数据 RBAC 对 Google SecOps 功能的影响
基于数据角色的访问控制(数据 RBAC)是一种安全模型,可根据组织内各个用户的角色限制用户对数据的访问权限。在环境中配置数据 RBAC 后,您会开始在 Google SecOps 功能中看到过滤后的数据。数据 RBAC 根据用户分配的范围控制用户访问权限,并确保用户只能访问授权的信息。本页面简要介绍了数据 RBAC 对每项 Google SecOps 功能的影响。
如需了解数据 RBAC 的运作方式,请参阅数据 RBAC 概览。
搜索
搜索结果中返回的数据取决于用户的数据访问范围。用户只能看到与分配给他们的数据范围相符的结果。如果用户有多个已分配的范围,则搜索会在所有已授权范围的合并数据中执行。用户无权访问的范围所对应的数据不会显示在搜索结果中。
规则
规则是一种检测机制,可分析提取的数据并帮助识别潜在的安全威胁。规则可分为以下几类:
范围限定的规则:与特定数据范围相关联。 范围限定的规则只能对符合相应范围定义的数据进行操作。 有权访问某个范围的用户可以查看和管理该范围的规则。
全局规则:具有更广泛的可见性,这些规则可以对所有范围的数据进行操作。为了保持安全性和控制权,只有具有全局范围的用户才能查看和创建全局规则。
提醒生成也仅限于符合规则范围的事件。未绑定到任何范围的规则会在全局范围内运行,并应用于所有数据。在实例上启用数据 RBAC 后,所有现有规则都会自动转换为全局范围规则。
与规则关联的范围决定了全局用户和范围限定的用户可以如何与该规则互动。下表总结了访问权限:
| 操作 | 全局用户 | 范围受限的用户 |
|---|---|---|
| 可以查看限定范围的规则 | 是 | 是(仅当规则的范围在用户分配的范围内时)
例如,具有范围 A 和 B 的用户可以查看范围为 A 的规则,但无法查看范围为 C 的规则。 |
| 可以查看全局规则 | 是 | 否 |
| 可以创建和更新范围限定的规则 | 是 | 是(仅当规则的范围在用户分配的范围内时)
例如,具有范围 A 和 B 的用户可以创建范围为 A 的规则,但不能创建范围为 C 的规则。 |
| 可以创建和更新全局规则 | 是 | 否 |
检测
检测结果是表明存在潜在安全威胁的提醒。检测由自定义规则触发,这些规则由您的安全团队为您的 Google SecOps 环境创建。
当传入的安全数据符合规则中定义的条件时,系统会生成检测结果。用户只能看到源自与其分配的范围相关联的规则的检测结果。例如,如果安全分析师具有财务数据范围,则只能看到分配给财务数据范围的规则生成的检测结果,而看不到任何其他规则生成的检测结果。
用户可以针对检测结果采取的操作(例如,将检测结果标记为已解决)也仅限于检测结果所处的范围。
精选检测
检测由安全团队创建的自定义规则触发,而精选检测由 Google Cloud 威胁情报 (GCTI) 团队提供的规则触发。作为精选检测的一部分,GCTI 提供并管理一组 YARA-L 规则,以帮助您识别 Google SecOps 环境中的常见安全威胁。如需了解详情,请参阅使用精选的检测功能来识别威胁。
精选检测不支持数据 RBAC。只有具有全局范围的用户才能访问精选的检测结果。
原始日志
启用数据 RBAC 后,只有具有全局范围的用户才能访问未解析的原始日志。
数据表格
数据表是多列数据结构,可让您将自己的数据输入到 Google SecOps。它们可以充当包含已定义列且在行中存储了数据的对照表。通过为数据表分配范围,您可以控制哪些用户和资源可以访问和使用该数据表。
数据表中用户的访问权限
与数据表关联的范围决定了全局用户和范围用户可以如何与该数据表互动。下表总结了访问权限:
| 操作 | 全局用户 | 范围受限的用户 |
|---|---|---|
| 可以创建限定范围的数据表 | 是 | 可以(仅限范围与分配的范围相同或属于分配范围的子集) 例如,具有范围 A 和 B 的范围限定用户可以创建具有范围 A 或范围 A 和 B 的数据表,但不能创建具有范围 A、B 和 C 的数据表。 |
| 可以创建无范围的数据表 | 是 | 否 |
| 可以更新范围限定的数据表 | 是 | 可以(仅限范围与分配的范围相同或属于分配范围的子集) 例如,具有范围 A 和 B 的用户可以修改具有范围 A 或范围 A 和 B 的数据表,但不能修改具有范围 A、B 和 C 的数据表。 |
| 可以更新无范围的数据表 | 是 | 否 |
| 可以将范围限定的数据表更新为非范围限定的数据表 | 是 | 否 |
| 可以查看和使用范围限定的数据表 | 是 | 可以(如果用户与数据表之间至少有一个匹配的范围) 例如,具有范围 A 和 B 的用户可以使用具有范围 A 和 B 的数据表,但不能使用具有范围 C 和 D 的数据表。 |
