שליטה בגישה לפניות ולהתראות של צד ראשון

נתמך ב:

המדריך הזה מיועד לאדמינים ולמנתחי אבטחה ב-Google SecOps שרוצים לשלוט בגישה לבקשות תמיכה ולהתראות מאינטראקציה ישירה (First-Party) באמצעות בקרת גישה מבוססת-תפקידים (RBAC) לנתונים. במאמר מוסבר איך להגדיר את היקפי הגישה לנתונים בצד ה-SIEM של הפלטפורמה ולמפות אותם לסביבות SOAR, כדי שהמשתמשים יוכלו לראות רק התראות ותיקים שנובעים מנתונים שיש להם הרשאה לגשת אליהם. באמצעות השיטה הזו, תוכלו לאכוף את מדיניות משילות הנתונים ולשפר את האבטחה. השלמת התהליך מאפשרת לארגונים להגביל את חשיפת הנתונים על סמך תפקידים ואחריות, לשפר את התאימות ולהפחית את הסיכון לחשיפת נתונים.

מונחים חשובים

במדריך הזה נעשה שימוש במונחים הבאים כדי לתאר את המושגים והרכיבים של בקרת גישה מבוססת-תפקידים לנתונים.

  • התראות מצד ראשון (1P): זיהויים שנוצרו על ידי מנוע הזיהוי של Google SecOps SIEM, כמו כללים, התאמות למודיעין איומים או ניתוח אבטחה. כשמערכת SIEM מזהה איומים והנתונים שלה מוזנים לרכיב SOAR באמצעות המחבר של Google SecOps, הם יוצרים התראות של צד ראשון ומקובצים למקרים של צד ראשון.
  • התראות של צד שלישי (3P): התראות שמוזנות ישירות לרכיב SOAR מכלי אבטחה חיצוניים (לדוגמה, חומות אש של צד שלישי או סוכני זיהוי של נקודות קצה) באמצעות שילובים נפרדים של SOAR. ההתראות האלה עוקפות את מנוע הזיהוי של SIEM ולא חלות עליהן הגדרות ההיקף של הגישה לנתונים ב-SIEM.

במקרה של התראות 1P, ‏ Google SecOps מעביר את היקפי הנתונים המשויכים של אירועים בסיסיים לרכיב SOAR. ההפצה הזו מאפשרת לאנליסטים לראות התראות ואת המקרים המשויכים רק אם יש להם גישה להיקפי הנתונים של האירועים הבסיסיים. לדוגמה, אפשר לתת למשתמש בתחום הפיננסי גישה לנתונים הפיננסיים שנקלטים ב-Google SecOps, אבל לא לנתוני אנשי הקשר של הלקוחות. משתמש עם גישה לנתונים פיננסיים יכול לראות רק את ההתראות והפניות לתמיכה שמשויכות לנתונים הפיננסיים, ולא יכול לראות התראות או פניות לתמיכה שמשויכות לנתוני הקשר של הלקוח.

לפני שמתחילים

לפני שמגדירים RBAC לנתונים במקרים ובהתראות של מוצרי צד ראשון, חשוב לוודא שהדרישות הבאות מתקיימות:

  • המופע של Google SecOps צריך להיות מאוחד (SIEM ו-SOAR מופעלים).
  • התנהגות של SIEM עם כמה מופעים: אם יש לכם כמה מופעים של SIEM שמחוברים למופע יחיד של SOAR, ההפצה והאכיפה של ההיקף חלות רק על המופע הראשי של SIEM. היקפי הרשאות ממופעי SIEM משניים מתעלמים בצד SOAR, וההתראות האלה גלויות לכל משתמש שיש לו גישה לסביבה שהוקצתה לו ב-SOAR.
  • Chronicle Connector: המחבר של Chronicle שמקשר בין רכיב ה-SIEM לרכיב ה-SOAR משתמש ב-Chronicle API מודרני. לפני שמפעילים את התכונה הזו, חשוב לוודא שהמחבר שודרג מ-Backstory API מדור קודם ל-Chronicle API. לפרטים נוספים אפשר לעיין במאמר שדרוג ל-Chronicle API.

