Impacto do RBAC de dados nos recursos do Google SecOps
O controle de acesso baseado em função de dados (RBAC de dados) é um modelo de segurança que restringe o acesso de usuários aos dados com base em papéis de usuários individuais dentro de uma organização. Depois que o RBAC de dados for configurado em um ambiente, você começará a ver dados filtrados nos recursos das Operações de segurança do Google. O RBAC de dados controla o acesso do usuário de acordo com os escopos atribuídos e garante que ele possa acessar apenas informações autorizadas. Confira nesta página como o RBAC de dados afeta cada recurso do Google SecOps.
Para entender como o RBAC de dados funciona, consulte a Visão geral do RBAC de dados.
Pesquisa
Os dados retornados nos resultados da pesquisa são baseados nos escopos de acesso a dados do usuário. Os usuários só podem ver os resultados dos dados que correspondem aos escopos atribuídos a eles. Se os usuários tiverem mais de um escopo atribuído, a pesquisa será executada nos dados combinados de todos os escopos autorizados. Os dados pertencentes a escopos aos quais o usuário não tem acesso não aparecem nos resultados da pesquisa.
Regras
Regras são mecanismos de detecção que analisam os dados ingeridos e ajudam a identificar possíveis ameaças à segurança. É possível visualizar e gerenciar regras vinculadas a um escopo de dados a que você tem acesso.
Uma regra pode ser global (acessível por todos os usuários) ou vinculada a um único escopo. A regra opera nos dados que correspondem à definição do escopo. Dados fora do escopo não são considerados.
A geração de alertas também é limitada a eventos que correspondem ao escopo da regra. As regras que não estão vinculadas a nenhum escopo são executadas no escopo global e são aplicadas a todos os dados. Quando o RBAC de dados está ativado em uma instância, todas as regras existentes são convertidas automaticamente em regras de escopo global.
O escopo associado a uma regra determina como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode ver regras com escopo | Sim | Sim (apenas se o escopo da regra estiver dentro dos escopos atribuídos do usuário)
Por exemplo, um usuário com escopos A e B poderá ver uma regra com escopo A, mas não uma regra com escopo C. |
| Pode ver regras globais | Sim | No |
| Pode criar e atualizar regras com escopo | Sim | Sim (apenas se o escopo da regra estiver dentro dos escopos atribuídos do usuário)
Por exemplo, um usuário com os escopos A e B pode criar uma regra com o escopo A, mas não uma com o escopo C. |
| Pode criar e atualizar regras globais | Sim | No |
Detecções
As detecções são alertas que indicam possíveis ameaças à segurança. As detecções são acionadas por regras personalizadas, que são criadas pela sua equipe de segurança para o ambiente do Google SecOps.
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver detecções originadas de regras associadas aos escopos atribuídos a eles. Por exemplo, um analista de segurança com o escopo de dados financeiros vê apenas detecções geradas por regras atribuídas ao escopo de dados financeiros e não vê detecções de outras regras.
As ações que um usuário pode realizar em uma detecção (por exemplo, marcar uma detecção como resolvida) também são limitadas ao escopo em que a detecção ocorreu.
Detecções selecionadas
As detecções são acionadas por regras personalizadas criadas pela equipe de segurança, enquanto as detecções selecionadas são acionadas por regras fornecidas pela equipe do Google Cloud Threat Intelligence (GCTI). Como parte das detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras da YARA-L para ajudar você a identificar ameaças comuns de segurança no ambiente do Google SecOps. Para mais informações, consulte Usar detecções selecionadas para identificar ameaças.
As detecções selecionadas não são compatíveis com o RBAC de dados. Somente usuários com escopo global podem acessar detecções selecionadas.
Listas de referências
As listas de referências são coleções de valores usados para corresponder e filtrar dados nas regras de pesquisa e detecção do UDM. A atribuição de escopos a uma lista de referência (lista com escopo) restringe o acesso dela a usuários e recursos específicos, como regras e pesquisa UDM. Uma lista de referências sem escopo atribuído é chamada de lista sem escopo.
