Impatto del controllo dell'accesso basato sui ruoli per i dati sulle funzionalità di Google SecOps
Il controllo degli accessi basato sui ruoli per i dati (RBAC per i dati) è un modello di sicurezza che limita l'accesso degli utenti ai dati in base ai singoli ruoli utente all'interno di un'organizzazione. Dopo aver configurato il controllo dell'accesso basato sui ruoli per i dati in un ambiente, inizierai a visualizzare i dati filtrati nelle funzionalità di Google SecOps. I controlli RBAC dei dati controllano l'accesso degli utenti in base agli ambiti assegnati e garantiscono che gli utenti possano accedere solo alle informazioni autorizzate. Questa pagina fornisce una panoramica di come RBAC dei dati influisce su ogni funzionalità di Google SecOps.
Per capire come funziona RBAC per i dati, consulta la panoramica di RBAC per i dati.
Cerca
I dati restituiti nei risultati di ricerca si basano sugli ambiti di accesso ai dati dell'utente. Gli utenti possono visualizzare solo i risultati dei dati che corrispondono agli ambiti assegnati. Se gli utenti hanno più di un ambito assegnato, la ricerca viene eseguita nei dati combinati di tutti gli ambiti autorizzati. I dati appartenenti agli ambiti a cui l'utente non ha accesso non vengono visualizzati nei risultati di ricerca.
Regole
Le regole sono meccanismi di rilevamento che analizzano i dati inseriti e aiutano a identificare potenziali minacce alla sicurezza. Le regole possono essere classificate come segue:
Regole con ambito: associate a un ambito di dati specifico. Le regole con ambito possono operare solo sui dati che rientrano nella definizione dell'ambito. Gli utenti con accesso a un ambito possono visualizzare e gestire le relative regole.
Regole globali: con una visibilità più ampia, queste regole possono operare sui dati in tutti gli ambiti. Per mantenere la sicurezza e il controllo, solo gli utenti con ambito globale possono visualizzare e creare regole globali.
La generazione di avvisi è limitata anche agli eventi che corrispondono all'ambito della regola. Le regole che non sono associate ad alcun ambito vengono eseguite nell'ambito globale e vengono applicate a tutti i dati. Quando il controllo degli accessi basato sui ruoli (RBAC) dei dati è abilitato in un'istanza, tutte le regole esistenti vengono convertite automaticamente in regole con ambito globale.
L'ambito associato a una regola determina il modo in cui gli utenti globali e con ambito possono interagire con la regola. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può visualizzare le regole con ambito | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può visualizzare una regola con l'ambito A, ma non una regola con l'ambito C. |
| Può visualizzare le regole globali | Sì | No |
| Può creare e aggiornare regole con ambito | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può creare una regola con l'ambito A, ma non una regola con l'ambito C. |
| Può creare e aggiornare le regole globali | Sì | No |
Rilevamenti
I rilevamenti sono avvisi che segnalano potenziali minacce alla sicurezza. I rilevamenti vengono attivati da regole personalizzate, create dal tuo team di sicurezza per il tuo ambiente Google SecOps.
I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono visualizzare solo i rilevamenti che derivano da regole associate agli ambiti assegnati. Ad esempio, un analista della sicurezza con l'ambito dei dati finanziari vede solo i rilevamenti generati dalle regole assegnate all'ambito dei dati finanziari e non vede i rilevamenti di altre regole.
Anche le azioni che un utente può intraprendere in merito a un rilevamento (ad esempio, contrassegnare un rilevamento come risolto) sono limitate all'ambito in cui si è verificato il rilevamento.
Rilevamenti selezionati
I rilevamenti vengono attivati da regole personalizzate create dal tuo team di sicurezza, mentre i rilevamenti curati vengono attivati da regole fornite dal team Google Cloud Threat Intelligence (GCTI). Nell'ambito dei rilevamenti curati, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutarti a identificare le minacce alla sicurezza comuni all'interno del tuo ambiente Google SecOps. Per ulteriori informazioni, consulta la pagina Utilizzare i rilevamenti curati per identificare le minacce.