הפעלת RBAC לנתונים בהתראות ובכרטיסי מידע של מוצרים של צד ראשון

אדמינים של Google SecOps (תפקיד אדמין של Chronicle API ב- Google Cloud IAM) יכולים להפעיל RBAC של נתונים עבור התראות וכרטיסי מידע של צד ראשון במופע שלהם. יש שני תרחישים:

תרחיש א': אכיפת הגישה לנתונים ב-SIEM כבר מופעלת

אם אמצעי הבקרה של גישה לנתונים כבר פעילים ברכיב SIEM, צריך לבצע את השלבים הבאים כדי להרחיב את האכיפה להתראות ולמקרים של צד ראשון ברכיב SOAR:

  1. נכנסים ל-Google SecOps.
  2. מוודאים שההיקפים מוגדרים בצורה נכונה בהגדרות SIEM > גישה לנתונים.
  3. מקצים היקפי נתונים למשתמשים ב Google Cloud מסוף באמצעות Google Cloud IAM.
  4. ב-Google SecOps, עוברים אל SIEM Settings > Data Access (הגדרות SIEM > גישה לנתונים) ולוחצים על Enable Data Access in SOAR (הפעלת גישה לנתונים ב-SOAR).
  5. ממפים את היקפי ה-SIEM לסביבות SOAR כמו שמתואר במאמר מיפוי היקפים לסביבות.

עכשיו נאכפת גישה לנתונים בהתראות ובמקרים של צד ראשון ברכיב SOAR. ההגדרה הזו חלה על כל ההתראות והמקרים החדשים, וגם על התראות ומקרים קיימים שנוצרו אחרי שהאכיפה של הגישה לנתוני SIEM הופעלה.

תרחיש ב': עדיין לא נאכפת גישה לנתוני SIEM

אם עדיין לא הפעלתם את אמצעי הבקרה של Data Access ב-SIEM, האכיפה תופעל ב-SIEM וב-SOAR בו-זמנית.

  1. נכנסים ל-Google SecOps.
  2. מוודאים שההיקפים מוגדרים בצורה נכונה בהגדרות SIEM > גישה לנתונים.
  3. מקצים היקפי נתונים למשתמשים ב Google Cloud מסוף באמצעות Google Cloud IAM.
  4. ב-Google SecOps, עוברים אל SIEM Settings > Data Access (הגדרות SIEM > גישה לנתונים) ולוחצים על Enforce Data Access (אכיפת גישה לנתונים).
  5. ממפים את היקפי ה-SIEM לסביבות SOAR כמו שמתואר במאמר מיפוי היקפים לסביבות.

הגישה לנתונים נאכפת עכשיו ברכיב SIEM, וגם בהתראות ובמקרים חדשים של צד ראשון ברכיב SOAR.

מיפוי היקפים לסביבות

כדי לקשר בין היקפי נתונים של SIEM לבין SOAR, צריך למפות את היקפי הגישה לנתונים של SIEM לסביבות SOAR.

  1. עוברים אל SOAR Settings > Environments כדי לגשת לדף הגדרות הסביבה.
  2. בוחרים סביבה קיימת כדי לשנות אותה או לוחצים על הוספת סביבה.
  3. משייכים היקפים על ידי קישור היקפים של SIEM לסביבה הזו.
    • מאתרים את השדה היקפי הגישה לנתונים ובוחרים את היקפי ה-SIEM הנדרשים.
    • כללי מיפוי:
      • אפשר למפות היקף רק לסביבה אחת.
      • אפשר למפות כמה היקפים לסביבה אחת.
  4. לוחצים על שמירה כדי להחיל את המיפוי של ההיקף לסביבה.

מיפוי חלופי של סביבה

כשמוגדר מיפוי של היקף לסביבה, התראות SIEM עם היקף ממופה מוקצות באופן אוטומטי לסביבת SOAR המשויכת. הפעולה הזו מבטלת את הגדרות הסביבה במחבר Chronicle.

אם התראה של SIEM היא גלובלית או שההיקף שלה לא ממופה לסביבה, היא מנותבת אל סביבת ברירת המחדל. סביבת הגיבוי מוגדרת על ידי ההגדרה Environment או Environment Field Name במחבר Chronicle.

הסבר על הערכת גישה

בקטע הזה מוסבר איך Google SecOps מעריך את גישת המשתמשים לתיקים ולהתראות על סמך ההיקפים והסביבות שהוקצו להם. כדי שמשתמש יוכל לראות בקשת תמיכה או התראה של מוצר צד ראשון, הוא צריך לעמוד בדרישות ההרשאות של הסביבה ושל ההיקף.

לוגיקת הפצת ההיקף

  • היקף ההתראה: התראה שנקלטה כוללת את היקף הגישה לנתונים שהוקצה לה על ידי כללי הזיהוי של Google SecOps SIEM.
  • היקף הבקשה: בקשה מקבלת אוטומטית את כל ההיקפים מההתראות המשויכות לה. לדוגמה, אם פנייה מקבצת את התראה 1 (היקף א') ואת התראה 2 (היקף ב'), הפנייה מקבלת בירושה את היקף א' ואת היקף ב'.

