データ RBAC が Google SecOps 機能に与える影響
データのロールベース アクセス制御(データ RBAC)は、組織内の個々のユーザーロールに基づいてデータへのユーザー アクセスを制限するセキュリティ モデルです。環境でデータ RBAC が構成されると、Google SecOps の機能にフィルタされたデータが表示されます。データ RBAC は、割り当てられたスコープに従ってユーザー アクセスを制御し、ユーザーが承認された情報にのみアクセスできるようにします。このページでは、データ RBAC が各 Google SecOps 機能に与える影響の概要について説明します。
データ RBAC の仕組みについては、データ RBAC の概要をご覧ください。
検索
検索結果で返されるデータは、ユーザーのデータアクセス スコープに基づいています。ユーザーに表示されるのは、割り当てられたスコープと一致するデータの結果のみです。ユーザーに複数のスコープが割り当てられている場合、検索は承認されているすべてのスコープの結合データを対象に実行されます。ユーザーにアクセス権のないスコープに属するデータは、検索結果に表示されません。
ルール
ルールは、取り込まれたデータを分析し、潜在的なセキュリティの脅威を特定するのに役立つ検出メカニズムです。ルールは次のように分類できます。
スコープ付きルール: 特定のデータスコープに関連付けられています。スコープ指定されたルールは、そのスコープの定義に該当するデータに対してのみ動作できます。スコープにアクセスできるユーザーは、そのスコープのルールを表示して管理できます。
グローバル ルール: 可視性が高く、すべてのスコープのデータに対して動作できます。セキュリティと制御を維持するため、グローバル スコープを持つユーザーのみがグローバル ルールを表示して作成できます。
アラートの生成も、ルールのスコープに一致するイベントに限定されます。スコープにバインドされていないルールはグローバル スコープで実行され、すべてのデータに適用されます。インスタンスでデータ RBAC が有効になると、既存のルールはすべてグローバル スコープルールに自動的に変換されます。
ルールに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーがルールを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。
| 操作 | グローバル ユーザー | スコープ設定されたユーザー |
|---|---|---|
| スコープ設定されたルールを表示可能 | ○ | ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)
たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを表示できますが、スコープ C のルールは表示できません。 |
| グローバル ルールを表示可能 | ○ | × |
| スコープ設定されたルールを作成、更新可能 | ○ | ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)
たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを作成できますが、スコープ C のルールは作成できません。 |
| グローバル ルールを作成、更新可能 | ○ | × |
検出
検出は、潜在的なセキュリティ上の脅威を示すアラートです。検出は、Google SecOps 環境用にセキュリティ チームが作成したカスタムルールによってトリガーされます。
検出は、受信したセキュリティ データがルールで定義された条件と一致した場合に生成されます。ユーザーは、割り当てられたスコープに関連付けられたルールから発生した検出結果のみを表示できます。たとえば、財務データ スコープを持つセキュリティ アナリストは、財務データ スコープに割り当てられたルールによって生成された検出のみを表示し、他のルールの検出は表示しません。
ユーザーが検出に対して実行できるアクション(検出を解決済みとしてマークするなど)も、検出が発生したスコープに限定されます。
キュレーテッド検出
検出はセキュリティ チームが作成したカスタムルールによってトリガーされますが、キュレーテッド検出は、 Google Cloud 脅威インテリジェンス(GCTI)チームが提供するルールによってトリガーされます。キュレーテッド検出の一部として、GCTI は一連の YARA-L ルールを備えており、Google SecOps 環境内の一般的なセキュリティ脅威の特定を支援します。詳細については、キュレーテッド検出を使用して脅威を特定するをご覧ください。
キュレーテッド検出は、データ RBAC をサポートしていません。キュレーテッド検出にアクセスできるのは、グローバル スコープを持つユーザーのみです。
未加工のログ
データ RBAC が有効になっている場合、解析されていない未加工ログにアクセスできるのは、グローバル スコープを持つユーザーのみです。
データテーブル
データテーブルは、ユーザーが独自のデータを Google SecOps に入力できる、複数列のデータ構造です。定義された列と行に格納されたデータによってルックアップ テーブルとして機能します。データテーブルにスコープを割り当てることで、どのユーザーとリソースがデータテーブルにアクセスして利用できるかを制御できます。
データテーブル内のユーザーのアクセス権限
データテーブルに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーがデータテーブルを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。
| 操作 | グローバル ユーザー | スコープ設定されたユーザー |
|---|---|---|
| スコープ設定されたデータテーブルを作成できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセットのみ) たとえば、スコープ A と B を持つスコープ設定されたユーザーは、スコープ A またはスコープ A と B のデータテーブルを作成できますが、スコープ A、B、C のものは作成できません。 |
| スコープ設定されていないデータテーブルを作成できる | ○ | × |
| スコープ設定されたデータテーブルを更新できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセットのみ) たとえば、スコープ A と B を持つユーザーは、スコープ A またはスコープ A と B のデータテーブルを変更できますが、スコープ A、B、C のものは変更できません。 |
| スコープなしのデータテーブルを更新できる | ○ | × |
| スコープ設定されたデータテーブルをスコープなしに更新できます | ○ | × |
