Auswirkungen von RBAC für Daten auf Google SecOps-Funktionen
Die datenrollenbasierte Zugriffssteuerung (Data RBAC) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Organisation einschränkt. Nachdem die datenbezogene rollenbasierte Zugriffssteuerung in einer Umgebung konfiguriert wurde, werden in Google SecOps-Funktionen gefilterte Daten angezeigt. Die RBAC-Steuerelemente für Daten steuern den Nutzerzugriff entsprechend den zugewiesenen Bereichen und sorgen dafür, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite erhalten Sie einen Überblick darüber, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die einzelnen Google SecOps-Funktionen auswirkt.
Informationen zur Funktionsweise von Data RBAC finden Sie unter Data RBAC.
Suchen
Die in den Suchergebnissen zurückgegebenen Daten basieren auf den Datenzugriffsbereichen des Nutzers. Nutzer können nur Ergebnisse aus Daten sehen, die den ihnen zugewiesenen Bereichen entsprechen. Wenn Nutzern mehrere Bereiche zugewiesen sind, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören, auf die der Nutzer keinen Zugriff hat, werden nicht in den Suchergebnissen angezeigt.
Regeln
Regeln sind Erkennungsmechanismen, mit denen die aufgenommenen Daten analysiert und potenzielle Sicherheitsbedrohungen erkannt werden. Regeln können so kategorisiert werden:
Regeln mit beschränktem Umfang: Sie sind einem bestimmten Datenbereich zugeordnet. Regeln mit Bereich können nur für Daten angewendet werden, die in die Definition des Bereichs fallen. Nutzer mit Zugriff auf einen Bereich können die zugehörigen Regeln ansehen und verwalten.
Globale Regeln: Diese Regeln haben eine größere Sichtbarkeit und können auf Daten in allen Bereichen angewendet werden. Aus Sicherheits- und Kontrollgründen können nur Nutzer mit globalem Umfang globale Regeln ansehen und erstellen.
Die Generierung von Benachrichtigungen ist auch auf Ereignisse beschränkt, die dem Umfang der Regel entsprechen. Regeln, die nicht an einen Bereich gebunden sind, werden im globalen Bereich ausgeführt und auf alle Daten angewendet. Wenn die Daten-RBAC für eine Instanz aktiviert ist, werden alle vorhandenen Regeln automatisch in Regeln mit globalem Bereich konvertiert.
Der Bereich, der einer Regel zugeordnet ist, bestimmt, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränkten Berechtigungen |
|---|---|---|
| Kann bereichsbezogene Regeln ansehen | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der zugewiesenen Bereiche des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A, aber nicht mit Bereich C sehen. |
| Darf globale Regeln ansehen | Ja | Nein |
| Kann Regeln mit eingeschränktem Umfang erstellen und aktualisieren | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der zugewiesenen Bereiche des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A, aber keine Regel mit Bereich C erstellen. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Warnungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die auf Regeln basieren, die mit ihren zugewiesenen Bereichen verknüpft sind. Ein Sicherheitsanalyst mit dem Bereich „Finanzdaten“ sieht beispielsweise nur Erkennungen, die von Regeln generiert werden, die dem Bereich „Finanzdaten“ zugewiesen sind, und keine Erkennungen aus anderen Regeln.
Die Aktionen, die ein Nutzer bei einer erkannten Bedrohung ausführen kann (z. B. eine erkannte Bedrohung als behoben markieren), sind ebenfalls auf den Bereich beschränkt, in dem die Bedrohung aufgetreten ist.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden. Kuratierte Erkennungen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der abgestimmten Erkennungsmechanismen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet sie, damit Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung erkennen können. Weitere Informationen finden Sie unter Kuratierte Erkennungen verwenden, um Bedrohungen zu erkennen.
Für kuratierte Erkennungen wird keine rollenbasierte Zugriffssteuerung unterstützt. Nur Nutzer mit globalem Umfang können auf kuratierte Erkennungen zugreifen.
Rohlogs
Wenn die datenbasierte rollenbasierte Zugriffssteuerung aktiviert ist, können nur Nutzer mit globalem Bereich auf nicht geparste Rohlogs zugreifen.
Datentabellen
Datentabellen sind mehrspaltige Datenkonstrukte, mit denen Sie Ihre eigenen Daten in Google SecOps eingeben können. Diese können als Suchtabellen mit definierten Spalten und in Zeilen gespeicherten Daten dienen. Durch die Zuweisung von Bereichen zu einer Datentabelle können Sie steuern, welche Nutzer und Ressourcen darauf zugreifen und sie verwenden können.
