Impacto del RBAC de datos en las funciones de Google SecOps
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que restringe el acceso de los usuarios a los datos según los roles individuales de los usuarios dentro de una organización. Después de configurar el RBAC de datos en un entorno, comenzarás a ver datos filtrados en las funciones de Google SecOps. El RBAC de datos controla el acceso de los usuarios según los permisos asignados y garantiza que los usuarios solo puedan acceder a la información autorizada. En esta página, se proporciona una descripción general del impacto del RBAC de datos en cada función de Google SecOps.
Para comprender cómo funciona el RBAC de datos, consulta la Descripción general del RBAC de datos.
Buscar
Los datos que se muestran en los resultados de la búsqueda se basan en los alcances de acceso a los datos del usuario. Los usuarios solo pueden ver los resultados de los datos que coinciden con los alcances que se les asignaron. Si los usuarios tienen más de un alcance asignado, la búsqueda se ejecuta en los datos combinados de todos los alcances autorizados. Los datos que pertenecen a los alcances a los que el usuario no tiene acceso no aparecen en los resultados de la búsqueda.
Reglas
Las reglas son mecanismos de detección que analizan los datos ingeridos y ayudan a identificar posibles amenazas a la seguridad. Las reglas se pueden categorizar de la siguiente manera:
Reglas con alcance: Se asocian con un alcance de datos específico. Las reglas con alcance solo pueden operar con datos que se encuentren dentro de la definición de ese alcance. Los usuarios con acceso a un alcance pueden ver y administrar sus reglas.
Reglas globales: Con mayor visibilidad, estas reglas pueden operar sobre datos en todos los alcances. Para mantener la seguridad y el control, solo los usuarios con alcance global pueden ver y crear reglas globales.
La generación de alertas también se limita a los eventos que coinciden con el alcance de la regla. Las reglas que no están vinculadas a ningún alcance se ejecutan en el alcance global y se aplican a todos los datos. Cuando se habilita el RBAC de datos en una instancia, todas las reglas existentes se convierten automáticamente en reglas de alcance global.
El alcance asociado a una regla determina cómo los usuarios globales y con alcance pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario con permiso |
|---|---|---|
| Puede ver reglas con alcance | Sí | Sí (solo si el alcance de la regla se encuentra dentro de los alcances asignados al usuario)
Por ejemplo, un usuario con los alcances A y B puede ver una regla con el alcance A, pero no una regla con el alcance C. |
| Puede ver las reglas globales | Sí | No |
| Puede crear y actualizar reglas con alcance | Sí | Sí (solo si el alcance de la regla se encuentra dentro de los alcances asignados al usuario)
Por ejemplo, un usuario con los alcances A y B puede crear una regla con el alcance A, pero no una regla con el alcance C. |
| Puede crear y actualizar reglas globales | Sí | No |
Detecciones
Las detecciones son alertas que indican posibles amenazas a la seguridad. Las detecciones se activan con reglas personalizadas que crea tu equipo de seguridad para tu entorno de Google SecOps.
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con los alcances que se les asignaron. Por ejemplo, un analista de seguridad con el alcance de datos financieros solo ve las detecciones generadas por las reglas asignadas al alcance de datos financieros y no ve las detecciones de ninguna otra regla.
Las acciones que un usuario puede realizar en una detección (por ejemplo, marcar una detección como resuelta) también se limitan al alcance en el que se produjo la detección.
Detecciones seleccionadas
Las detecciones se activan con reglas personalizadas que crea tu equipo de seguridad, mientras que las detecciones seleccionadas se activan con reglas proporcionadas por el equipo de Google Cloud Threat Intelligence (GCTI). Como parte de las detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas de YARA-L para ayudarte a identificar amenazas de seguridad comunes en tu entorno de Google SecOps. Para obtener más información, consulta Cómo usar las detecciones seleccionadas para identificar amenazas.
Las detecciones seleccionadas no admiten el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las detecciones seleccionadas.
Registros sin procesar
Con el RBAC de datos habilitado, solo los usuarios con alcance global pueden acceder a los registros sin procesar sin analizar.
Tablas de datos
Las tablas de datos son estructuras de datos de varias columnas que te permiten ingresar tus propios datos en Google SecOps. Pueden actuar como tablas de consulta con columnas definidas y los datos almacenados en filas. Si asignas alcances a una tabla de datos, puedes controlar qué usuarios y recursos pueden acceder a ella y utilizarla.
Permisos de acceso para los usuarios en las tablas de datos
Los permisos asociados a una tabla de datos determinan cómo los usuarios globales y con permisos pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario con permiso |
|---|---|---|
| Puede crear una tabla de datos con alcance | Sí | Sí (solo con permisos que coinciden con los permisos asignados o son un subconjunto de ellos) Por ejemplo, un usuario con alcance que tiene los alcances A y B puede crear una tabla de datos con el alcance A o con los alcances A y B, pero no con los alcances A, B y C. |
| Puede crear una tabla de datos sin alcance | Sí | No |
| Puede actualizar la tabla de datos con alcance | Sí | Sí (solo con permisos que coinciden con los permisos asignados o son un subconjunto de ellos) Por ejemplo, un usuario con los permisos A y B puede modificar una tabla de datos con el permiso A o con los permisos A y B, pero no una tabla de datos con los permisos A, B y C. |
| Puede actualizar la tabla de datos sin alcance | Sí | No |
| Puede actualizar una tabla de datos con permisos a una sin permisos | Sí | No |
| Puede ver y usar la tabla de datos con alcance | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la tabla de datos) Por ejemplo, un usuario con los permisos A y B puede usar una tabla de datos con los permisos A y B, pero no una tabla de datos con los permisos C y D. |
| Puede ver y usar la tabla de datos sin alcance | Sí | Sí |
| Puede ejecutar búsquedas con tablas de datos sin definir el alcance. | Sí | Sí |
| Puede ejecutar búsquedas con tablas de datos con alcance | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la tabla de datos) Por ejemplo, un usuario con alcance A puede ejecutar búsquedas con tablas de datos con alcances A, B y C, pero no con tablas de datos con alcances B y C. |
Listas de referencia
Las listas de referencia son colecciones de valores que se usan para correlacionar y filtrar datos en las reglas de detección y búsqueda del UDM. Asignar permisos a una lista de referencia (lista con permisos) restringe su acceso a usuarios y recursos específicos, como reglas y búsquedas en el UDM. Una lista de referencia que no tiene un alcance asignado se denomina lista sin alcance.
