Impact de l'RBAC des données sur les fonctionnalités Google SecOps
Le contrôle des accès basé sur les rôles (RBAC) est un modèle de sécurité qui limite l'accès des utilisateurs aux données en fonction de leurs rôles individuels au sein d'une organisation. Une fois le RBAC des données configuré dans un environnement, les données filtrées commencent à s'afficher dans les fonctionnalités Google Security Operations. Le RBAC des données contrôle l'accès des utilisateurs en fonction des portées qui leur sont attribuées et garantit qu'ils ne peuvent accéder qu'aux informations autorisées. Cette page présente l'impact du RBAC des données sur chaque fonctionnalité Google SecOps.
Pour comprendre le fonctionnement du contrôle RBAC des données, consultez Présentation du contrôle RBAC des données.
Recherche
Les données renvoyées dans les résultats de recherche sont basées sur les champs d'application d'accès aux données de l'utilisateur. Les utilisateurs ne peuvent voir que les résultats des données correspondant aux portées qui leur sont attribuées. Si plusieurs champs d'application sont attribués aux utilisateurs, la recherche est exécutée sur les données combinées de tous les champs d'application autorisés. Les données appartenant à des portées auxquelles l'utilisateur n'a pas accès n'apparaissent pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et aident à identifier les menaces de sécurité potentielles. Vous pouvez afficher et gérer les règles associées à une portée de données à laquelle vous avez accès.
Une règle peut être globale (accessible par tous les utilisateurs) ou liée à un seul champ d'application. La règle s'applique aux données qui correspondent à la définition du champ d'application. Les données en dehors du champ d'application ne sont pas prises en compte.
La génération d'alertes est également limitée aux événements qui correspondent au champ d'application de la règle. Les règles qui ne sont associées à aucun champ d'application s'exécutent dans le champ d'application global et s'appliquent à toutes les données. Lorsque le RBAC des données est activé sur une instance, toutes les règles existantes sont automatiquement converties en règles de portée globale.
Le champ d'application associé à une règle détermine comment les utilisateurs globaux et de portée peuvent interagir avec elle. Les autorisations d'accès sont récapitulées dans le tableau suivant:
| Action | Utilisateur global | Utilisateur avec portée |
|---|---|---|
| Peut afficher les règles de portée | Oui | Oui (uniquement si le champ d'application de la règle est inclus dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des portées A et B peut voir une règle avec la portée A, mais pas une règle avec la portée C. |
| Peut consulter les règles globales | Oui | Non |
| Peut créer et mettre à jour des règles de portée | Oui | Oui (uniquement si le champ d'application de la règle est inclus dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des portées A et B peut créer une règle avec la portée A, mais pas une règle avec la portée C. |
| Peut créer et mettre à jour des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité pour votre environnement Google SecOps.
Des détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux champs d'application qui leur sont attribués. Par exemple, un analyste de sécurité disposant de la portée des données financières ne voit que les détections générées par les règles attribuées à la portée des données financières, et ne voit pas les détections d'autres règles.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, la marquer comme résolue) sont également limitées à la portée dans laquelle la détection s'est produite.
Détections sélectionnées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité, tandis que les détections sélectionnées sont déclenchées par des règles fournies par l'équipe Google Cloud Threat Intelligence (GCTI). Dans le cadre des détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les menaces de sécurité courantes dans votre environnement Google SecOps. Pour en savoir plus, consultez Utiliser des détections sélectionnées pour identifier les menaces.
Les détections sélectionnées ne sont pas compatibles avec le RBAC des données. Seuls les utilisateurs disposant d'une portée globale peuvent accéder aux détections sélectionnées.
Listes de référence
Les listes de référence sont des collections de valeurs utilisées pour faire correspondre et filtrer les données dans les règles de recherche et de détection UDM. L'attribution de champs d'application à une liste de référence (liste avec champ d'application) limite son accès à des utilisateurs et des ressources spécifiques, tels que les règles et la recherche UDM. Une liste de référence à laquelle aucun champ d'application n'est attribué est appelée liste sans champ d'application.