I rilevamenti curati non supportano il controllo dell'accesso basato sui ruoli per i dati. Solo gli utenti con ambito globale possono accedere ai rilevamenti curati.
Log non elaborati
Con il controllo degli accessi basato sui ruoli (RBAC) dei dati attivato, i log non analizzati sono accessibili solo agli utenti con ambito globale.
Tabelle dati
Le tabelle di dati sono costrutti di dati multicolonna che ti consentono di inserire i dati in Google SecOps. Possono fungere da tabelle di ricerca con colonne definite e i dati archiviati in righe. Assegnando ambiti a una tabella di dati, puoi controllare quali utenti e risorse possono accedervi e utilizzarla.
Autorizzazioni di accesso per gli utenti nelle tabelle di dati
Gli ambiti associati a una tabella dei dati determinano il modo in cui gli utenti globali e con ambito possono interagire con la tabella. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare una tabella di dati con ambito | Sì | Sì (solo con ambiti che corrispondono o sono un sottoinsieme degli ambiti assegnati) Ad esempio, un utente con ambito con gli ambiti A e B può creare una tabella di dati con l'ambito A o con gli ambiti A e B, ma non con gli ambiti A, B e C. |
| Può creare una tabella di dati senza ambito | Sì | No |
| Può aggiornare la tabella dei dati con ambito | Sì | Sì (solo con ambiti che corrispondono o sono un sottoinsieme degli ambiti assegnati) Ad esempio, un utente con gli ambiti A e B può modificare una tabella di dati con l'ambito A o con gli ambiti A e B, ma non una tabella di dati con gli ambiti A, B e C. |
| Può aggiornare la tabella dei dati senza ambito | Sì | No |
| Può aggiornare la tabella dei dati con ambito a senza ambito | Sì | No |
| Può visualizzare e utilizzare la tabella dei dati con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e la tabella di dati) Ad esempio, un utente con gli ambiti A e B può utilizzare una tabella di dati con gli ambiti A e B, ma non una tabella di dati con gli ambiti C e D. |
| Può visualizzare e utilizzare la tabella di dati senza ambito | Sì | Sì |
| Può eseguire query di ricerca con tabelle di dati senza ambito | Sì | Sì |
| Può eseguire query di ricerca con tabelle di dati con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e la tabella di dati) Ad esempio, un utente con ambito A può eseguire query di ricerca con tabelle di dati con ambiti A, B e C, ma non con tabelle di dati con ambiti B e C. |
Elenchi di riferimento
Gli elenchi di riferimento sono raccolte di valori utilizzati per la corrispondenza e il filtraggio dei dati nelle regole di rilevamento e ricerca UDM. L'assegnazione di ambiti a un elenco di riferimento (elenco con ambito) ne limita l'accesso a utenti e risorse specifici, ad esempio regole e ricerca UDM. Un elenco di riferimenti a cui non è stato assegnato un ambito viene chiamato elenco senza ambito.
