Impact du RBAC des données sur les fonctionnalités Google SecOps
Le contrôle des accès basé sur les rôles pour les données (RBAC pour les données) est un modèle de sécurité qui limite l'accès des utilisateurs aux données en fonction de leur rôle individuel dans une organisation. Une fois le RBAC des données configuré dans un environnement, vous commencez à voir des données filtrées dans les fonctionnalités Google SecOps. Le RBAC des données contrôle l'accès des utilisateurs en fonction des niveaux d'accès qui leur sont attribués et garantit qu'ils ne peuvent accéder qu'aux informations autorisées. Cette page présente l'impact du RBAC des données sur chaque fonctionnalité Google SecOps.
Pour comprendre le fonctionnement du contrôle des accès basé sur les rôles pour les données, consultez Présentation du contrôle des accès basé sur les rôles pour les données.
Rechercher
Les données renvoyées dans les résultats de recherche sont basées sur les niveaux d'accès aux données de l'utilisateur. Les utilisateurs ne peuvent voir que les résultats des données correspondant aux niveaux d'accès qui leur sont attribués. Si les utilisateurs disposent de plusieurs niveaux d'accès, la recherche est exécutée sur les données combinées de tous les niveaux d'accès autorisés. Les données appartenant à des niveaux d'accès auxquels l'utilisateur n'a pas accès n'apparaissent pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et aident à identifier les menaces de sécurité potentielles. Les règles peuvent être classées comme suit :
Règles limitées : associées à un champ d'application de données spécifique. Les règles limitées à un champ d'application ne peuvent fonctionner que sur les données qui correspondent à la définition de ce champ d'application. Les utilisateurs ayant accès à un champ d'application peuvent afficher et gérer ses règles.
Règles globales : ces règles offrent une visibilité plus large et peuvent s'appliquer aux données de tous les niveaux. Pour assurer la sécurité et le contrôle, seuls les utilisateurs disposant d'un champ d'application global peuvent afficher et créer des règles globales.
La génération d'alertes est également limitée aux événements qui correspondent au champ d'application de la règle. Les règles qui ne sont liées à aucun champ d'application s'exécutent dans le champ d'application global et s'appliquent à toutes les données. Lorsque le contrôle RBAC des données est activé sur une instance, toutes les règles existantes sont automatiquement converties en règles de portée globale.
Le champ d'application associé à une règle détermine la façon dont les utilisateurs globaux et à portée limitée peuvent interagir avec elle. Les autorisations d'accès sont récapitulées dans le tableau suivant :
| Action | Utilisateur mondial | Utilisateur avec accès limité |
|---|---|---|
| Peut afficher les règles limitées | Oui | Oui (uniquement si le champ d'application de la règle se trouve dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut voir une règle avec le niveau d'accès A, mais pas une règle avec le niveau d'accès C. |
| Peut consulter les règles globales | Oui | Non |
| Peut créer et modifier des règles limitées | Oui | Oui (uniquement si le champ d'application de la règle se trouve dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut créer une règle avec le niveau d'accès A, mais pas avec le niveau d'accès C. |
| Peut créer et modifier des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité pour votre environnement Google SecOps.
Les détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux périmètres qui leur ont été attribués. Par exemple, un analyste de la sécurité disposant du champ d'application des données financières ne voit que les détections générées par les règles attribuées au champ d'application des données financières. Il ne voit pas les détections provenant d'autres règles.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, la marquer comme résolue) sont également limitées au champ d'application dans lequel la détection s'est produite.
Détections sélectionnées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité, tandis que les détections sélectionnées sont déclenchées par des règles fournies par l'équipe Google Cloud Threat Intelligence (GCTI). Dans le cadre des détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les menaces de sécurité courantes dans votre environnement Google SecOps. Pour en savoir plus, consultez Utiliser des détections sélectionnées pour identifier les menaces.
Les détections organisées ne sont pas compatibles avec le RBAC des données. Seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux détections sélectionnées.
Journaux bruts
Lorsque le RBAC des données est activé, les journaux bruts non analysés ne sont accessibles qu'aux utilisateurs disposant d'un champ d'application global.
Tables de données
Les tables de données sont des structures de données multicolonnes qui vous permettent d'importer vos propres données dans Google SecOps. Elles peuvent servir de tables de conversion avec des colonnes définies et des données stockées dans les lignes. En attribuant des champs d'application à un tableau de données, vous pouvez contrôler les utilisateurs et les ressources qui peuvent y accéder et l'utiliser.
Autorisations d'accès pour les utilisateurs dans les tableaux de données
Les niveaux d'accès associés à un tableau de données déterminent la façon dont les utilisateurs globaux et ceux disposant d'un accès limité peuvent interagir avec celui-ci. Les autorisations d'accès sont récapitulées dans le tableau suivant :
| Action | Utilisateur mondial | Utilisateur avec accès limité |
|---|---|---|
| Peut créer une table de données limitée | Oui | Oui (uniquement avec des niveaux d'accès identiques ou inclus dans ceux qui leur ont été attribués) Par exemple, un utilisateur limité aux niveaux d'accès A et B peut créer un tableau de données avec le niveau d'accès A ou les niveaux d'accès A et B, mais pas avec les niveaux d'accès A, B et C. |
| Peut créer une table de données sans champ d'application | Oui | Non |
| Peut modifier le tableau de données limité | Oui | Oui (uniquement avec des niveaux d'accès identiques ou inclus dans ceux qui leur ont été attribués) Par exemple, un utilisateur disposant des niveaux d'accès A et B peut modifier une table de données avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas une table de données avec les niveaux d'accès A, B et C. |
| Peut modifier le tableau de données sans champ d'application | Oui | Non |
| Peut modifier une table de données limitée pour qu'elle ne le soit plus | Oui | Non |
| Peut afficher et utiliser une table de données limitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et le tableau de données) Par exemple, un utilisateur disposant des niveaux d'accès A et B peut utiliser un tableau de données avec les niveaux d'accès A et B, mais pas un tableau de données avec les niveaux d'accès C et D. |
| Peut afficher et utiliser le tableau de données sans champ d'application | Oui | Oui |
| Peut exécuter des requêtes de recherche avec des tables de données sans champ d'application | Oui | Oui |
| Peut exécuter des requêtes de recherche avec des tables de données à portée limitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et le tableau de données) Par exemple, un utilisateur disposant du champ d'application A peut exécuter des requêtes de recherche avec des tables de données ayant les champs d'application A, B et C, mais pas avec des tables de données ayant les champs d'application B et C. |
Listes de référence
Les listes de référence sont des collections de valeurs utilisées pour faire correspondre et filtrer les données dans les règles de recherche et de détection UDM. L'attribution de portées à une liste de référence (liste à portée définie) limite son accès à des utilisateurs et des ressources spécifiques, telles que les règles et la recherche UDM. Une liste de références sans portée attribuée est appelée liste sans portée.
Autorisations d'accès pour les utilisateurs dans les listes de référence
Les niveaux d'accès associés à une liste de référence déterminent la façon dont les utilisateurs globaux et ceux disposant d'un accès limité peuvent interagir avec elle. Les autorisations d'accès sont récapitulées dans le tableau suivant :
| Action | Utilisateur mondial | Utilisateur avec accès limité |
|---|---|---|
| Peut créer une liste limitée | Oui | Oui (avec des niveaux d'accès qui correspondent à ceux qui leur ont été attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur soumis à des niveaux d'accès avec les niveaux d'accès A et B peut créer une liste de référence avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas avec les niveaux d'accès A, B et C. |
| Peut créer une liste sans niveau d'accès | Oui | Non |
| Peut modifier la liste limitée | Oui | Oui (avec des niveaux d'accès qui correspondent à ceux qui leur ont été attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut modifier une liste de référence avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas une liste de référence avec les niveaux d'accès A, B et C. |
| Peut modifier la liste sans autorisation | Oui | Non |
| Peut modifier une liste limitée en liste non limitée | Oui | Non |
| Peut afficher et utiliser la liste limitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut utiliser une liste de référence avec les niveaux d'accès A et B, mais pas une liste de référence avec les niveaux d'accès C et D. |
| Peut afficher et utiliser la liste sans portée | Oui | Oui |
| Peut exécuter des requêtes de recherche et de tableau de bord UDM avec des listes de référence sans portée | Oui | Oui |
| Peut exécuter des requêtes de recherche et de tableau de bord UDM avec des listes de référence limitées | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant du champ d'application A peut exécuter des requêtes de recherche UDM avec des listes de référence ayant les champs d'application A, B et C, mais pas avec des listes de référence ayant les champs d'application B et C. |
Autorisations d'accès aux règles dans les listes de référence
Une règle à portée limitée peut utiliser une liste de référence s'il existe au moins une portée correspondante entre la règle et la liste de référence. Par exemple, une règle de portée A peut utiliser une liste de référence de portées A, B et C, mais pas une liste de référence de portées B et C.
Une règle de portée globale peut utiliser n'importe quelle liste de référence.
Flux et transitaires
Le RBAC des données n'affecte pas directement l'exécution du flux et du transmetteur. Toutefois, lors de la configuration, les utilisateurs peuvent attribuer les libellés par défaut (type de journal, espace de noms ou libellés d'ingestion) aux données entrantes. Le RBAC des données est ensuite appliqué aux fonctionnalités qui utilisent ces données étiquetées.
Tableaux de bord Looker
Les tableaux de bord Looker ne sont pas compatibles avec le RBAC des données. L'accès aux tableaux de bord Looker est contrôlé par le RBAC des fonctionnalités.
Applied Threat Intelligence (ATI) et correspondances IOC
Les IOC et les données ATI sont des informations qui suggèrent une menace potentielle pour la sécurité de votre environnement.
Les détections sélectionnées ATI sont déclenchées par des règles fournies par l'équipe Advanced Threat Intelligence (ATI). Ces règles utilisent les renseignements sur les menaces de Mandiant pour identifier de manière proactive les menaces à priorité élevée. Pour en savoir plus, consultez la présentation d'Applied Threat Intelligence.
Le RBAC des données ne limite pas l'accès aux correspondances d'IOC et aux données ATI. Toutefois, les correspondances sont filtrées en fonction des champs d'application attribués à l'utilisateur. Les utilisateurs ne voient que les correspondances pour les données d'IOC et d'ATI associées à des composants qui se trouvent dans leurs périmètres.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour UEBA" propose des ensembles de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning pour déclencher de manière proactive des détections en analysant les schémas de comportement des utilisateurs et des entités. Pour en savoir plus, consultez Présentation de la catégorie "Analyse des risques pour UEBA".
UEBA n'est pas compatible avec le RBAC des données. Seuls les utilisateurs disposant d'un champ d'application global peuvent accéder aux données analytiques sur les risques pour la catégorie UEBA.
Détails de l'entité dans Google SecOps
Les champs suivants, qui décrivent un asset ou un utilisateur, s'affichent sur plusieurs pages de Google SecOps, comme le panneau Contexte de l'entité dans la recherche UDM. Avec le RBAC des données, les champs ne sont disponibles que pour les utilisateurs ayant une portée globale.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs à accès limité peuvent consulter les données de première et dernière connexion des utilisateurs et des ressources si elles sont calculées à partir des données des périmètres qui leur sont attribués.
Étapes suivantes
Configurer le contrôle des accès basé sur les rôles pour les données des utilisateurs
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.