| スコープ設定されたデータテーブルを表示および使用できます。 | ○ | ○(ユーザーとデータテーブルの間に一致するスコープが 1 つ以上ある場合) たとえば、スコープ A と B を持つユーザーは、スコープ A と B のデータテーブルを使用できますが、スコープ C と D のものは使用できません。 |
| スコープなしのデータテーブルを表示および使用できる | ○ | ○ |
| スコープなしのデータテーブルを使用して検索クエリを実行できる | ○ | ○ |
| スコープ設定されたデータテーブルを使用して検索クエリを実行できる | ○ | ○(ユーザーとデータテーブルの間に一致するスコープが 1 つ以上ある場合) たとえば、スコープ A のユーザーは、スコープ A、B、C のデータテーブルを使用して検索クエリを実行できますが、スコープ B、C のデータテーブルを使用しては実行できません。 |
リファレンス リスト
リファレンス リストは、UDM 検索と検出ルールでデータの照合とフィルタリングに使用される値のコレクションです。リファレンス リスト(スコープ設定されたリスト)にスコープを割り当てると、特定のユーザーとリソース(ルールや UDM 検索など)へのアクセスが制限されます。スコープが割り当てられていないリファレンス リストは、スコープなしリストと呼ばれます。
リファレンス リスト内のユーザーのアクセス権限
参照リストに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーが参照リストを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。
| 操作 | グローバル ユーザー | スコープ設定されたユーザー |
|---|---|---|
| スコープ設定されたリストを作成できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット) たとえば、スコープ A と B を持つスコープ設定されたユーザーは、スコープ A またはスコープ A と B の参照リストを作成できますが、スコープ A、B、C のものは作成できません。 |
| スコープ設定されていないリストを作成できる | ○ | × |
| スコープ設定されたリストを更新できる | ○ | はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット) たとえば、スコープ A と B を持つユーザーは、スコープ A またはスコープ A と B の参照リストを変更できますが、スコープ A、B、C のものは変更できません。 |
| スコープなしのリストを更新できる | ○ | × |
| スコープ設定されたリストをスコープなしに更新できます | ○ | × |
| スコープ設定されたリストを表示および使用できます。 | ○ | ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)
たとえば、スコープ A と B を持つユーザーは、スコープ A と B の参照リストを使用できますが、スコープ C と D のものは使用できません。 |
| スコープなしのリストを表示および使用できる | ○ | ○ |
| スコープなしのリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる | ○ | ○ |
| スコープ設定されたリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる | ○ | ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)
たとえば、スコープ A のユーザーは、スコープ A、B、C の参照リストを使用して UDM 検索クエリを実行できますが、スコープ B、C のものを使用しては実行できません。 |
リファレンス リスト内のルールのアクセス権限
スコープ設定されたルールは、ルールとリファレンス リストの間に一致するスコープが 1 つ以上ある場合に、リファレンス リストを使用できます。たとえば、スコープ A のルールは、スコープ A、B、C のリファレンス リストを使用できますが、スコープ B、C のリファレンス リストは使用できません。
グローバル スコープのルールでは、任意のリファレンス リストを使用できます。
フィードとフォワーダー
データ RBAC は、フィードとフォワーダーの実行には直接影響しません。ただし、構成時にユーザーは、受信データにデフォルトのラベル(ログタイプ、名前空間、取り込みラベル)を割り当てることができます。その後、このラベル付きデータを使用して、データ RBAC が機能に適用されます。
Looker ダッシュボード
Looker ダッシュボードは、データ RBAC をサポートしていません。Looker ダッシュボードへのアクセスは、機能 RBAC によって制御されます。
Applied Threat Intelligence(ATI)と IOC の一致
IOC と ATI のデータは、環境内の潜在的なセキュリティの脅威を示す情報です。
ATI キュレーテッド検出は、Advanced Threat Intelligence(ATI)チームが提供するルールによってトリガーされます。これらのルールは、Mandiant の脅威インテリジェンスを使用して、優先度の高い脅威を事前に特定します。詳細については、Applied Threat Intelligence の概要をご覧ください。
データ RBAC では、IOC 一致と ATI データへのアクセスは制限されませんが、一致はユーザーに割り当てられたスコープに基づいてフィルタされます。ユーザーには、自分のスコープ内のアセットに関連付けられている IOC と ATI データの一致のみが表示されます。
ユーザーとエンティティの行動分析(UEBA)
UEBA カテゴリのリスク分析には、潜在的なセキュリティ脅威を検出するための事前構築済みルールセットが用意されています。これらのルールセットは、機械学習を使用して、ユーザーとエンティティの行動パターンを分析し、事前に検出をトリガーします。詳細については、UEBA カテゴリのリスク分析の概要をご覧ください。
UEBA はデータ RBAC をサポートしていません。UEBA カテゴリのリスク分析にアクセスできるのは、グローバル スコープを持つユーザーのみです。
Google SecOps 全体のエンティティの詳細
アセットまたはユーザーを記述する次のフィールドは、UDM 検索の [エンティティ コンテキスト] パネルなど、Google SecOps の複数のページに表示されます。データ RBAC では、フィールドはグローバル スコープを持つユーザーのみが使用できます。
- 初回検知
- 最終検知
- 普及率
スコープ設定されたユーザーは、ユーザーに割り当てられたスコープ内のデータから最初に検知された日時と最後に検知された日時を表示できます。
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。