Impacto do RBAC de dados nas funcionalidades do Google SecOps
O controlo de acesso baseado em funções de dados (RBAC de dados) é um modelo de segurança que restringe o acesso dos utilizadores aos dados com base nas funções individuais dos utilizadores numa organização. Depois de configurar o RBAC de dados num ambiente, começa a ver dados filtrados nas funcionalidades do Google Security Operations. O RBAC de dados controla o acesso dos utilizadores de acordo com os respetivos âmbitos atribuídos e garante que os utilizadores só podem aceder a informações autorizadas. Esta página apresenta uma vista geral do impacto do RBAC de dados em cada funcionalidade do Google SecOps.
Para compreender como funciona o RBAC de dados, consulte o artigo Vista geral do RBAC de dados.
Pesquisar
Os dados devolvidos nos resultados da pesquisa baseiam-se nos âmbitos de acesso aos dados do utilizador. Os utilizadores só podem ver resultados de dados que correspondam aos âmbitos que lhes foram atribuídos. Se os utilizadores tiverem mais do que um âmbito atribuído, a pesquisa é executada nos dados combinados de todos os âmbitos autorizados. Os dados pertencentes a âmbitos aos quais o utilizador não tem acesso não aparecem nos resultados da pesquisa.
Regras
As regras são mecanismos de deteção que analisam os dados carregados e ajudam a identificar potenciais ameaças de segurança. As regras podem ser categorizadas da seguinte forma:
Regras com âmbito: associadas a um âmbito de dados específico. As regras com âmbito só podem operar em dados que se enquadrem na definição desse âmbito. Os utilizadores com acesso a um âmbito podem ver e gerir as respetivas regras.
Regras globais: com uma visibilidade mais ampla, estas regras podem operar em dados em todos os âmbitos. Para manter a segurança e o controlo, apenas os utilizadores com âmbito global podem ver e criar regras globais.
A geração de alertas está restrita a eventos que correspondam ao âmbito da regra. Se uma regra não tiver um âmbito atribuído, é executada no âmbito global e aplica-se a todos os dados.
O RBAC de dados afeta as regras das seguintes formas:
O RBAC de dados é ativado antes de atribuir âmbitos às regras: todas as regras existentes recebem automaticamente o âmbito global. Atribua âmbitos a cada regra de acordo com o seu requisito de controlo de acesso aos dados.
O RBAC de dados é ativado depois de atribuir âmbitos às regras: as regras com âmbito operam nos dados carregados de acordo com os respetivos âmbitos definidos, mesmo antes de o RBAC de dados ser ativado. Isto permite que os utilizadores vejam deteções geradas após as atribuições de âmbito.
O âmbito associado a uma regra determina a forma como os utilizadores globais e com âmbito podem interagir com a mesma. As autorizações de acesso estão resumidas na tabela seguinte:
| Ação | Utilizador global | Utilizador com âmbito |
|---|---|---|
| Pode ver regras com âmbito | Sim | Sim (apenas se o âmbito da regra estiver nos âmbitos atribuídos ao utilizador)
Por exemplo, um utilizador com os âmbitos A e B pode ver uma regra com o âmbito A, mas não uma regra com o âmbito C. |
| Pode ver regras globais | Sim | Não |
| Pode criar e atualizar regras com âmbito | Sim | Sim (apenas se o âmbito da regra estiver nos âmbitos atribuídos ao utilizador)
Por exemplo, um utilizador com os âmbitos A e B pode criar uma regra com o âmbito A, mas não uma regra com o âmbito C. |
| Pode criar e atualizar regras globais | Sim | Não |
Deteções
As deteções são alertas que indicam potenciais ameaças à segurança. As deteções são acionadas por regras personalizadas, que são criadas pela sua equipa de segurança para o seu ambiente do Google SecOps.
As deteções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos numa regra. Antes de a RBAC de dados ser ativada, todos os utilizadores têm visibilidade de todas as deteções, independentemente da etiquetagem de âmbito. Depois de a RBAC de dados estar ativada, os utilizadores só podem ver deteções originadas de regras associadas aos respetivos âmbitos atribuídos.
Por exemplo, um analista de segurança com o âmbito de dados financeiros só vê deteções geradas por regras atribuídas ao âmbito de dados financeiros e não vê deteções de outras regras.