Zugriffsberechtigungen für Nutzer in Datentabellen
Die Bereiche, die einer Datentabelle zugeordnet sind, bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränkten Berechtigungen |
|---|---|---|
| Kann eine Datentabelle mit eingeschränktem Umfang erstellen | Ja | Ja (nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind) Ein eingeschränkter Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Datentabelle ohne Bereich erstellen | Ja | Nein |
| Kann die Tabelle mit eingeschränktem Zugriff aktualisieren | Ja | Ja (nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind) Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Datentabelle mit den Bereichen A, B und C. |
| Kann Tabellen ohne Bereich aktualisieren | Ja | Nein |
| Kann eine Tabelle mit eingeschränktem Bereich in eine Tabelle ohne eingeschränkten Bereich ändern | Ja | Nein |
| Kann die Datenbereichstabelle ansehen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt) Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit den Bereichen A und B verwenden, aber nicht eine Datentabelle mit den Bereichen C und D. |
| Kann die Datenübersichtstabelle ohne Bereich ansehen und verwenden | Ja | Ja |
| Suchanfragen mit Daten aus Tabellen ohne Bereichsangabe ausführen | Ja | Ja |
| Suchanfragen mit Tabellen mit eingeschränkten Daten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt) Ein Nutzer mit Bereich A kann beispielsweise Suchanfragen mit Datentabellen mit den Bereichen A, B und C ausführen, aber nicht mit Datentabellen mit den Bereichen B und C. |
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in UDM-Such- und ‑Erkennungsregeln verwendet werden. Wenn Sie einer Referenzliste (Liste mit Bereich) Bereiche zuweisen, wird der Zugriff darauf auf bestimmte Nutzer und Ressourcen wie Regeln und die UDM-Suche beschränkt. Eine Referenzliste ohne zugewiesenen Bereich wird als Liste ohne Bereich bezeichnet.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die Bereiche, die mit einer Referenzliste verknüpft sind, bestimmen, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränkten Berechtigungen |
|---|---|---|
| Kann Listen mit eingeschränktem Umfang erstellen | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder eine Teilmenge davon sind)
Ein Nutzer mit beschränktem Bereich und den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Liste ohne Bereich erstellen | Ja | Nein |
| Kann die Liste mit eingeschränktem Umfang aktualisieren | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder eine Teilmenge davon sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Referenzliste mit den Bereichen A, B und C. |
| Kann Liste ohne Bereichsangabe aktualisieren | Ja | Nein |
| Kann Liste mit eingeschränktem Umfang in eine Liste ohne eingeschränkten Umfang ändern | Ja | Nein |
| Kann die Liste mit eingeschränktem Umfang ansehen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber nicht eine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Bereichsangabe ansehen und verwenden | Ja | Ja |
| UDM-Suchanfragen und Dashboard-Abfragen mit Referenzlisten ohne Bereich ausführen | Ja | Ja |
| UDM-Such- und Dashboardabfragen mit eingeschränkten Referenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten mit den Bereichen B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Für eine Regel mit Bereich kann eine Referenzliste verwendet werden, wenn es mindestens einen übereinstimmenden Bereich zwischen der Regel und der Referenzliste gibt. Eine Regel mit dem Bereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C verwenden, aber nicht eine Referenzliste mit den Bereichen B und C.
Für eine Regel mit globalem Bereich kann jede Referenzliste verwendet werden.
Feeds und Weiterleitungen
Die rollenbasierte Zugriffssteuerung für Daten hat keine direkten Auswirkungen auf die Ausführung von Feeds und Forwardern. Bei der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Logtyp, Namespace oder Ingestion-Labels) zuweisen. Data RBAC wird dann auf Funktionen angewendet, die diese mit Labels versehenen Daten verwenden.
Looker-Dashboards
In Looker-Dashboards wird keine datenbezogene rollenbasierte Zugriffssteuerung unterstützt. Der Zugriff auf Looker-Dashboards wird durch die rollenbasierte Zugriffssteuerung (RBAC) für Funktionen gesteuert.
Angewandte Bedrohungsinformationen (Applied Threat Intelligence, ATI) und IOC-Übereinstimmungen
IOCs und ATI-Daten sind Informationen, die auf eine potenzielle Sicherheitsbedrohung in Ihrer Umgebung hinweisen.
ATI-Erkennungsmechanismen werden durch Regeln ausgelöst, die vom Advanced Threat Intelligence-Team (ATI) bereitgestellt werden. Diese Regeln nutzen Mandiant-Informationen zu Bedrohungen, um proaktiv Bedrohungen mit hoher Priorität zu erkennen. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
Die rollenbasierte Zugriffssteuerung für Daten schränkt den Zugriff auf IOC-Übereinstimmungen und ATI-Daten nicht ein. Die Übereinstimmungen werden jedoch anhand der zugewiesenen Bereiche des Nutzers gefiltert. Nutzer sehen nur Übereinstimmungen für IOCs und ATI-Daten, die mit Assets verknüpft sind, die in ihrem Bereich liegen.
Analysen des Nutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA)
Die Kategorie „Risikoanalyse für UEBA“ bietet vordefinierte Regelsätze zum Erkennen potenzieller Sicherheitsbedrohungen. Bei diesen Regelsätzen wird maschinelles Lernen verwendet, um proaktiv Erkennungen auszulösen, indem Muster für das Verhalten von Nutzern und Entitäten analysiert werden. Weitere Informationen finden Sie unter Übersicht über die Kategorie „Risikoanalyse für UEBA“.
UEBA unterstützt keine rollenbasierte Zugriffssteuerung für Daten. Nur Nutzer mit globalem Bereich können auf die Risikoanalysen für die UEBA-Kategorie zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, werden auf mehreren Seiten in Google SecOps angezeigt, z. B. im Bereich Entity Context (Entitätskontext) in der UDM-Suche. Bei der rollenbasierten Zugriffssteuerung für Daten sind die Felder nur für Nutzer mit globalem Bereich verfügbar.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer mit eingeschränkten Berechtigungen können die Daten zum ersten und letzten Zugriff von Nutzern und Assets ansehen, wenn diese aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.
Nächste Schritte
Daten-RBAC für Nutzer konfigurieren
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten