Impacto del control de acceso basado en roles de datos en las funciones de Google SecOps
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos en función de los roles de cada usuario en una organización. Una vez que se haya configurado el control de acceso basado en roles de datos en un entorno, empezará a ver datos filtrados en las funciones de Google Security Operations. Los controles de RBAC de datos controlan el acceso de los usuarios en función de los permisos que se les hayan asignado y aseguran que solo puedan acceder a la información autorizada. En esta página se ofrece una descripción general de cómo afecta el control de acceso basado en roles de datos a cada función de Google SecOps.
Para saber cómo funciona el control de acceso basado en roles de datos, consulta el artículo Información general sobre el control de acceso basado en roles de datos.
Buscar
Los datos devueltos en los resultados de búsqueda se basan en los ámbitos de acceso a datos del usuario. Los usuarios solo pueden ver resultados de datos que coincidan con los ámbitos que se les hayan asignado. Si los usuarios tienen más de un ámbito asignado, la búsqueda se ejecuta en los datos combinados de todos los ámbitos autorizados. Los datos pertenecientes a ámbitos a los que el usuario no tiene acceso no aparecen en los resultados de búsqueda.
Reglas
Las reglas son mecanismos de detección que analizan los datos insertados y ayudan a identificar posibles amenazas de seguridad. Las reglas se pueden clasificar de la siguiente manera:
Reglas acotadas: asociadas a un ámbito de datos específico. Las reglas con ámbito solo pueden operar en los datos que se ajusten a la definición de ese ámbito. Los usuarios con acceso a un ámbito pueden ver y gestionar sus reglas.
Reglas globales: estas reglas tienen una visibilidad más amplia y pueden operar con datos de todos los ámbitos. Para mantener la seguridad y el control, solo los usuarios con ámbito global pueden ver y crear reglas globales.
La generación de alertas se limita a los eventos que coincidan con el ámbito de la regla. Si una regla no tiene ningún ámbito asignado, se ejecuta en el ámbito global y se aplica a todos los datos.
El control de acceso basado en roles de datos afecta a las reglas de las siguientes formas:
El control de acceso basado en roles de datos se habilita antes de asignar ámbitos a las reglas: a todas las reglas se les asigna automáticamente el ámbito global. Asigna ámbitos a cada regla según tus requisitos de control de acceso a los datos.
El RBAC a los datos se habilita después de asignar permisos a las reglas: las reglas con permisos operan en los datos ingeridos según los permisos definidos, incluso antes de que se habilite el RBAC a los datos. De esta forma, los usuarios pueden ver las detecciones que se han generado después de las asignaciones de ámbito.
El ámbito asociado a una regla determina cómo pueden interactuar con ella los usuarios globales y con ámbito. En la siguiente tabla se resumen los permisos de acceso:
| Acción | Usuario global | Usuario con ámbito |
|---|---|---|
| Puede ver reglas con ámbito | Sí | Sí (solo si el ámbito de la regla está dentro de los ámbitos asignados al usuario)
Por ejemplo, un usuario con los permisos A y B puede ver una regla con el permiso A, pero no una regla con el permiso C. |
| Puede ver las reglas globales | Sí | No |
| Puede crear y actualizar reglas de ámbito | Sí | Sí (solo si el ámbito de la regla está dentro de los ámbitos asignados al usuario)
Por ejemplo, un usuario con los ámbitos A y B puede crear una regla con el ámbito A, pero no con el ámbito C. |
| Puede crear y actualizar reglas globales | Sí | No |
Detecciones
Las detecciones son alertas que indican posibles amenazas de seguridad. Las detecciones se activan mediante reglas personalizadas, que crea tu equipo de seguridad para tu entorno de Google SecOps.
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Antes de que se habilite el control de acceso basado en roles de datos, todos los usuarios pueden ver todas las detecciones, independientemente del etiquetado de los permisos. Una vez que se haya habilitado el RBAC de datos, los usuarios solo podrán ver las detecciones que procedan de reglas asociadas a los ámbitos que se les hayan asignado.
Por ejemplo, un analista de seguridad con el ámbito de datos financieros solo ve las detecciones generadas por las reglas asignadas al ámbito de datos financieros y no ve las detecciones de ninguna otra regla.
