Impacto del RBAC de datos en las funciones de Google SecOps
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos según los roles de los usuarios individuales organización. Después de configurar el RBAC de datos en un entorno, datos filtrados en las funciones de Google Security Operations. Controles de RBAC de datos el acceso de los usuarios de acuerdo con sus permisos asignados y garantiza que solo la información autorizada. En esta página, se ofrece una descripción general de cómo y el RBAC de datos afecta a cada función de Google SecOps.
Para comprender cómo funciona el RBAC de datos, consulta Descripción general del RBAC de datos.
Buscar
Los datos que se muestran en los resultados de la búsqueda se basan en el acceso a los datos del usuario de los permisos de acceso. Los usuarios solo pueden ver los resultados de los datos que coincidan con los permisos que se asignaron para ellos. Si los usuarios tienen más de un alcance asignado, se ejecuta la búsqueda en los datos combinados de todos los alcances autorizados. Datos que pertenecen a los permisos a los que el usuario no tiene acceso no aparece en los resultados de la búsqueda.
Reglas
Son mecanismos de detección que analizan los datos transferidos y ayudan a identificar posibles amenazas de seguridad. Puedes ver y administrar reglas vinculadas a un al que tienes acceso.
Una regla puede ser global (accesible para todos los usuarios) o estar vinculada a un solo permiso. La regla opera en los datos que coinciden con la definición del permiso. Datos externos no se tiene en cuenta el alcance.
La generación de alertas también se limita a los eventos que coinciden con el alcance de la regla. Reglas que no están vinculados a ningún permiso ejecutado en el permiso global y se aplican a todos de datos no estructurados. Cuando el RBAC de datos está habilitado en una instancia, se se convierten automáticamente en reglas de alcance global.
El alcance asociado con una regla determina de qué manera los usuarios globales y con alcance para interactuar con él. Los permisos de acceso se resumen en el siguiente tabla:
| Acción | Usuario global | Usuario específico |
|---|---|---|
| Puede ver reglas con alcance | Sí | Sí (solo si el alcance de la regla está dentro de los alcances asignados por el usuario)
Por ejemplo, un usuario con los permisos A y B puede ver una regla con el alcance A, pero no una regla con el alcance C. |
| Puede ver reglas globales | Sí | No |
| Puede crear y actualizar reglas con alcance | Sí | Sí (solo si el alcance de la regla está dentro de los alcances asignados por el usuario)
Por ejemplo, un usuario con los permisos A y B puede crear una regla con el alcance A, pero no una con el permiso C. |
| Puede crear y actualizar reglas globales | Sí | No |
Detecciones
Las detecciones son alertas que indican posibles amenazas de seguridad. Las detecciones son activadas por reglas personalizadas, creadas por el equipo de seguridad para tus entorno de Google SecOps.
Las detecciones se generan cuando se reciben los datos de seguridad coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver detecciones que se originan de reglas asociadas a sus alcances asignados. Para ejemplo, un analista de seguridad con el alcance de los datos financieros solo ve detecciones generado por las reglas asignadas al permiso de los datos financieros y no ve detecciones de cualquier otra regla.
Las acciones que un usuario puede realizar en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al alcance en el que ocurrió la detección.
Detecciones seleccionadas
Las detecciones se activan mediante reglas personalizadas creadas por tu equipo de seguridad. mientras que las detecciones seleccionadas se activan mediante reglas proporcionadas por Google Cloud Threat de inteligencia artificial (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudarte a identificar políticas en tu entorno de Google SecOps. Para ver más consulta Usa detecciones seleccionadas para identificar amenazas.
Las detecciones seleccionadas no admiten el RBAC de datos. Solo los usuarios con alcance global pueden acceder a detecciones seleccionadas.
Listas de referencia
Las listas de referencia son colecciones de valores que se usan para buscar coincidencias y filtrar datos en UDM Search y reglas de detección. La asignación de alcances a un una lista de referencia (lista específica) restringe su acceso a usuarios específicos y como reglas y búsquedas de UDM. Una lista de referencia que no tiene un permiso asignado se denomina lista sin alcance.
