Dampak RBAC data pada fitur Google SecOps
Kontrol akses berbasis peran data (RBAC data) adalah model keamanan yang membatasi akses pengguna ke data berdasarkan peran pengguna masing-masing dalam organisasi. Setelah RBAC data dikonfigurasi di lingkungan, Anda akan mulai melihat data yang difilter di fitur Google SecOps. Kontrol RBAC data mengontrol akses pengguna sesuai dengan cakupan yang ditetapkan dan memastikan bahwa pengguna hanya dapat mengakses informasi yang sah. Halaman ini memberikan ringkasan tentang pengaruh RBAC data terhadap setiap fitur Google SecOps.
Untuk memahami cara kerja RBAC data, lihat Ringkasan RBAC Data.
Telusuri
Data yang ditampilkan dalam hasil penelusuran didasarkan pada cakupan akses data pengguna. Pengguna hanya dapat melihat hasil dari data yang cocok dengan cakupan yang ditetapkan untuk mereka. Jika pengguna memiliki lebih dari satu cakupan yang ditetapkan, penelusuran akan dijalankan di seluruh gabungan data dari semua cakupan yang diberi otorisasi. Data yang termasuk dalam cakupan yang tidak dapat diakses pengguna tidak akan muncul di hasil penelusuran.
Aturan
Aturan adalah mekanisme deteksi yang menganalisis data yang diserap dan membantu mengidentifikasi potensi ancaman keamanan. Aturan dapat dikategorikan sebagai berikut:
Aturan yang dicakup: dikaitkan dengan cakupan data tertentu. Aturan yang diberi cakupan hanya dapat beroperasi pada data yang termasuk dalam definisi cakupan tersebut. Pengguna dengan akses ke cakupan dapat melihat dan mengelola aturannya.
Aturan global: dengan visibilitas yang lebih luas, aturan ini dapat beroperasi pada data di semua cakupan. Untuk menjaga keamanan dan kontrol, hanya pengguna dengan cakupan global yang dapat melihat dan membuat aturan global.
Pembuatan pemberitahuan juga terbatas pada peristiwa yang cocok dengan cakupan aturan. Aturan yang tidak terikat ke cakupan apa pun berjalan dalam cakupan global dan diterapkan ke semua data. Jika RBAC data diaktifkan pada instance, semua aturan yang ada akan dikonversi secara otomatis menjadi aturan cakupan global.
Cakupan yang terkait dengan aturan menentukan cara pengguna global dan cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna yang memiliki cakupan |
|---|---|---|
| Dapat melihat aturan yang tercakup | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat melihat aturan dengan cakupan A, tetapi tidak dapat melihat aturan dengan cakupan C. |
| Dapat melihat aturan global | Ya | Tidak |
| Dapat membuat dan memperbarui aturan yang tercakup | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat membuat aturan dengan cakupan A, tetapi tidak dapat membuat aturan dengan cakupan C. |
| Dapat membuat dan memperbarui aturan global | Ya | Tidak |
Deteksi
Deteksi adalah pemberitahuan yang menandakan potensi ancaman keamanan. Deteksi dipicu oleh aturan kustom, yang dibuat oleh tim keamanan Anda untuk lingkungan Google SecOps Anda.
Deteksi dibuat saat data keamanan masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Misalnya, analis keamanan dengan cakupan data keuangan hanya melihat deteksi yang dihasilkan oleh aturan yang ditetapkan ke cakupan data keuangan, dan tidak melihat deteksi dari aturan lainnya.
Tindakan yang dapat dilakukan pengguna pada deteksi (misalnya, menandai deteksi sebagai telah diselesaikan) juga dibatasi pada cakupan tempat deteksi terjadi.
Deteksi pilihan
Deteksi dipicu oleh aturan khusus yang dibuat oleh tim keamanan Anda, sedangkan deteksi yang dikurasi dipicu oleh aturan yang disediakan oleh tim Google Cloud Threat Intelligence (GCTI). Sebagai bagian dari deteksi pilihan, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu Anda mengidentifikasi ancaman keamanan umum dalam lingkungan Google SecOps Anda. Untuk mengetahui informasi selengkapnya, lihat Menggunakan deteksi yang dikurasi untuk mengidentifikasi ancaman.