Permisos de acceso para los usuarios en las listas de referencia
Los permisos asociados a una lista de referencia determinan cómo los usuarios globales y con permisos pueden interactuar con ella. Los permisos de acceso se resumen en la siguiente tabla:
| Acción | Usuario global | Usuario con permiso |
|---|---|---|
| Puede crear una lista con alcance | Sí | Sí (con los alcances que coinciden con los alcances asignados o son un subconjunto de ellos)
Por ejemplo, un usuario con permisos limitados que tiene los permisos A y B puede crear una lista de referencia con el permiso A o con los permisos A y B, pero no con los permisos A, B y C. |
| Puede crear listas sin permisos limitados | Sí | No |
| Se puede actualizar la lista con alcance | Sí | Sí (con los alcances que coinciden con los alcances asignados o son un subconjunto de ellos)
Por ejemplo, un usuario con los permisos A y B puede modificar una lista de referencia con el permiso A o con los permisos A y B, pero no una lista de referencia con los permisos A, B y C. |
| Se puede actualizar la lista sin alcance | Sí | No |
| Se puede actualizar la lista con alcance a sin alcance | Sí | No |
| Puede ver y usar la lista con alcance | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con los permisos A y B puede usar una lista de referencia con los permisos A y B, pero no una lista de referencia con los permisos C y D. |
| Puede ver y usar la lista sin alcance. | Sí | Sí |
| Puede ejecutar búsquedas de UDM y consultas de panel con listas de referencia sin alcance. | Sí | Sí |
| Puede ejecutar búsquedas de UDM y consultas de panel con listas de referencia con alcance. | Sí | Sí (si hay al menos un alcance coincidente entre el usuario y la lista de referencia)
Por ejemplo, un usuario con el alcance A puede ejecutar búsquedas en el UDM con listas de referencia que tengan los alcances A, B y C, pero no con listas de referencia que tengan los alcances B y C. |
Permisos de acceso para las reglas en las listas de referencia
Una regla con permiso puede usar una lista de referencia si hay al menos un permiso coincidente entre la regla y la lista de referencia. Por ejemplo, una regla con el alcance A puede usar una lista de referencia con los alcances A, B y C, pero no una lista de referencia con los alcances B y C.
Una regla con alcance global puede usar cualquier lista de referencia.
Feeds y empresas de reenvío
El RBAC de datos no afecta directamente la ejecución del feed ni del reenvío. Sin embargo, durante la configuración, los usuarios pueden asignar las etiquetas predeterminadas (tipo de registro, espacio de nombres o etiquetas de transferencia) a los datos entrantes. Luego, se aplica el RBAC de datos a las funciones que usan estos datos etiquetados.
Paneles de Looker
Los paneles de Looker no admiten el RBAC de datos. El acceso a los paneles de Looker se controla mediante el RBAC de funciones.
Inteligencia contra amenazas aplicada (ATI) y coincidencias de IOC
Los IOC y los datos de ATI son fragmentos de información que sugieren una posible amenaza de seguridad en tu entorno.
Las detecciones seleccionadas de la ATI se activan con reglas proporcionadas por el equipo de la Inteligencia sobre amenazas avanzada (ATI). Estas reglas utilizan la inteligencia sobre amenazas de Mandiant para identificar de forma proactiva las amenazas de alta prioridad. Para obtener más información, consulta la Descripción general de Applied Threat Intelligence.
El RBAC de datos no restringe el acceso a las coincidencias de IOC ni a los datos de ATI. Sin embargo, las coincidencias se filtran según los permisos asignados al usuario. Los usuarios solo ven coincidencias para los datos de ATI y los IOC asociados con los recursos que se encuentran dentro de sus alcances.
Análisis de comportamiento de usuarios y entidades (UEBA)
La categoría Análisis de riesgos para UEBA ofrece conjuntos de reglas prediseñados para detectar posibles amenazas de seguridad. Estos conjuntos de reglas utilizan el aprendizaje automático para activar de forma proactiva las detecciones analizando los patrones de comportamiento de los usuarios y las entidades. Para obtener más información, consulta Descripción general de la categoría de análisis de riesgo para UEBA.
La UEBA no admite el RBAC de datos. Solo los usuarios con alcance global pueden acceder a las estadísticas de riesgo de la categoría UEBA.
Detalles de la entidad en Google SecOps
Los siguientes campos, que describen un activo o un usuario, aparecen en varias páginas de Google SecOps, como el panel Contexto de la entidad en la Búsqueda de UDM. Con el RBAC de datos, los campos solo están disponibles para los usuarios con alcance global.
- First seen
- Visto por última vez
- Prevalencia
Los usuarios con alcance pueden ver los datos de la primera y la última vez que se vieron los usuarios y los recursos si estos datos se calculan a partir de los datos incluidos en los alcances asignados al usuario.
¿Qué sigue?
Configura el RBAC de datos para los usuarios
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.