資料 RBAC 對 Google SecOps 功能的影響
資料角色式存取控管 (資料 RBAC) 是一種安全模型,可根據機構內個別使用者的角色,限制使用者存取資料。在環境中設定資料 RBAC 後,您會在 Google SecOps 功能中看到經過篩選的資料。資料 RBAC 會根據使用者獲派的範圍控管存取權,確保使用者只能存取授權資訊。本頁面概略說明資料 RBAC 對各項 Google SecOps 功能的影響。
如要瞭解資料 RBAC 的運作方式,請參閱「資料 RBAC 總覽」。
搜尋
搜尋結果中傳回的資料,取決於使用者的資料存取範圍。使用者只能查看符合指派範圍的資料結果。如果使用者有多個已指派的範圍,系統會針對所有授權範圍的合併資料執行搜尋。使用者無權存取的範圍資料不會顯示在搜尋結果中。
規則
規則是偵測機制,可分析擷取的資料,協助找出潛在安全威脅。規則可分為下列類別:
範圍規則:與特定資料範圍相關聯。 範圍規則只能對符合該範圍定義的資料執行作業。 有權存取範圍的使用者可以查看及管理規則。
全域規則:這些規則可查看更廣泛的資料,並對所有範圍的資料執行作業。為維護安全和控管權,只有具備全域範圍的使用者才能查看及建立全域規則。
此外,系統只會針對符合規則範圍的事件產生快訊。未繫結至任何範圍的規則會在全域範圍中執行,並套用至所有資料。在執行個體上啟用資料 RBAC 時,所有現有規則都會自動轉換為全域範圍規則。
與規則相關聯的範圍會決定全域和範圍內使用者與規則的互動方式。下表匯總了存取權限:
| 動作 | 全域使用者 | 範圍內使用者 |
|---|---|---|
| 可查看範圍規則 | 是 | 是 (前提是規則範圍在使用者獲派的範圍內)
舉例來說,如果使用者具有範圍 A 和 B,則可查看範圍為 A 的規則,但無法查看範圍為 C 的規則。 |
| 可查看全域規則 | 是 | 否 |
| 可建立及更新範圍規則 | 是 | 是 (前提是規則範圍在使用者獲派的範圍內)
舉例來說,如果使用者擁有範圍 A 和 B,則可建立範圍 A 的規則,但無法建立範圍 C 的規則。 |
| 可建立及更新全域規則 | 是 | 否 |
偵測項目
偵測結果是指出潛在安全威脅的警示。偵測結果是由自訂規則觸發,這些規則是由貴機構的安全性團隊為 Google SecOps 環境建立。
當傳入的安全資料符合規則中定義的條件時,系統就會產生偵測結果。使用者只能查看與所屬範圍相關聯的規則所產生的偵測結果。舉例來說,如果安全性分析師的財務資料範圍僅限於財務資料,就只會看到指派給財務資料範圍的規則所產生的偵測結果,不會看到任何其他規則的偵測結果。
使用者可對偵測結果採取的動作 (例如將偵測結果標示為已解決),也僅限於偵測結果發生的範圍。
精選偵測項目
偵測結果是由貴機構安全團隊建立的自訂規則觸發,而精選偵測結果則是由 Google Cloud Threat Intelligence (GCTI) 團隊提供的規則觸發。GCTI 會提供並管理一組 YARA-L 規則,協助您在 Google SecOps 環境中找出常見的安全威脅,這些規則是精選偵測功能的一部分。詳情請參閱「使用精選偵測結果找出威脅」。
精選偵測項目不支援資料 RBAC。只有具備全域範圍的使用者,才能存取精選偵測結果。
原始記錄
啟用資料 RBAC 後,只有具備全域範圍的使用者才能存取未剖析的原始記錄。
資料表
資料表是多欄資料結構,可用於將自有資料輸入 Google SecOps。資料表還能做為對照表使用,裡面的資料欄經過定義,資料則會儲存在資料列。為資料表指派範圍後,您就能控管哪些使用者和資源可以存取及使用該資料表。
資料表使用者的存取權限
與資料表相關聯的範圍會決定全域和範圍使用者與資料表的互動方式。存取權限摘要如下表:
| 動作 | 全域使用者 | 範圍內使用者 |
|---|---|---|
| 可建立範圍資料表 | 是 | 是 (僅限符合或屬於指派範圍子集的範圍) 舉例來說,如果範圍使用者具有範圍 A 和 B,則可建立具有範圍 A 或範圍 A 和 B 的資料表,但無法建立具有範圍 A、B 和 C 的資料表。 |
| 可建立無範圍的資料表 | 是 | 否 |
| 可更新範圍內的資料表 | 是 | 是 (僅限符合或屬於指派範圍子集的範圍) 舉例來說,如果使用者具有範圍 A 和 B,則可修改範圍為 A 或 A 和 B 的資料表,但無法修改範圍為 A、B 和 C 的資料表。 |
| 可更新未設範圍的資料表 | 是 | 否 |
| 可將範圍資料表更新為無範圍 | 是 | 否 |
| 可查看及使用範圍資料表 | 是 | 是 (如果使用者和資料表之間至少有一個相符的範圍) 舉例來說,如果使用者具有範圍 A 和 B,則可使用範圍 A 和 B 的資料表,但無法使用範圍 C 和 D 的資料表。 |
