Auswirkungen von RBAC für Daten auf Google SecOps-Features
Die rollenbasierte Zugriffssteuerung für Daten (RBAC für Daten) ist ein Sicherheitsmodell, bei dem den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Unternehmen. Nachdem die RBAC für Daten in einer Umgebung konfiguriert wurde, sehen Sie gefilterte Daten in Google Security Operations-Funktionen. Die rollenbasierte Zugriffssteuerung für Daten steuert den Nutzerzugriff gemäß den zugewiesenen Bereichen und sorgt dafür, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite erhalten Sie einen Überblick darüber, RBAC für Daten auf die einzelnen Google SecOps-Features auswirkt.
Informationen zur Funktionsweise von Daten-RBAC finden Sie unter Daten-RBAC – Übersicht.
Suchen
Die in den Suchergebnissen zurückgegebenen Daten basieren auf den Zugriffsbereichen des Nutzers. Nutzer können nur Ergebnisse für Daten sehen, die mit den zugewiesenen Bereichen übereinstimmen an sie weiterzugeben. Wenn Nutzern mehrere Bereiche zugewiesen sind, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören auf die der Nutzer keinen Zugriff hat, erscheint nicht in den Suchergebnissen.
Regeln
Regeln sind Erkennungsmechanismen, die die aufgenommenen Daten analysieren und dabei helfen, potenzielle Sicherheitsbedrohungen. Sie können Regeln aufrufen und verwalten, die an eine auf den Sie Zugriff haben.
Eine Regel kann entweder global (für alle Nutzer zugänglich) oder an einen einzelnen Bereich gebunden sein. Die Regel wird auf die Daten angewendet, die der Definition des Gültigkeitsbereichs entsprechen. Daten außerhalb des Geltungsbereichs werden nicht berücksichtigt.
Außerdem sind Benachrichtigungen auf Ereignisse beschränkt, die dem Geltungsbereich der Regel entsprechen. Regeln die nicht an einen im globalen Gültigkeitsbereich gebundenen Bereich gebunden sind und auf alle Daten. Wenn RBAC für Daten auf einer Instanz aktiviert ist, werden alle vorhandenen Regeln werden automatisch in globale Regeln umgewandelt.
Der mit einer Regel verknüpfte Geltungsbereich bestimmt, wie globale und beschränkte Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgende Tabelle:
| Aktion | Globaler Nutzer | Nutzer mit Begrenzung |
|---|---|---|
| Darf auf einen Bereich reduzierte Regeln ansehen | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der dem Nutzer zugewiesenen Bereiche liegt)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A sehen, aber keine Regel mit Bereich C. |
| Kann globale Regeln ansehen | Ja | Nein |
| Kann auf einen Bereich reduzierte Regeln erstellen und aktualisieren | Ja | Ja (nur wenn der Geltungsbereich der Regel in den zugewiesenen Bereichen des Nutzers liegt)
So kann beispielsweise ein Nutzer mit den Bereichen A und B eine Regel mit Bereich A erstellen, aber keine Regel mit Bereich C. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Folgendes sehen: Erkennungen, die von Regeln stammen, die mit den ihnen zugewiesenen Bereichen verknüpft sind. Für So sieht beispielsweise eine Sicherheitsanalystin mit dem Bereich Finanzdaten nur Erkennungsmechanismen, die durch Regeln generiert wurden, die dem Finanzdatenbereich zugewiesen sind, und sieht keine Erkennung von anderen Regeln.
Die Aktionen, die ein Nutzer bei einer Erkennung ausführen kann, z. B. das Markieren einer Erkennung gelöst werden) sind ebenfalls auf den Umfang beschränkt, in dem die Erkennung erfolgte.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden Ausgewählte Erkennungen werden dagegen durch Regeln ausgelöst, die von Google Cloud Threat Intelligence-Team (GCTI). Im Rahmen der kuratierten Erkennungsmechanismen hat GCTI stellt eine Reihe von YARA-L-Regeln bereit, mit denen Sie gängige Sicherheitsvorkehrungen in Ihrer Google SecOps-Umgebung zu erkennen. Weitere Informationen Weitere Informationen
Ausgewählte Erkennungen unterstützen keine RBAC für Daten. Nur Nutzer mit globalem Geltungsbereich auf ausgewählte Erkennungsmechanismen zugreifen.