Autorisations d'accès des utilisateurs dans les listes de référence
Les champs d'application associés à une liste de référence déterminent comment les utilisateurs globaux et à champ d'application peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant:
| Action | Utilisateur global | Utilisateur avec portée |
|---|---|---|
| Peut créer une liste avec portée | Oui | Oui (avec des champs d'application correspondant à ceux qui leur sont attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur soumis à des niveaux d'accès avec les niveaux A et B peut créer une liste de référence avec le niveau A ou avec les niveaux A et B, mais pas avec les niveaux A, B et C. |
| Peut créer une liste sans niveau d'accès | Oui | Non |
| Possibilité de mettre à jour la liste de portée | Oui | Oui (avec des champs d'application correspondant à ceux qui leur sont attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur disposant des portées A et B peut modifier une liste de référence avec la portée A ou avec les portées A et B, mais pas une liste de référence avec les portées A, B et C. |
| Possibilité de modifier la liste sans portée | Oui | Non |
| Peut mettre à jour la liste avec portée pour qu'elle n'en ait plus | Oui | Non |
| Peut afficher et utiliser la liste à portée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des champs d'application A et B peut utiliser une liste de référence avec les champs d'application A et B, mais pas une liste de référence avec les champs d'application C et D. |
| Peut afficher et utiliser la liste sans portée | Oui | Oui |
| Peut exécuter des requêtes de recherche UDM et de tableau de bord avec des listes de référence non définies | Oui | Oui |
| Peut exécuter des requêtes de recherche et de tableau de bord UDM avec des listes de référence ciblées | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant du champ d'application A peut exécuter des requêtes de recherche UDM avec des listes de référence avec les champs d'application A, B et C, mais pas avec des listes de référence avec les champs d'application B et C. |
Autorisations d'accès aux règles dans les listes de référence
Une règle à portée limitée peut utiliser une liste de référence si au moins un champ d'application correspond entre la règle et la liste de référence. Par exemple, une règle avec le champ d'application A peut utiliser une liste de référence avec les champs d'application A, B et C, mais pas une liste de référence avec les champs d'application B et C.
Une règle de portée globale peut utiliser n'importe quelle liste de référence.
Flux et transferts
Le RBAC des données n'a pas d'incidence directe sur l'exécution du flux et du forwarder. Toutefois, lors de la configuration, les utilisateurs peuvent attribuer les libellés par défaut (type de journal, espace de noms ou libellés d'ingestion) aux données entrantes. Le RBAC des données est ensuite appliqué aux éléments géographiques à l'aide de ces données libellées.
Tableaux de bord Looker
Les tableaux de bord Looker ne sont pas compatibles avec le contrôle d'accès basé sur les rôles pour les données. L'accès aux tableaux de bord Looker est contrôlé par le RBAC de la fonctionnalité.
Correspondances IOC et Applied Threat Intelligence (ATI)
Les IOC et les données ATI sont des informations qui suggèrent une menace de sécurité potentielle dans votre environnement.
Les détections sélectionnées par l'équipe ATI sont déclenchées par des règles fournies par l'équipe ATI (Advanced Threat Intelligence). Ces règles utilisent l'intelligence sur les menaces Mandiant pour identifier de manière proactive les menaces à priorité élevée. Pour en savoir plus, consultez la présentation de Threat Intelligence appliqué.
Le RBAC des données ne limite pas l'accès aux correspondances IOC et aux données ATI. Toutefois, les correspondances sont filtrées en fonction des champs d'application attribués à l'utilisateur. Les utilisateurs ne voient que les correspondances pour les IOC et les données ATI associées aux éléments qui relèvent de leur champ d'application.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour l'UEBA" propose des ensembles de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning pour déclencher de manière proactive des détections en analysant les modèles de comportement des utilisateurs et des entités. Pour en savoir plus, consultez la section Présentation de la catégorie "Analyse des risques" pour l'UEBA.
L'UEBA n'est pas compatible avec le RBAC des données. Seuls les utilisateurs disposant d'une portée globale peuvent accéder aux analyses de risque pour la catégorie UEBA.
Détails des entités dans Google SecOps
Les champs suivants, qui décrivent un composant ou un utilisateur, apparaissent sur plusieurs pages de Google SecOps, comme le panneau Contexte de l'entité dans la recherche UDM. Avec le RBAC des données, les champs ne sont disponibles que pour les utilisateurs disposant d'une portée globale.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs disposant d'un champ d'application peuvent afficher les données de la première et de la dernière fois que les utilisateurs et les composants ont été vus si ces données sont calculées à partir des données du champ d'application attribué à l'utilisateur.
Étape suivante
Configurer RBAC pour les données pour les utilisateurs