Las acciones que puede realizar un usuario en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al ámbito en el que se ha producido la detección.
Detecciones seleccionadas
Las detecciones se activan mediante reglas personalizadas creadas por tu equipo de seguridad, mientras que las detecciones seleccionadas se activan mediante reglas proporcionadas por el equipo de Google Cloud Inteligencia de Amenazas (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y gestiona un conjunto de reglas YARA-L para ayudarte a identificar amenazas de seguridad comunes en tu entorno de Google SecOps. Para obtener más información, consulta Usar detecciones seleccionadas para identificar amenazas.
Las detecciones seleccionadas no admiten el control de acceso basado en roles de datos. Solo los usuarios con ámbito global pueden acceder a las detecciones seleccionadas.
Registros sin procesar
Si el RBAC de datos está habilitado, solo los usuarios con ámbito global pueden acceder a los registros sin analizar.
Tablas de datos
Las tablas de datos son estructuras de datos de varias columnas que te permiten introducir tus propios datos en Google SecOps. Pueden actuar como tablas de consulta con columnas definidas y los datos almacenados en filas. Al asignar permisos a una tabla de datos, puede controlar qué usuarios y recursos pueden acceder a ella y utilizarla.
Permisos de acceso para usuarios en tablas de datos
Los ámbitos asociados a una tabla de datos determinan cómo pueden interactuar con ella los usuarios globales y con ámbito. En la siguiente tabla se resumen los permisos de acceso:
| Acción | Usuario global | Usuario con ámbito |
|---|---|---|
| Puede crear tablas de datos con ámbito | Sí | Sí (solo con ámbitos que coincidan con los ámbitos asignados o que sean un subconjunto de ellos) Por ejemplo, un usuario con ámbito que tenga los ámbitos A y B puede crear una tabla de datos con el ámbito A o con los ámbitos A y B, pero no con los ámbitos A, B y C. |
| Puede crear tablas de datos sin acotar | Sí | No |
| Puede actualizar la tabla de datos con ámbito | Sí | Sí (solo con ámbitos que coincidan con los ámbitos asignados o que sean un subconjunto de ellos) Por ejemplo, un usuario con los ámbitos A y B puede modificar una tabla de datos con el ámbito A o con los ámbitos A y B, pero no una tabla de datos con los ámbitos A, B y C. |
| Puede actualizar la tabla de datos sin acotar | Sí | No |
| Puede actualizar una tabla de datos con ámbito a una sin ámbito | Sí | No |
| Puede ver y usar la tabla de datos con ámbito | Sí | Sí (si hay al menos un ámbito coincidente entre el usuario y la tabla de datos) Por ejemplo, un usuario con los ámbitos A y B puede usar una tabla de datos con los ámbitos A y B, pero no una tabla de datos con los ámbitos C y D. |
| Puede ver y usar tablas de datos sin acotar | Sí | Sí |
| Puede ejecutar consultas de búsqueda con tablas de datos sin acotar | Sí | Sí |
| Puede ejecutar consultas de búsqueda con tablas de datos acotadas | Sí | Sí (si hay al menos un ámbito coincidente entre el usuario y la tabla de datos) Por ejemplo, un usuario con el ámbito A puede ejecutar consultas de búsqueda con tablas de datos con los ámbitos A, B y C, pero no con tablas de datos con los ámbitos B y C. |
Listas de referencias
Las listas de referencia son colecciones de valores que se usan para asociar y filtrar datos en las reglas de búsqueda y detección de UDM. Al asignar ámbitos a una lista de referencia (lista con ámbito), se restringe su acceso a usuarios y recursos específicos, como reglas y búsquedas de UDM. Una lista de referencias a la que no se ha asignado ningún ámbito se denomina lista sin ámbito.