Autorizzazioni di accesso per gli utenti negli elenchi di riferimento
Gli ambiti associati a un elenco di riferimento determinano il modo in cui gli utenti globali e con ambito possono interagire con l'elenco. Le autorizzazioni di accesso sono riassunte nella seguente tabella:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare elenchi con ambito | Sì | Sì (con ambiti che corrispondono a quelli assegnati o che sono un sottoinsieme di quelli assegnati)
Ad esempio, un utente con ambito con gli ambiti A e B può creare un elenco di riferimento con l'ambito A o con gli ambiti A e B, ma non con gli ambiti A, B e C. |
| Può creare elenchi senza ambito | Sì | No |
| Può aggiornare l'elenco con ambito | Sì | Sì (con ambiti che corrispondono a quelli assegnati o che sono un sottoinsieme di quelli assegnati)
Ad esempio, un utente con gli ambiti A e B può modificare un elenco di riferimento con l'ambito A o con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti A, B e C. |
| Può aggiornare l'elenco senza ambito | Sì | No |
| Può aggiornare l'elenco con ambito a senza ambito | Sì | No |
| Può visualizzare e utilizzare l'elenco con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con gli ambiti A e B può utilizzare un elenco di riferimento con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti C e D. |
| Può visualizzare e utilizzare l'elenco senza ambito | Sì | Sì |
| Può eseguire query di ricerca UDM e della dashboard con elenchi di riferimenti senza ambito | Sì | Sì |
| Può eseguire query di ricerca e dashboard UDM con elenchi di riferimento con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con l'ambito A può eseguire query di ricerca UDM con elenchi di riferimento con gli ambiti A, B e C, ma non con elenchi di riferimento con gli ambiti B e C. |
Autorizzazioni di accesso per le regole negli elenchi di riferimento
Una regola con ambito può utilizzare un elenco di riferimento se esiste almeno un ambito corrispondente tra la regola e l'elenco di riferimento. Ad esempio, una regola con ambito A può utilizzare un elenco di riferimento con ambiti A, B e C, ma non un elenco di riferimento con ambiti B e C.
Una regola con ambito globale può utilizzare qualsiasi elenco di riferimento.
Feed e inoltratori
Il controllo dell'accesso basato sui ruoli per i dati non influisce direttamente sull'esecuzione del feed e del forwarder. Tuttavia, durante la configurazione, gli utenti possono assegnare le etichette predefinite (tipo di log, spazio dei nomi o etichette di importazione) ai dati in entrata. RBAC dei dati viene quindi applicato alle funzionalità che utilizzano questi dati etichettati.
Dashboard di Looker
Le dashboard di Looker non supportano il controllo dell'accesso basato sui ruoli (RBAC) dei dati. L'accesso alle dashboard di Looker è controllato da RBAC delle funzionalità.
Applied Threat Intelligence (ATI) e corrispondenze IOC
Gli indicatori di compromissione e i dati ATI sono informazioni che suggeriscono una potenziale minaccia alla sicurezza nel tuo ambiente.
I rilevamenti selezionati ATI vengono attivati da regole fornite dal team Advanced Threat Intelligence (ATI). Queste regole utilizzano la threat intelligence di Mandiant per identificare in modo proattivo le minacce ad alta priorità. Per ulteriori informazioni, vedi Panoramica di Applied Threat Intelligence.
Il controllo dell'accesso basato sui ruoli per i dati non limita l'accesso alle corrispondenze degli indicatori di compromissione e ai dati ATI, ma le corrispondenze vengono filtrate in base agli ambiti assegnati all'utente. Gli utenti vedono solo le corrispondenze per gli indicatori di compromissione e i dati ATI associati alle risorse che rientrano nei loro ambiti.
Analisi comportamentale di entità e utente (UEBA)
La categoria Analisi del rischio per UEBA offre set di regole predefiniti per rilevare potenziali minacce alla sicurezza. Questi set di regole utilizzano il machine learning per attivare in modo proattivo i rilevamenti analizzando i pattern di comportamento di utenti ed entità. Per ulteriori informazioni, consulta la panoramica di Risk Analytics per la categoria UEBA.
UEBA non supporta il controllo dell'accesso basato sui ruoli per i dati. Solo gli utenti con ambito globale possono accedere all'analisi del rischio per la categoria UEBA.
Dettagli dell'entità in Google SecOps
I seguenti campi, che descrivono un asset o un utente, vengono visualizzati in più pagine di Google SecOps, ad esempio nel riquadro Contesto entità in UDM Search. Con il controllo degli accessi basato sui ruoli (RBAC) dei dati, i campi sono disponibili solo per gli utenti con ambito globale.
- Prima visualizzazione
- Ultima visualizzazione
- Prevalenza
Gli utenti con ambito possono visualizzare i dati della prima e dell'ultima occorrenza di utenti e asset se questi vengono calcolati a partire dai dati all'interno degli ambiti assegnati all'utente.
Passaggi successivi
Configurare il controllo dell'accesso basato sui ruoli per gli utenti
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.