Impacto do RBAC de dados nos recursos do Google SecOps
O controle de acesso baseado em função de dados (RBAC de dados) é um modelo de segurança que restringe o acesso do usuário aos dados com base nas funções individuais do usuário em uma organização. Depois que o RBAC de dados é configurado em um ambiente, você começa a ver dados filtrados nos recursos do Google SecOps. O RBAC de dados controla o acesso do usuário de acordo com os escopos atribuídos e garante que os usuários possam acessar apenas informações autorizadas. Esta página oferece uma visão geral de como o RBAC de dados afeta cada recurso do Google SecOps.
Para entender como o RBAC de dados funciona, consulte Visão geral do RBAC de dados.
Pesquisar
Os dados retornados nos resultados da pesquisa são baseados nos escopos de acesso a dados do usuário. Os usuários só podem ver resultados de dados que correspondem aos escopos atribuídos a eles. Se os usuários tiverem mais de um escopo atribuído, a pesquisa será executada nos dados combinados de todos os escopos autorizados. Os dados pertencentes a escopos a que o usuário não tem acesso não aparecem nos resultados da pesquisa.
Regras
As regras são mecanismos de detecção que analisam os dados ingeridos e ajudam a identificar possíveis ameaças à segurança. As regras podem ser categorizadas da seguinte forma:
Regras com escopo: associadas a um escopo de dados específico. As regras com escopo só podem operar com dados que se enquadram na definição desse escopo. Os usuários com acesso a um escopo podem ver e gerenciar as regras dele.
Regras globais: com maior visibilidade, essas regras podem operar em dados de todos os escopos. Para manter a segurança e o controle, apenas usuários com escopo global podem ver e criar regras globais.
A geração de alertas também é limitada a eventos que correspondem ao escopo da regra. As regras que não estão vinculadas a nenhum escopo são executadas no escopo global e são aplicadas a todos os dados. Quando o RBAC de dados é ativado em uma instância, todas as regras atuais são convertidas automaticamente em regras de escopo global.
O escopo associado a uma regra determina como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode ver regras no escopo | Sim | Sim, somente se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B pode ver uma regra com escopo A, mas não uma regra com escopo C. |
| Pode ver regras globais | Sim | Não |
| Pode criar e atualizar regras com escopo | Sim | Sim, somente se o escopo da regra estiver dentro dos escopos atribuídos ao usuário.
Por exemplo, um usuário com escopos A e B pode criar uma regra com escopo A, mas não com escopo C. |
| Pode criar e atualizar regras globais | Sim | Não |
Detecções
As detecções são alertas que indicam possíveis ameaças à segurança. As detecções são acionadas por regras personalizadas, que são criadas pela sua equipe de segurança para o ambiente do Google SecOps.
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver detecções originadas de regras associadas aos escopos atribuídos a eles. Por exemplo, um analista de segurança com o escopo de dados financeiros só vê detecções geradas por regras atribuídas a esse escopo e não vê detecções de outras regras.
As ações que um usuário pode realizar em uma detecção (por exemplo, marcar uma detecção como resolvida) também são limitadas ao escopo em que ela ocorreu.
Detecções selecionadas
As detecções são acionadas por regras personalizadas criadas pela sua equipe de segurança, enquanto as detecções selecionadas são acionadas por regras fornecidas pela equipe do Google Cloud Google Threat Intelligence (GCTI). Como parte das detecções selecionadas, a GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar você a identificar ameaças de segurança comuns no seu ambiente do Google SecOps. Para mais informações, consulte Usar detecções selecionadas para identificar ameaças.
As detecções selecionadas não são compatíveis com o RBAC de dados. Somente usuários com escopo global podem acessar as detecções selecionadas.
Registros brutos
Com a RBAC de dados ativada, os registros brutos não analisados só ficam acessíveis para usuários com escopo global.
Tabela de dados
As tabelas de dados são estruturas com várias colunas que permitem a inserção dos seus próprios dados no Google SecOps. Elas podem atuar como tabelas de consulta com colunas definidas e os dados armazenados em linhas. Ao atribuir escopos a uma tabela de dados, você controla quais usuários e recursos podem acessar e usar essa tabela.
Autorizações de acesso para usuários em tabelas de dados
Os escopos associados a uma tabela de dados determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode criar uma tabela de dados com escopo | Sim | Sim (somente com escopos que correspondem ou são um subconjunto dos escopos atribuídos) Por exemplo, um usuário com escopo com escopos A e B pode criar uma tabela de dados com o escopo A ou com os escopos A e B, mas não com os escopos A, B e C. |
| Pode criar uma tabela de dados sem escopo | Sim | Não |
| Pode atualizar a tabela de dados no escopo | Sim | Sim (somente com escopos que correspondem ou são um subconjunto dos escopos atribuídos) Por exemplo, um usuário com escopos A e B pode modificar uma tabela de dados com escopo A ou com escopos A e B, mas não uma tabela de dados com escopos A, B e C. |
| Pode atualizar a tabela de dados sem escopo | Sim | Não |
| Pode atualizar uma tabela de dados com escopo para sem escopo | Sim | Não |
| Pode ver e usar a tabela de dados no escopo | Sim | Sim, se houver pelo menos um escopo correspondente entre o usuário e a tabela de dados. Por exemplo, um usuário com escopos A e B pode usar uma tabela de dados com escopos A e B, mas não uma tabela de dados com escopos C e D. |
| Pode ver e usar a tabela de dados sem escopo | Sim | Sim |
| Pode executar consultas de pesquisa com tabelas de dados sem escopo | Sim | Sim |
| É possível executar consultas de pesquisa com tabelas de dados no escopo | Sim | Sim, se houver pelo menos um escopo correspondente entre o usuário e a tabela de dados. Por exemplo, um usuário com escopo A pode executar consultas de pesquisa com tabelas de dados com escopos A, B e C, mas não com tabelas de dados com escopos B e C. |
Listas de referências
As listas de referência são coleções de valores usadas para correspondência e filtragem de dados nas regras de pesquisa e detecção da UDM. Ao atribuir escopos a uma lista de referência (lista com escopo), você restringe o acesso a usuários e recursos específicos, como regras e pesquisa de UDM. Uma lista de referência sem escopo atribuído é chamada de lista sem escopo.
