数据 RBAC 对 Google SecOps 功能的影响
数据 RBAC(数据 RBAC)是一种安全模型, 用户基于单个用户角色对数据的访问权限 组织。在环境中配置数据 RBAC 后,您会看到 Google Security Operations 功能中已过滤的数据。数据 RBAC 会根据用户分配的范围来控制用户访问权限,并确保用户只能访问已获授权的信息。本页面简要介绍了数据 RBAC 对各项 Google SecOps 功能的影响。
如需了解数据 RBAC 的运作方式,请参阅数据 RBAC 概览。
搜索
搜索结果中返回的数据基于用户的数据访问权限 范围。用户只能看到与分配给他们的范围相符的数据的结果。如果用户被分配了多个范围,则系统会对所有已获授权范围的组合数据执行搜索。属于用户无权访问的镜头的数据不会显示在搜索结果中。
Rules
规则是一种检测机制,可分析提取的数据并帮助识别 潜在的安全威胁您可以查看和管理绑定到您有权访问的数据范围的规则。
规则可以是全局规则(所有用户均可访问),也可以绑定到单个作用域。规则会对与范围定义匹配的数据进行操作。外部数据 范围。
系统仅会针对与规则范围匹配的事件生成提醒。未绑定到任何范围的规则会在全局范围内运行,并应用于所有数据。在实例上启用数据 RBAC 后,所有现有规则都会自动转换为全局范围规则。
与规则关联的范围决定了全局用户和受限用户可以如何与该规则互动。下表总结了访问权限:
| 操作 | 全局用户 | 受限用户 |
|---|---|---|
| 可以查看限定了范围的规则 | 是 | 是(前提是规则的范围在用户的指定范围内)
例如,范围为 A 和 B 的用户可以看到范围为 A 的规则,但范围为 C 的规则则看不到。 |
| 可以查看全局规则 | 是 | 否 |
| 可以创建和更新限定范围的规则 | 是 | 是(仅当规则的范围在用户分配的范围内时)
例如,具有范围 A 和 B 的用户可以创建范围为 A 的规则,但无法创建范围为 C 的规则。 |
| 可以创建和更新全局规则 | 是 | 否 |
检测
检测是指用于表明潜在安全威胁的提醒。检测由自定义规则触发,这些规则由安全团队为 Google SecOps 环境创建。
当传入的安全数据与规则中定义的条件匹配时,系统会生成检测。用户只能看到与其分配的镜重范围相关联的规则产生的检测结果。对于 例如,具有财务数据范围的安全分析师仅看到 由分配给财务数据范围的规则生成,不会看到 检测出所有其他规则。
用户可以对检测执行的操作(例如,标记检测 也将被限制在检测发生的范围内。
精选检测
检测由安全团队创建的自定义规则触发,而由 Google Cloud 威胁情报 (GCTI) 团队提供的规则触发的是精选检测。作为精选检测的一部分,GCTI 提供和管理一组 YARA-L 规则,以帮助您识别常见的 Google SecOps 环境下的安全防护机制。有关 相关信息,请参阅使用精选检测来识别威胁。
精选检测不支持数据 RBAC。只有全球范围的用户才能访问精选检测结果。
参考列表
引用列表是值的集合,用于在 UDM 搜索和检测规则中匹配和过滤数据。向参考列表(范围列表)分配镜重会限制其对特定用户和资源(例如规则和 UDM 搜索)的访问权限。未指定范围的参考文件列表 称为未限定范围的列表
参考列表中用户的访问权限
与参考列表关联的范围决定了全局用户和范围用户与其交互的方式。访问权限包括 如下表所示:
| 操作 | 全局用户 | 受限用户 |
|---|---|---|
| 可以创建范围限定的列表 | 是 | 可以(使用与其分配的镜重一致或属于其分配的镜重子集的镜重)
例如,具有范围 A 和 B 的受限用户可以使用范围 A 或范围 A 和 B 创建引用列表,但不能使用范围 A、B 和 C 创建引用列表。 |
| 可以创建未限定范围的列表 | 是 | 否 |
| 可以更新限定范围的列表 | 是 | 可以(使用与其分配的镜重一致或属于其分配的镜重子集的镜重)
例如,具有范围 A 和 B 的用户可以修改范围为 A 或范围为 A 和 B 的参考列表,但不能修改范围为 A、B 和 C 的参考列表。 |
| 可以更新未限定范围的列表 | 是 | 否 |
| 可以将限定范围的列表更新为不限定范围的列表 | 是 | 否 |
| 可以查看和使用限定范围的列表 | 是 | 是(如果用户和参考列表之间至少有一个匹配范围)
例如,范围 A 和范围 B 的用户可以使用范围 A 和范围 B 的参考列表,但不能使用范围 C 和 D 的参考列表。 |
| 可以查看和使用未限定范围的列表 | 是 | 是 |
| 可以使用未限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是 |
| 可以使用限定范围的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是(如果用户与参考列表之间至少有一个匹配的范围)
例如,范围 A 的用户可以使用范围 A、B 和 C 的参考列表运行 UDM 搜索查询,但不能使用范围 B 和 C 的参考列表来运行 UDM 搜索查询。 |
参考列表中规则的访问权限
如果规则和参考列表之间至少有一个匹配的范围,则范围限定的规则可以使用参考列表。例如,范围为 A 的规则可以 使用范围为 A、B 和 C 的参考列表,但不要使用范围为 C 的参考列表 范围 B 和 C。
全局范围的规则可以使用任何参考列表。
Feed 和转发器
数据 RBAC 不会直接影响 Feed 和转发器的执行。不过,在配置过程中,用户可以为传入数据分配默认标签(日志类型、命名空间或提取标签)。然后,使用这些标记数据对地图项应用数据 RBAC。
Looker 信息中心
Looker 信息中心不支持数据 RBAC。对 Looker 信息中心的访问权限由功能 RBAC 控制。
Applied Threat Intelligence (ATI) 和 IOC 匹配项
IOC 和 ATI 数据是表明 环境中的潜在安全威胁
ATI 精选检测由高级威胁情报 (ATI) 团队提供的规则触发。这些规则使用 Mandiant 威胁 主动识别高优先级威胁的情报。有关 请参阅 Applied Threat Intelligence 概览。
数据 RBAC 不会限制对 IOC 匹配项和 ATI 数据的访问权限,但会根据用户分配的镜重范围过滤匹配项。用户只能看到与其所涵盖的资源相关联的 IOC 和 ATI 数据的匹配项。
用户和实体行为分析 (UEBA)
“适用于 UEBA 的风险分析”类别提供了预构建的规则集,用于检测潜在的安全威胁。这些规则集使用机器学习技术分析用户和实体行为模式,以便主动触发检测。如需了解详情,请参阅 UEBA 类别风险分析概览。
UEBA 不支持数据 RBAC。只有全球范围的用户才能访问 UEBA 类别的风险分析。
Google SecOps 中的实体详细信息
以下描述资产或用户的字段出现在多个页面上 Google SecOps 中的“实体上下文”面板,例如 UDM 搜索中的实体上下文面板。 使用数据 RBAC 时,只有具有全局范围的用户才能使用这些字段。
- 首次出现时间
- 上次出现时间
- 普及率
符合以下条件时,限定了范围的用户可以查看有关用户和资源首次出现和最后一次看到的数据 “首次出现”和“最后一次出现”基于用户所在地理位置中的数据 范围。