Deteksi yang dikurasi tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses deteksi yang dikurasi.
Log mentah
Dengan RBAC data diaktifkan, log mentah yang tidak diuraikan hanya dapat diakses oleh pengguna dengan cakupan global.
Tabel data
Tabel data adalah konstruksi data multikolom yang memungkinkan Anda memasukkan data Anda sendiri ke Google SecOps. Tabel ini dapat berfungsi sebagai tabel pemeta dengan kolom yang ditentukan dan data yang disimpan dalam baris. Dengan menetapkan cakupan ke tabel data, Anda dapat mengontrol pengguna dan resource mana yang dapat mengakses dan menggunakannya.
Izin akses untuk pengguna dalam tabel data
Cakupan yang terkait dengan tabel data menentukan cara pengguna global dan pengguna yang memiliki cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna yang memiliki cakupan |
|---|---|---|
| Dapat membuat tabel data yang tercakup | Ya | Ya (hanya dengan cakupan yang cocok atau merupakan subset dari cakupan yang ditetapkan untuknya) Misalnya, pengguna yang memiliki cakupan A dan B dapat membuat tabel data dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dengan cakupan A, B, dan C. |
| Dapat membuat tabel data tanpa cakupan | Ya | Tidak |
| Dapat memperbarui tabel data yang tercakup | Ya | Ya (hanya dengan cakupan yang cocok atau merupakan subset dari cakupan yang ditetapkan untuknya) Misalnya, pengguna dengan cakupan A dan B dapat mengubah tabel data dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dapat mengubah tabel data dengan cakupan A, B, dan C. |
| Dapat memperbarui tabel data tanpa cakupan | Ya | Tidak |
| Dapat memperbarui tabel data yang tercakup menjadi tidak tercakup | Ya | Tidak |
| Dapat melihat dan menggunakan tabel data yang memiliki cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan tabel data) Misalnya, pengguna dengan cakupan A dan B dapat menggunakan tabel data dengan cakupan A dan B, tetapi tidak dapat menggunakan tabel data dengan cakupan C dan D. |
| Dapat melihat dan menggunakan tabel data yang tidak memiliki cakupan | Ya | Ya |
| Dapat menjalankan kueri penelusuran dengan tabel data yang tidak tercakup | Ya | Ya |
| Dapat menjalankan kueri penelusuran dengan tabel data yang tercakup | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan tabel data) Misalnya, pengguna dengan cakupan A dapat menjalankan kueri penelusuran dengan tabel data yang memiliki cakupan A, B, dan C, tetapi tidak dengan tabel data yang memiliki cakupan B dan C. |
Daftar referensi
Daftar referensi adalah kumpulan nilai yang digunakan untuk mencocokkan dan memfilter data dalam Penelusuran UDM dan aturan deteksi. Menetapkan cakupan ke daftar rujukan (daftar cakupan) membatasi aksesnya ke pengguna dan resource tertentu seperti aturan dan penelusuran UDM. Daftar referensi yang tidak memiliki cakupan yang ditetapkan disebut daftar tanpa cakupan.