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die für den Abgleich und Filtern von Daten in UDM-Such- und Erkennungsregeln Das Zuweisen von Bereichen zu einem schränkt die Referenzliste (Bereichsliste) den Zugriff auf bestimmte Nutzer und wie Regeln und UDM-Suche. Eine Referenzliste, der kein Bereich zugewiesen ist ist eine Liste ohne Geltungsbereich.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die mit einer Referenzliste verknüpften Bereiche bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Begrenzter Nutzer |
|---|---|---|
| Kann auf einen Bereich reduzierte Liste erstellen | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit dem Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Listen ohne Einschränkung erstellen | Ja | Nein |
| Kann die Liste mit Einschränkungen aktualisieren | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder Teil der zugewiesenen Bereiche sind)
Beispielsweise kann ein Nutzer mit den Bereichen A und B eine Referenzliste mit den Bereichen A oder den Bereichen A und B ändern, aber nicht an einer Referenzliste mit den Bereichen A, B und C. |
| Darf Liste ohne Geltungsbereich aktualisieren | Ja | Nein |
| Kann eine auf einen Bereich reduzierte Liste auf eine nicht beschränkte Liste aktualisieren | Ja | Nein |
| Kann Listen mit begrenztem Zugriff aufrufen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber keine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Geltungsbereich ansehen und verwenden | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit nicht bereichsbezogenen Referenzlisten ausführen | Ja | Ja |
| Kann UDM-Such- und Dashboard-Abfragen mit Bereichsreferenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten der Bereiche B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Für eine regelbasierte Zugriffssteuerung kann eine Referenzliste verwendet werden, wenn zwischen der Regel und der Referenzliste mindestens ein übereinstimmender Bereich vorhanden ist. Eine Regel mit Geltungsbereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C, aber keine Referenzliste mit die Bereiche B und C.
Für eine Regel mit globalem Geltungsbereich kann jede beliebige Referenzliste verwendet werden.
Feeds und Weiterleitungen
RBAC wirkt sich nicht direkt auf die Ausführung des Feeds und des Forwarders aus. Bei der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Protokolltyp, Namespace oder Aufnahmelabels) zuweisen. Daten-RBAC wird dann angewendet mit diesen Daten verknüpft sind.
Looker-Dashboards
Looker-Dashboards unterstützen keine Daten-RBAC. Zugriff auf Looker wird durch Feature-RBAC gesteuert.
Übereinstimmungen mit Applied Threat Intelligence (ATI) und IOC
IOCs und ATI-Daten sind Informationen, die auf eine potenzielle Sicherheitsbedrohung in Ihrer Umgebung hinweisen.
Von ATI kuratierte Erkennungen werden durch Regeln ausgelöst, die vom Advanced Threat Intelligence-Team (ATI) Bei diesen Regeln werden Mandiant-Bedrohungsinformationen verwendet, um Bedrohungen mit hoher Priorität proaktiv zu erkennen. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
RBAC schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden anhand der dem Nutzer zugewiesenen Bereiche gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, Bereiche.
Nutzer- und Entitätsverhaltensanalyse (UEBA)
Die Kategorie "Risikoanalyse für UEBA" bietet vordefinierte Regelsätze, potenzielle Sicherheitsbedrohungen. Diese Regelsätze nutzen maschinelles Lernen, um durch die Analyse von Verhaltensmustern von Nutzern und Entitäten die Erkennung auslösen. Weitere Informationen finden Sie in der Übersicht über die Risikoanalyse für die UEBA-Kategorie.
UEBA unterstützt kein Daten-RBAC. Nur Nutzer mit globalem Geltungsbereich kann auf die Risikoanalyse für die UEBA-Kategorie zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, sind auf mehreren Seiten in Google SecOps zu sehen, z. B. im Bereich Entity Context (Entitätskontext) in der UDM-Suche. Mit Daten-RBAC sind die Felder nur für Nutzer verfügbar, die globalen Geltungsbereich zu finden.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer in einer bestimmten Gruppe können die zuerst und zuletzt erfassten Daten von Nutzern und Assets sehen, wenn „Zuerst erfasst“ und „Zuletzt erfasst“ werden anhand der Daten berechnet, Bereiche.
Nächste Schritte
RBAC für Daten für Nutzer konfigurieren