As ações que um utilizador pode realizar numa deteção (por exemplo, marcar uma deteção como resolvida) também estão limitadas ao âmbito em que a deteção ocorreu.
Deteções organizadas
As deteções são acionadas por regras personalizadas criadas pela sua equipa de segurança, enquanto as deteções organizadas são acionadas por regras fornecidas pela equipa de Google Cloud informações sobre ameaças (GCTI). Como parte das deteções organizadas, o GCTI fornece e gere um conjunto de regras YARA-L para ajudar a identificar ameaças de segurança comuns no seu ambiente do Google SecOps. Para mais informações, consulte o artigo Use deteções organizadas para identificar ameaças.
As deteções organizadas não suportam RBAC de dados. Apenas os utilizadores com âmbito global podem aceder a deteções organizadas.
Registos não processados
Com a RBAC de dados ativada, os registos não processados não analisados só estão acessíveis aos utilizadores com âmbito global.
Tabelas de dados
As tabelas de dados são construções de dados com várias colunas que lhe permitem introduzir os seus próprios dados no Google SecOps. Podem funcionar como tabelas de consulta com colunas definidas e os dados armazenados em linhas. Ao atribuir âmbitos a uma tabela de dados, pode controlar que utilizadores e recursos podem aceder e utilizá-la.
Autorizações de acesso para utilizadores em tabelas de dados
Os âmbitos associados a uma tabela de dados determinam a forma como os utilizadores globais e com âmbito podem interagir com a mesma. As autorizações de acesso estão resumidas na tabela seguinte:
| Ação | Utilizador global | Utilizador com âmbito |
|---|---|---|
| Pode criar uma tabela de dados com âmbito | Sim | Sim (apenas com âmbitos que correspondam ou sejam um subconjunto dos respetivos âmbitos atribuídos) Por exemplo, um utilizador com âmbito com os âmbitos A e B pode criar uma tabela de dados com o âmbito A ou com os âmbitos A e B, mas não com os âmbitos A, B e C. |
| Pode criar uma tabela de dados sem âmbito | Sim | Não |
| Pode atualizar a tabela de dados com âmbito | Sim | Sim (apenas com âmbitos que correspondam ou sejam um subconjunto dos respetivos âmbitos atribuídos) Por exemplo, um utilizador com âmbitos A e B pode modificar uma tabela de dados com o âmbito A ou com os âmbitos A e B, mas não uma tabela de dados com os âmbitos A, B e C. |
| Pode atualizar a tabela de dados sem âmbito | Sim | Não |
| Pode atualizar a tabela de dados com âmbito para sem âmbito | Sim | Não |
| Pode ver e usar a tabela de dados com âmbito | Sim | Sim (se existir, pelo menos, um âmbito correspondente entre o utilizador e a tabela de dados) Por exemplo, um utilizador com âmbitos A e B pode usar uma tabela de dados com âmbitos A e B, mas não uma tabela de dados com âmbitos C e D. |
| Pode ver e usar a tabela de dados sem âmbito | Sim | Sim |
| Pode executar consultas de pesquisa com tabelas de dados sem âmbito | Sim | Sim |
| Pode executar consultas de pesquisa com tabelas de dados delimitadas | Sim | Sim (se existir, pelo menos, um âmbito correspondente entre o utilizador e a tabela de dados) Por exemplo, um utilizador com o âmbito A pode executar consultas de pesquisa com tabelas de dados com os âmbitos A, B e C, mas não com tabelas de dados com os âmbitos B e C. |
Listas de referências
As listas de referência são coleções de valores que são usadas para a correspondência e a filtragem de dados nas regras de pesquisa e deteção da UDM. A atribuição de âmbitos a uma lista de referência (lista com âmbito) restringe o respetivo acesso a utilizadores e recursos específicos, como regras e pesquisa de UDM. Uma lista de referência que não tem um âmbito atribuído é denominada uma lista sem âmbito.
