준으로 필터링됩니다. 사용자는 범위 내에 있는 애셋과 연결된 IOC 및 ATI 데이터의 일치 항목만 볼 수 있습니다.
사용자 및 조직체 행동 분석 (UEBA)
UEBA용 위험 분석 카테고리에서는 잠재적인 보안 위협을 감지하는 사전 빌드된 규칙 세트를 제공합니다. 이러한 규칙 세트는 머신러닝을 사용하여 사용자 및 항목 행동 패턴을 분석하여 사전에 감지를 트리거합니다. 자세한 내용은 UEBA 카테고리의 위험 분석 개요를 참고하세요.
UEBA는 데이터 RBAC를 지원하지 않습니다. 전역 범위가 있는 사용자만 UEBA 카테고리의 위험 분석에 액세스할 수 있습니다.
Google SecOps 전반의 항목 세부정보
애셋 또는 사용자를 설명하는 다음 필드는 UDM Search의 항목 컨텍스트 패널과 같이 Google SecOps의 여러 페이지에 표시됩니다. 데이터 RBAC를 사용하면 전역 범위가 있는 사용자만 이 필드를 사용할 수 있습니다.
- 최초 발생 시간
- 최근 발생 시간
- 보급률
범위가 지정된 사용자는 사용자의 할당된 범위 내 데이터에서 최초 표시 및 최종 표시가 계산되는 경우 사용자 및 애셋의 최초 표시 및 최종 표시 데이터를 볼 수 있습니다.