Permissões de acesso para usuários em listas de referência
Os escopos associados a uma lista de referência determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode criar lista com escopo | Sim | Sim (com escopos que correspondem aos seus escopos atribuídos ou são um subconjunto deles)
Por exemplo, o usuário com escopo A e B pode criar uma lista de referência com o escopo A ou com os escopos A e B, mas não com os escopos A, B e C. |
| Pode criar uma lista sem escopo | Sim | No |
| Pode atualizar a lista com escopo | Sim | Sim (com escopos que correspondem aos seus escopos atribuídos ou são um subconjunto deles)
Por exemplo, um usuário com escopos A e B pode modificar uma lista de referência com o escopo A ou com os escopos A e B, mas não uma lista de referência com os escopos A, B e C. |
| Pode atualizar a lista sem escopo | Sim | No |
| Pode atualizar a lista com escopo para sem escopo | Sim | No |
| Pode ver e usar a lista com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com os escopos A e B pode usar uma lista de referência com os escopos A e B, mas não uma lista de referência com os escopos C e D. |
| Pode ver e usar a lista sem escopo | Sim | Sim |
| Pode executar consultas de pesquisa UDM e painel com listas de referência sem escopo | Sim | Sim |
| Pode executar pesquisas de UDM e consultas de painel com listas de referência com escopo | Sim | Sim (se houver pelo menos um escopo de correspondência entre o usuário e a lista de referência)
Por exemplo, um usuário com escopo A pode executar consultas de pesquisa UDM com listas de referência com os escopos A, B e C, mas não com listas de referência com escopos B e C. |
Permissões de acesso para regras em listas de referência
Uma regra com escopo poderá usar uma lista de referência se houver pelo menos um escopo de correspondência entre a regra e a lista de referência. Por exemplo, uma regra com escopo A pode usar uma lista de referência com os escopos A, B e C, mas não uma lista de referência com os escopos B e C.
Uma regra com escopo global pode usar qualquer lista de referência.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os usuários podem atribuir os rótulos padrão (tipo de registro, namespace ou rótulos de ingestão) aos dados recebidos. O RBAC de dados é então aplicado aos atributos que usam os dados rotulados.
Painéis do Looker
Os painéis do Looker não oferecem suporte ao RBAC de dados. O acesso aos painéis do Looker é controlado pelo recurso RBAC.
Correspondências de Inteligência aplicada sobre ameaças (ATI) e IOC
Os dados de IOCs e ATI são informações que sugerem uma possível ameaça à segurança no seu ambiente.
As detecções selecionadas pela ATI são acionadas por regras fornecidas pela equipe do Advanced Threat Intelligence (ATI). Essas regras usam a inteligência contra ameaças da Mandiant para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte Visão geral da Inteligência aplicada contra ameaças.
O RBAC de dados não restringe o acesso a correspondências de IOC e dados de ATI. No entanto, as correspondências são filtradas com base nos escopos atribuídos do usuário. Os usuários só veem correspondências de dados de IOCs e ATI que estão associados a recursos que estão dentro dos escopos deles.
Análise comportamental de usuários e entidades (UEBA)
A categoria de análise de risco para UEBA oferece conjuntos de regras pré-criados para detectar possíveis ameaças à segurança. Esses conjuntos de regras usam machine learning para acionar detecções proativamente por meio da análise de padrões de comportamento de usuários e entidades. Para mais informações, consulte Visão geral da análise de risco para a categoria UEBA.
O UEBA não é compatível com o RBAC de dados. Somente usuários com escopo global podem acessar a análise de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os campos a seguir, que descrevem um recurso ou um usuário, aparecem em várias páginas no Google SecOps, como o painel Contexto da entidade na pesquisa do UDM. Com o RBAC de dados, os campos ficam disponíveis apenas para os usuários com escopo global.
- Visto pela primeira vez
- Visto pela última vez
- Prevalência
Os usuários com escopo vão poder conferir os dados de usuários e recursos que foram vistos pela primeira vez e pela última vez se essa visualização for calculada com base nos dados dos escopos atribuídos ao usuário.
A seguir
Configurar o RBAC de dados para usuários