Autorizações de acesso para utilizadores em listas de referência
Os âmbitos associados a uma lista de referência determinam a forma como os utilizadores globais e com âmbito podem interagir com a mesma. As autorizações de acesso estão resumidas na seguinte tabela:
| Ação | Utilizador global | Utilizador com âmbito |
|---|---|---|
| Pode criar uma lista com âmbito | Sim | Sim (com âmbitos que correspondem aos âmbitos atribuídos ou são um subconjunto dos âmbitos atribuídos)
Por exemplo, um utilizador com âmbito com os âmbitos A e B pode criar uma lista de referência com o âmbito A ou com os âmbitos A e B, mas não com os âmbitos A, B e C. |
| Pode criar uma lista sem âmbito | Sim | Não |
| Pode atualizar a lista com âmbito | Sim | Sim (com âmbitos que correspondem aos âmbitos atribuídos ou são um subconjunto dos âmbitos atribuídos)
Por exemplo, um utilizador com âmbitos A e B pode modificar uma lista de referência com o âmbito A ou com os âmbitos A e B, mas não uma lista de referência com os âmbitos A, B e C. |
| Pode atualizar a lista sem âmbito | Sim | Não |
| Pode atualizar a lista com âmbito para sem âmbito | Sim | Não |
| Pode ver e usar a lista com âmbito | Sim | Sim (se existir, pelo menos, um âmbito correspondente entre o utilizador e a lista de referência)
Por exemplo, um utilizador com âmbitos A e B pode usar uma lista de referência com âmbitos A e B, mas não uma lista de referência com âmbitos C e D. |
| Pode ver e usar a lista sem âmbito | Sim | Sim |
| Pode executar pesquisas UDM e consultas de painéis de controlo com listas de referência sem âmbito | Sim | Sim |
| Pode executar pesquisas de UDM e consultas de painéis de controlo com listas de referência no âmbito | Sim | Sim (se existir, pelo menos, um âmbito correspondente entre o utilizador e a lista de referência)
Por exemplo, um utilizador com o âmbito A pode executar consultas de pesquisa da UDM com listas de referência com os âmbitos A, B e C, mas não com listas de referência com os âmbitos B e C. |
Autorizações de acesso para regras em listas de referência
Uma regra com âmbito pode usar uma lista de referência se existir, pelo menos, um âmbito correspondente entre a regra e a lista de referência. Por exemplo, uma regra com o âmbito A pode usar uma lista de referência com os âmbitos A, B e C, mas não uma lista de referência com os âmbitos B e C.
Uma regra com âmbito global pode usar qualquer lista de referência.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os utilizadores podem atribuir as etiquetas predefinidas (tipo de registo, espaço de nomes ou etiquetas de carregamento) aos dados recebidos. Em seguida, a RBAC de dados é aplicada às funcionalidades que usam estes dados etiquetados.
Painéis de controlo do Looker
Os painéis de controlo do Looker não suportam RBAC de dados. O acesso aos painéis de controlo do Looker é controlado pelo CABF de funcionalidades.
Informações sobre ameaças aplicadas (ATI) e correspondências de IOC
Os IOCs e os dados de ATI são informações que sugerem uma potencial ameaça de segurança no seu ambiente.
As deteções organizadas da ATI são acionadas por regras fornecidas pela equipa de inteligência contra ameaças avançada (ATI). Estas regras usam informações sobre ameaças da Mandiant para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte o artigo Vista geral da inteligência contra ameaças aplicada.
O RBAC de dados não restringe o acesso a correspondências de IOCs nem a dados de ATI. No entanto, as correspondências são filtradas com base nos âmbitos atribuídos ao utilizador. Os utilizadores só veem correspondências para IOCs e dados de ATI associados a recursos que estão nos respetivos âmbitos.
Análise do comportamento de utilizadores e entidades (UEBA)
A categoria de estatísticas de risco para UEBA oferece conjuntos de regras pré-criados para detetar potenciais ameaças de segurança. Estes conjuntos de regras usam a aprendizagem automática para acionar proativamente deteções através da análise dos padrões de comportamento dos utilizadores e das entidades. Para mais informações, consulte o artigo Vista geral da análise de riscos para a categoria UEBA.
A UEBA não suporta RBAC de dados. Apenas os utilizadores com âmbito global podem aceder às estatísticas de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os seguintes campos, que descrevem um recurso ou um utilizador, aparecem em várias páginas no Google SecOps, como o painel Contexto da entidade na pesquisa UDM. Com o RBAC de dados, os campos só estão disponíveis para os utilizadores com âmbito global.
- Visto pela primeira vez
- Última visualização
- Prevalência
Os utilizadores com âmbito podem ver os dados de primeira e última visita dos utilizadores e dos recursos se a primeira e a última visita forem calculadas a partir de dados nos âmbitos atribuídos ao utilizador.
O que se segue?
Configure o RBAC de dados para utilizadores
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.