Permisos de acceso para usuarios en listas de referencia
Los alcances asociados con una lista de referencia determinan cómo los usuarios globales y con alcance pueden interactuar con ella. Los permisos de acceso están se resume en la siguiente tabla:
| Acción | Usuario global | Usuario específico |
|---|---|---|
| Puede crear listas específicas | Sí | Sí (con alcances que coincidan con sus alcances asignados o que sean un subconjunto de sus alcances asignados)
Por ejemplo, un usuario con alcance y permisos A y B puede crear una lista de referencia con el permiso A o con los permisos A y B, pero no con los permisos A, B y C. |
| Puede crear listas sin alcance | Sí | No |
| Puede actualizar la lista específica | Sí | Sí (con alcances que coincidan con sus alcances asignados o que sean un subconjunto de sus alcances asignados)
Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencia con el alcance A o con los alcances A y B, pero no una lista de referencia con los alcances A, B y C. |
| Puede actualizar la lista sin alcance | Sí | No |
| Puede actualizar una lista delimitada a una sin alcance | Sí | No |
| Puede ver y usar listas específicas | Sí | Sí (si hay al menos un alcance que coincide entre el usuario y la lista de referencia)
Por ejemplo, un usuario con los alcances A y B puede usar una lista de referencia con los alcances A y B, pero no una lista de referencia con los alcances C y D. |
| Puede ver y usar listas sin alcance | Sí | Sí |
| Puede ejecutar búsquedas de UDM y del panel con listas de referencia sin alcance | Sí | Sí |
| Puede ejecutar búsquedas de UDM y de paneles con listas de referencia específicas | Sí | Sí (si hay al menos un alcance que coincide entre el usuario y la lista de referencia)
Por ejemplo, un usuario con el alcance A puede ejecutar búsquedas de UDM con listas de referencia con los alcances A, B y C, pero no con listas de referencia con los alcances B y C. |
Permisos de acceso para reglas en listas de referencia
Una regla con alcance puede usar una lista de referencia si hay al menos un alcance que coincida. entre la regla y la lista de referencia. Por ejemplo, una regla con el permiso A puede usar una lista de referencia con alcances A, B y C, pero no una lista de referencia con los alcances B y C.
Una regla con permiso global puede usar cualquier lista de referencia.
Feeds y reenviadores
El RBAC de datos no afecta directamente la ejecución del reenviador y del feed. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de transferencia) a los datos entrantes. Luego, se aplica el RBAC de datos a los atributos que usan estos datos etiquetados.
Paneles de Looker
Los paneles de Looker no admiten el RBAC de datos. Acceso a Looker y paneles de control se controlan con el RBAC de funciones.
Coincidencias de información sobre amenazas aplicadas (ATI) y de IOC
Los datos de IOC y ATI son piezas de información que sugieren de una posible amenaza de seguridad en tu entorno.
Las detecciones seleccionadas de ATI se activan mediante reglas proporcionadas por el Equipo de información sobre amenazas avanzadas (Advanced Threat Intelligence, ATI). Estas reglas utilizan amenazas de Mandiant, para identificar de forma proactiva las amenazas de alta prioridad. Para ver más consulta Descripción general de Applied Threat Intelligence.
El RBAC de datos no restringe el acceso a las coincidencias de IOC ni a los datos de ATI, pero se filtran según los permisos asignados al usuario. Los usuarios solo ven las coincidencias para los datos de IOC y ATI asociados con recursos que se encuentran dentro de de los permisos de acceso.
Análisis de comportamiento del usuario y la entidad (User and Entity Behavior Analytics, UEBA)
La categoría Análisis de riesgos para UEBA ofrece conjuntos de reglas precompilados para detectar posibles amenazas de seguridad. Estos conjuntos de reglas usan aprendizaje automático para activar detecciones analizando patrones de comportamiento de usuarios y entidades. Para obtener más información, consulta la descripción general del análisis de riesgos para la categoría UEBA.
La UEBA no admite el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las estadísticas de riesgos para la categoría UEBA.
Detalles de las entidades en Google SecOps
Los siguientes campos, que describen un recurso o un usuario, aparecen en varias páginas. en Google SecOps, como el panel Entity Context en UDM Search. Con el RBAC de datos, los campos están disponibles solo para los usuarios con alcance global.
- First seen
- Visto por última vez
- Prevalencia
Los usuarios específicos pueden ver los datos de los recursos y del usuario y los recursos que se vieron por primera y última vez si el primer y el último caso se calculan a partir de datos dentro del rango de los permisos de acceso.
¿Qué sigue?
Configura el RBAC de datos para los usuarios