Autorizações de acesso para usuários em listas de referência
Os escopos associados a uma lista de referência determinam como os usuários globais e com escopo podem interagir com ela. As permissões de acesso estão resumidas na tabela a seguir:
| Ação | Usuário global | Usuário no escopo |
|---|---|---|
| Pode criar uma lista com escopo | Sim | Sim (com escopos que correspondem aos escopos atribuídos ou são um subconjunto deles)
Por exemplo, um usuário com escopos A e B pode criar uma lista de referência com escopo A ou com escopos A e B, mas não com escopos A, B e C. |
| Pode criar uma lista sem escopo | Sim | Não |
| Pode atualizar a lista com escopo | Sim | Sim (com escopos que correspondem aos escopos atribuídos ou são um subconjunto deles)
Por exemplo, um usuário com escopos A e B pode modificar uma lista de referência com escopo A ou com escopos A e B, mas não uma lista de referência com escopos A, B e C. |
| É possível atualizar a lista sem escopo | Sim | Não |
| É possível atualizar a lista com escopo para sem escopo | Sim | Não |
| Pode ver e usar a lista com escopo | Sim | Sim, se houver pelo menos um escopo correspondente entre o usuário e a lista de referência.
Por exemplo, um usuário com escopos A e B pode usar uma lista de referência com escopos A e B, mas não uma lista com escopos C e D. |
| Pode ver e usar a lista sem escopo | Sim | Sim |
| Pode executar pesquisas UDM e consultas de painel com listas de referência sem escopo | Sim | Sim |
| Pode executar pesquisas UDM e consultas de painel com listas de referência no escopo | Sim | Sim, se houver pelo menos um escopo correspondente entre o usuário e a lista de referência.
Por exemplo, um usuário com o escopo A pode executar consultas de pesquisa da UDM com listas de referência com escopos A, B e C, mas não com listas de referência com escopos B e C. |
Permissões de acesso para regras em listas de referência
Uma regra com escopo pode usar uma lista de referência se houver pelo menos um escopo correspondente entre a regra e a lista de referência. Por exemplo, uma regra com escopo A pode usar uma lista de referência com escopos A, B e C, mas não uma lista de referência com escopos B e C.
Uma regra com escopo global pode usar qualquer lista de referências.
Feeds e encaminhadores
O RBAC de dados não afeta diretamente a execução do feed e do encaminhador. No entanto, durante a configuração, os usuários podem atribuir os rótulos padrão (tipo de registro, namespace ou rótulos de ingestão) aos dados recebidos. Em seguida, o RBAC de dados é aplicado a recursos que usam esses dados rotulados.
Painéis do Looker
Os painéis do Looker não são compatíveis com o RBAC de dados. O acesso aos painéis do Looker é controlado pelo RBAC de recursos.
Inteligência aplicada contra ameaças (ATI) e correspondências de IOC
IOCs e dados de ATI são informações que sugerem uma possível ameaça à segurança no seu ambiente.
As detecções selecionadas da ATI são acionadas por regras fornecidas pela equipe de Advanced Threat Intelligence (ATI). Essas regras usam a inteligência de ameaças da Mandiant para identificar proativamente ameaças de alta prioridade. Para mais informações, consulte Visão geral do Applied Threat Intelligence.
O RBAC de dados não restringe o acesso a correspondências de IOC e dados de ATI, mas as correspondências são filtradas com base nos escopos atribuídos ao usuário. Os usuários só veem correspondências de IOCs e dados de ATI associados a recursos que estão dentro dos escopos deles.
Análise comportamental de usuários e entidades (UEBA)
A categoria "Análise de risco para UEBA" oferece conjuntos de regras predefinidos para detectar possíveis ameaças à segurança. Esses conjuntos de regras usam o aprendizado de máquina para acionar detecções de forma proativa, analisando padrões de comportamento de usuários e entidades. Para mais informações, consulte Visão geral da análise de risco para a categoria UEBA.
A UEBA não é compatível com o RBAC de dados. Somente usuários com escopo global podem acessar as análises de risco da categoria UEBA.
Detalhes da entidade no Google SecOps
Os campos a seguir, que descrevem um recurso ou um usuário, aparecem em várias páginas do Google SecOps, como o painel Contexto da entidade na pesquisa da UDM. Com o RBAC de dados, os campos ficam disponíveis apenas para usuários com escopo global.
- Visto pela primeira vez
- Visto pela última vez
- Prevalência
Os usuários com escopo podem ver os dados da primeira e da última visualização de usuários e recursos se eles forem calculados com base em dados nos escopos atribuídos ao usuário.
A seguir
Configurar o RBAC de dados para usuários
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.