| 可查看及使用無範圍資料表 | 是 | 是 |
| 可使用未設範圍的資料表執行搜尋查詢 | 是 | 是 |
| 可使用範圍限定的資料表執行搜尋查詢 | 是 | 是 (如果使用者和資料表之間至少有一個相符的範圍) 舉例來說,如果使用者具有範圍 A,可以對範圍 A、B 和 C 的資料表執行搜尋查詢,但無法對範圍 B 和 C 的資料表執行搜尋查詢。 |
參照清單
參考清單是值的集合,用於比對和篩選 UDM 搜尋和偵測規則中的資料。將範圍指派給參照清單 (範圍清單) 後,只有特定使用者和資源 (例如規則和 UDM 搜尋) 才能存取該清單。如果參照清單未指派任何範圍,則稱為未指定範圍的清單。
參考清單中使用者可存取的權限
與參照清單相關聯的範圍會決定全域和範圍使用者與參照清單的互動方式。下表匯總了存取權限:
| 動作 | 全域使用者 | 範圍內使用者 |
|---|---|---|
| 可建立範圍清單 | 是 | 是 (範圍必須與指派的範圍相符,或是指派範圍的子集)
舉例來說,如果範圍受限的使用者具有範圍 A 和 B,則可建立範圍為 A 或範圍為 A 和 B 的參照清單,但無法建立範圍為 A、B 和 C 的參照清單。 |
| 可以建立沒有範圍限制的清單 | 是 | 否 |
| 可以更新範圍清單 | 是 | 是 (範圍必須與指派的範圍相符,或是指派範圍的子集)
舉例來說,如果使用者具有範圍 A 和 B,則可修改範圍為 A 或 A 和 B 的參照清單,但無法修改範圍為 A、B 和 C 的參照清單。 |
| 可以更新未設範圍的清單 | 是 | 否 |
| 可將範圍清單更新為無範圍 | 是 | 否 |
| 可查看及使用範圍清單 | 是 | 是 (如果使用者和參照清單之間至少有一個相符的範圍)
舉例來說,如果使用者具有範圍 A 和 B,則可使用範圍 A 和 B 的參照清單,但無法使用範圍 C 和 D 的參照清單。 |
| 可查看及使用無範圍清單 | 是 | 是 |
| 可使用未設範圍的參照清單執行 UDM 搜尋和資訊主頁查詢 | 是 | 是 |
| 可使用範圍限定的參照清單執行 UDM 搜尋和資訊主頁查詢 | 是 | 是 (如果使用者和參照清單之間至少有一個相符的範圍)
舉例來說,如果使用者具有範圍 A,則可使用範圍 A、B 和 C 的參照清單執行 UDM 搜尋查詢,但無法使用範圍 B 和 C 的參照清單。 |
參考清單中規則的存取權限
如果規則和參照清單之間至少有一個相符的範圍,範圍規則就能使用參照清單。舉例來說,範圍為 A 的規則可以使用範圍為 A、B 和 C 的參照清單,但不能使用範圍為 B 和 C 的參照清單。
全域範圍的規則可以使用任何參照清單。
動態饋給和轉送者
資料 RBAC 不會直接影響動態饋給和轉送器執行作業。不過,使用者可以在設定期間,將預設標籤 (記錄類型、命名空間或擷取標籤) 指派給傳入的資料。接著,系統會將資料 RBAC 套用至使用這類標籤資料的功能。
Looker 資訊主頁
Looker 資訊主頁不支援資料 RBAC。Looker 資訊主頁的存取權由功能 RBAC 控管。
應用威脅情報 (ATI) 和 IOC 比對結果
IOC 和 ATI 資料是指出環境中可能存在安全威脅的資訊。
ATI 精選偵測功能是由 Advanced Threat Intelligence (ATI) 團隊提供的規則觸發。這些規則會使用 Mandiant 威脅情報,主動找出優先順序較高的威脅。詳情請參閱「應用威脅情報總覽」。
資料 RBAC 不會限制存取 IOC 比對和 ATI 資料,但系統會根據使用者獲派的範圍篩選比對結果。使用者只會看到與範圍內資產相關聯的 IOC 和 ATI 資料相符的項目。
使用者與實體行為分析 (UEBA)
UEBA 類別的風險分析提供預先建立的規則集,可偵測潛在安全威脅。這些規則集會運用機器學習技術分析使用者和實體的行為模式,主動觸發偵測。詳情請參閱「UEBA 類別的風險分析總覽」。
UEBA 不支援資料 RBAC。只有具備全域範圍的使用者,才能存取 UEBA 類別的風險分析。
Google SecOps 中的實體詳細資料
下列欄位用於描述資產或使用者,會顯示在 Google SecOps 的多個頁面,例如 UDM 搜尋中的「實體內容」面板。啟用資料 RBAC 後,只有具備全域範圍的使用者才能存取這些欄位。
- 首次出現時間
- 上次出現時間
- 出現次數
如果初次和最後一次發現資料是根據使用者指派範圍內的資料計算而得,範圍內的使用者就能查看使用者和資產的初次和最後一次發現資料。
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。