| 可以查看和使用无范围的数据表 | 是 | 是 |
| 可以运行包含无范围数据表的搜索查询 | 是 | 是 |
| 可以运行包含范围限定的数据表的搜索查询 | 是 | 可以(如果用户与数据表之间至少有一个匹配的范围) 例如,具有范围 A 的用户可以运行包含范围为 A、B 和 C 的数据表的搜索查询,但不能运行包含范围为 B 和 C 的数据表的搜索查询。 |
参考列表
参考列表是值的集合,用于在 UDM 搜索和检测规则中匹配和过滤数据。为参考列表(范围限定的列表)分配范围会限制其对特定用户和资源(例如规则和 UDM 搜索)的访问权限。未分配范围的参考名单称为无范围名单。
参考名单中用户的访问权限
与参考列表关联的范围决定了全局用户和范围限定的用户可以如何与之互动。下表总结了访问权限:
| 操作 | 全局用户 | 范围受限的用户 |
|---|---|---|
| 可以创建限定范围的列表 | 是 | 是(范围与分配的范围一致或属于分配范围的子集)
例如,具有范围 A 和 B 的限定范围用户可以创建范围为 A 或范围为 A 和 B 的参考列表,但不能创建范围为 A、B 和 C 的参考列表。 |
| 可以创建未限定范围的列表 | 是 | 否 |
| 可以更新范围限定的列表 | 是 | 是(范围与分配的范围一致或属于分配范围的子集)
例如,具有范围 A 和 B 的用户可以修改范围为 A 或范围为 A 和 B 的参考列表,但不能修改范围为 A、B 和 C 的参考列表。 |
| 可以更新无范围列表 | 是 | 否 |
| 可以将有范围的列表更新为无范围的列表 | 是 | 否 |
| 可以查看和使用范围限定的列表 | 是 | 是(如果用户与参考列表之间至少存在一个匹配的范围)
例如,具有范围 A 和 B 的用户可以使用范围为 A 和 B 的参考列表,但不能使用范围为 C 和 D 的参考列表。 |
| 可以查看和使用无范围列表 | 是 | 是 |
| 能够运行具有无范围参考列表的 UDM 搜索和信息中心查询 | 是 | 是 |
| 能够使用范围限定的参考列表运行 UDM 搜索和信息中心查询 | 是 | 是(如果用户与参考列表之间至少存在一个匹配的范围)
例如,具有范围 A 的用户可以运行具有范围 A、B 和 C 的参考列表的 UDM 搜索查询,但不能运行具有范围 B 和 C 的参考列表的 UDM 搜索查询。 |
参考列表中的规则的访问权限
如果范围规则与参考列表之间至少有一个匹配的范围,则范围规则可以使用参考列表。例如,范围为 A 的规则可以使用范围为 A、B 和 C 的参考列表,但不能使用范围为 B 和 C 的参考列表。
具有全局范围的规则可以使用任何参考列表。
Feed 和转发器
数据 RBAC 不会直接影响 Feed 和转发器的执行。不过,在配置过程中,用户可以将默认标签(日志类型、命名空间或提取标签)分配给传入的数据。然后,将数据 RBAC 应用于使用此已加标签的数据的功能。
Looker 信息中心
Looker 信息中心不支持数据 RBAC。对 Looker 信息中心的访问权限由功能 RBAC 控制。
应用型威胁情报 (ATI) 和 IOC 匹配项
IOC 和 ATI 数据是指表明您的环境中可能存在安全威胁的信息。
ATI 精选检测规则由高级威胁情报 (ATI) 团队提供的规则触发。这些规则使用 Mandiant 威胁情报来主动识别高优先级威胁。如需了解详情,请参阅应用型威胁情报概览。
数据 RBAC 不会限制对 IOC 匹配项和 ATI 数据的访问权限,但会根据用户分配的范围过滤匹配项。用户只能看到与其范围内的资产相关联的 IOC 和 ATI 数据匹配项。
用户和实体行为分析 (UEBA)
“UEBA 风险分析”类别提供预构建的规则集,用于检测潜在的安全威胁。这些规则集使用机器学习技术,通过分析用户和实体行为模式来主动触发检测。 如需了解详情,请参阅 UEBA 类别风险分析概览。
UEBA 不支持数据 RBAC。只有具有全局范围的用户才能访问 UEBA 类别的风险分析。
Google SecOps 中的实体详细信息
以下字段用于描述资产或用户,会显示在 Google SecOps 中的多个页面上,例如 UDM 搜索中的实体上下文面板。借助数据 RBAC,只有具有全局范围的用户才能使用这些字段。
- 首次出现时间
- 上次出现时间
- 普及率
如果首次看到和上次看到的数据是根据用户分配的范围内的相关数据计算得出的,那么范围受限的用户可以查看用户和资产的首次看到和上次看到的数据。
后续步骤
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。