Izin akses untuk pengguna dalam daftar referensi
Cakupan yang terkait dengan daftar referensi menentukan cara pengguna global dan pengguna yang memiliki cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna yang memiliki cakupan |
|---|---|---|
| Dapat membuat daftar yang tercakup | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan untuknya atau merupakan subset dari cakupan yang ditetapkan untuknya)
Misalnya, pengguna dalam cakupan dengan cakupan A dan B dapat membuat daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dengan cakupan A, B, dan C. |
| Dapat membuat daftar yang tidak dicakup | Ya | Tidak |
| Dapat memperbarui daftar yang tercakup | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan untuknya atau merupakan subset dari cakupan yang ditetapkan untuknya)
Misalnya, pengguna dengan cakupan A dan B dapat mengubah daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dapat mengubah daftar referensi dengan cakupan A, B, dan C. |
| Dapat memperbarui daftar yang tidak tercakup | Ya | Tidak |
| Dapat memperbarui daftar yang tercakup menjadi tidak tercakup | Ya | Tidak |
| Dapat melihat dan menggunakan daftar yang tercakup | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dan B dapat menggunakan daftar referensi dengan cakupan A dan B, tetapi tidak dapat menggunakan daftar referensi dengan cakupan C dan D. |
| Dapat melihat dan menggunakan daftar yang tidak memiliki cakupan | Ya | Ya |
| Dapat menjalankan kueri dasbor dan penelusuran UDM dengan daftar referensi yang tidak tercakup | Ya | Ya |
| Dapat menjalankan kueri penelusuran UDM dan dasbor dengan daftar referensi yang tercakup | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dapat menjalankan kueri penelusuran UDM dengan daftar referensi yang memiliki cakupan A, B, dan C, tetapi tidak dengan daftar referensi yang memiliki cakupan B dan C. |
Izin akses untuk aturan dalam daftar referensi
Aturan yang memiliki cakupan dapat menggunakan daftar referensi jika ada setidaknya satu cakupan yang cocok antara aturan dan daftar referensi. Misalnya, aturan dengan cakupan A dapat menggunakan daftar referensi dengan cakupan A, B, dan C, tetapi tidak dapat menggunakan daftar referensi dengan cakupan B dan C.
Aturan dengan cakupan global dapat menggunakan daftar referensi apa pun.
Feed dan penerusan
RBAC data tidak secara langsung memengaruhi eksekusi feed dan penerusan. Namun, selama konfigurasi, pengguna dapat menetapkan label default (jenis log, namespace, atau label penyerapan) ke data yang masuk. RBAC data kemudian diterapkan ke fitur yang menggunakan data berlabel ini.
Dasbor Looker
Dasbor Looker tidak mendukung RBAC data. Akses ke dasbor Looker dikontrol oleh RBAC fitur.
Penerapan Inteligensi Ancaman (ATI) dan kecocokan IOC
Data IOC dan ATI adalah informasi yang menunjukkan potensi ancaman keamanan dalam lingkungan Anda.
Deteksi pilihan ATI dipicu oleh aturan yang disediakan oleh tim Advanced Threat Intelligence (ATI). Aturan ini menggunakan intelijen ancaman Mandiant untuk mengidentifikasi ancaman berprioritas tinggi secara proaktif. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Applied Threat Intelligence.
RBAC data tidak membatasi akses ke kecocokan IOC dan data ATI, tetapi kecocokan difilter berdasarkan cakupan yang ditetapkan pengguna. Pengguna hanya melihat kecocokan untuk data IOC dan ATI yang terkait dengan aset yang berada dalam cakupan mereka.
Analisis Perilaku Pengguna dan Entitas (UEBA)
Kategori Analisis Risiko untuk UEBA menawarkan set aturan bawaan untuk mendeteksi potensi ancaman keamanan. Kumpulan aturan ini menggunakan machine learning untuk secara proaktif memicu deteksi dengan menganalisis pola perilaku pengguna dan entitas. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kategori Analisis Risiko untuk UEBA.
UEBA tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko untuk kategori UEBA.
Detail entitas di Google SecOps
Kolom berikut, yang menjelaskan aset atau pengguna, muncul di beberapa halaman di Google SecOps, seperti panel Konteks Entitas di Penelusuran UDM. Dengan RBAC data, kolom hanya tersedia untuk pengguna dengan cakupan global.
- Pertama terlihat
- Terakhir terlihat
- Prevalensi
Pengguna yang memiliki cakupan dapat melihat data pertama kali terlihat dan terakhir kali terlihat dari pengguna dan aset jika data pertama kali terlihat dan terakhir kali terlihat dihitung dari data dalam cakupan yang ditetapkan pengguna.
Langkah berikutnya
Mengonfigurasi RBAC data untuk pengguna
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.