Permisos de acceso para usuarios de listas de referencia
Los ámbitos asociados a una lista de referencia determinan cómo pueden interactuar con ella los usuarios globales y los usuarios con ámbito. En la siguiente tabla se resumen los permisos de acceso:
| Acción | Usuario global | Usuario con ámbito |
|---|---|---|
| Puede crear listas con permisos limitados | Sí | Sí (con ámbitos que coincidan con los ámbitos asignados o que sean un subconjunto de ellos)
Por ejemplo, un usuario con permisos limitados que tenga los permisos A y B puede crear una lista de referencia con el permiso A o con los permisos A y B, pero no con los permisos A, B y C. |
| Puede crear listas sin permisos limitados | Sí | No |
| Puede actualizar la lista con ámbito | Sí | Sí (con ámbitos que coincidan con los ámbitos asignados o que sean un subconjunto de ellos)
Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencia con el permiso A o con los permisos A y B, pero no una lista de referencia con los permisos A, B y C. |
| Puede actualizar la lista sin acotar | Sí | No |
| Puede actualizar una lista con ámbito a una lista sin ámbito | Sí | No |
| Puede ver y usar la lista de elementos con ámbito | Sí | Sí (si hay al menos un ámbito coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con los ámbitos A y B puede usar una lista de referencia con los ámbitos A y B, pero no una lista de referencia con los ámbitos C y D. |
| Puede ver y usar la lista sin acotar | Sí | Sí |
| Puede ejecutar búsquedas de UDM y consultas de panel de control con listas de referencia sin acotar | Sí | Sí |
| Puede ejecutar consultas de búsqueda y de panel de control de UDM con listas de referencia acotadas | Sí | Sí (si hay al menos un ámbito coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con el ámbito A puede ejecutar consultas de búsqueda de UDM con listas de referencia con los ámbitos A, B y C, pero no con listas de referencia con los ámbitos B y C. |
Permisos de acceso a las reglas de las listas de referencia
Una regla con permisos puede usar una lista de referencias si hay al menos un permiso coincidente entre la regla y la lista de referencias. Por ejemplo, una regla con el permiso A puede usar una lista de referencias con los permisos A, B y C, pero no una lista de referencias con los permisos B y C.
Una regla con ámbito global puede usar cualquier lista de referencias.
Feeds y reenviadores
El control de acceso basado en roles de datos no afecta directamente a la ejecución del feed y del reenviador. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de ingestión) a los datos entrantes. A continuación, se aplica el control de acceso basado en roles de datos a las funciones que usan estos datos etiquetados.
Paneles de control de Looker
Los paneles de Looker no admiten el control de acceso basado en roles de datos. El acceso a los paneles de control de Looker se controla mediante el control de acceso basado en roles de funciones.
Applied Threat Intelligence (ATI) y coincidencias de IOCs
Los IOCs y los datos de ATI son fragmentos de información que sugieren una posible amenaza de seguridad en tu entorno.
Las detecciones seleccionadas de ATI se activan mediante reglas proporcionadas por el equipo de Advanced Threat Intelligence (ATI). Estas reglas usan la inteligencia de amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad. Para obtener más información, consulta el resumen de Applied Threat Intelligence.
El control de acceso basado en roles de datos no restringe el acceso a las coincidencias de IOC ni a los datos de ATI. Sin embargo, las coincidencias se filtran en función de los ámbitos asignados al usuario. Los usuarios solo ven coincidencias de IOCs y datos de ATI asociados a recursos que estén dentro de sus ámbitos.
Analíticas del comportamiento de usuarios y entidades (UEBA)
La categoría Analíticas de riesgos de UEBA ofrece conjuntos de reglas predefinidos para detectar posibles amenazas de seguridad. Estos conjuntos de reglas usan el aprendizaje automático para activar detecciones de forma proactiva analizando los patrones de comportamiento de los usuarios y las entidades. Para obtener más información, consulta Descripción general de la analítica de riesgos de la categoría UEBA.
UEBA no admite el control de acceso basado en roles de datos. Solo los usuarios con ámbito global pueden acceder a las analíticas de riesgo de la categoría UEBA.
Detalles de la entidad en Google SecOps
Los siguientes campos, que describen un recurso o un usuario, aparecen en varias páginas de Google SecOps, como el panel Contexto de la entidad de la búsqueda de UDM. Con el RBAC de datos, los campos solo están disponibles para los usuarios con ámbito global.
- Visto por primera vez
- Detectada por última vez
- Prevalencia
Los usuarios con ámbito pueden ver los datos de primera y última vez que se han visto los usuarios y los recursos si estos datos se calculan a partir de los datos de los ámbitos asignados al usuario.
Siguientes pasos
Configurar el control de acceso basado en roles de datos para los usuarios
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.