כללי גישה

כדי לגשת למשאב (אירוע או התראה), למשתמש צריכות להיות:

  1. גישה לסביבת SOAR שהוקצתה למשאב.
  2. גישה לכל היקפי הגישה לנתונים שהוקצו למשאב.

תרחישי הערכה

בטבלה הבאה אפשר לראות איך מתבצעת הערכה של גישת המשתמש בתרחישים שונים:

התראות לגבי תיקים היקפי בקשות התמיכה היקפי הרשאות שהוקצו למשתמשים רמת הגישה של המשתמש האם הגישה אושרה לפניה ולהתראות שמשויכות אליה? הסבר
התראה 1 (היקף 1) היקף 1 היקף 1 משתמש בהיקף כן למשתמש יש גישה להיקף היחיד שהוקצה לפנייה.
התראה 1 (היקף 1) והתראה 2 (היקף 2) היקף 1 והיקף 2 היקף 1 משתמש בהיקף לא למשתמש אין הרשאת גישה מסוג Scope 2, והוא צריך לקבל גישה לכל ההרשאות שמשויכות לפנייה.
התראה 1 (היקף 1) והתראה 2 (היקף 2) היקף 1 והיקף 2 היקף 1 והיקף 2 משתמש בהיקף כן למשתמש יש גישה לכל ההיקפים שהוקצו לפנייה.
התראה 1 (היקף 1) והתראה 2 (היקף 2) היקף 1 והיקף 2 עולמי משתמש גלובלי כן משתמשים גלובליים עוקפים את סינון ההיקף ויכולים לראות את כל הפניות.
התראה 1 (היקף גלובלי) עולמי עולמי משתמש גלובלי כן משתמשים גלובליים עוקפים את סינון ההיקף ויכולים לראות את כל המקרים.
התראה 1 (היקף 1) והתראה 2 (היקף גלובלי) עולמי היקף 1 משתמש בהיקף לא הגישה לבקשות תמיכה בהיקף גלובלי מוגבלת למשתמשים גלובליים.
התראה 1 (היקף 1) והתראה 2 (היקף גלובלי) עולמי עולמי משתמש גלובלי כן משתמשים גלובליים עוקפים את סינון ההיקף ויכולים לראות את כל הפניות.
התראה 1 (היקף גלובלי) עולמי היקף 1 משתמש בהיקף לא הגישה לבקשות תמיכה בהיקף גלובלי מוגבלת למשתמשים גלובליים.

כללים לקיבוץ מקרים ולהגדרת היקף של ישויות

  • קיבוץ מוגבל לפי סביבה: אפשר לקבץ התראות לכרטיסייה אחת רק אם ההיקפים הממופים שלהן מנתבים אותן לאותה סביבה.
  • צבירת היקף: כשמתקבלות התראות עם היקפים שונים שמוגדרים לאותה סביבה ומקובצות לכרטיס, הכרטיס מקבל בירושה את כל ההיקפים האלה.
  • ההשפעה של התראות ללא היקף: אם התראה ללא היקף מקובצת עם התראה עם היקף בסביבת הגיבוי, הכרטיס מקבל את ההיקף הגלובלי, ולכן הוא גלוי רק למשתמשים גלובליים.
  • הגדרת היקף של ישויות ייחודיות: ישות ייחודית מקבלת בירושה את ההיקפים של כל ההתראות שבהן היא מופיעה.
  • הגדרת ההיקף של ישויות מעורבות: ישויות מעורבות יורשות רק את ההיקף של ההתראה הראשית שלהן.

שינוי המיפויים של היקפים לסביבות

כשמשנים או מסירים מיפוי של היקף, ההשפעה תלויה בשאלה אם ההתראות והמקרים חדשים או קיימים.

  • העברת היקף: שינוי המיפוי של היקף מסביבה א' לסביבה ב':
    • התראות ומקרים חדשים: מנותבים אל סביבה ב'.
    • התראות ובקשות תמיכה קיימות: יישארו בסביבה א'. משתמשים יכולים לגשת אליהם אם יש להם הרשאות גם לסביבה א' וגם להיקף שהוקצה.
  • הסרת מיפוי של היקף הרשאות: ביטול המיפוי של היקף הרשאות מסביבה:
    • התראות ומקרים חדשים: מנותבים לסביבת הגיבוי. הוא גלוי רק למשתמשים גלובליים ולמשתמשים עם גישה לסביבת הגיבוי.
    • התראות ופניות קיימות: יישארו בסביבה המקורית שלהן, אבל יהיו גלויות רק למשתמשים גלובליים כי ההיקף לא ממופה יותר.

טיפול בבקשות ידניות ובבקשות שחורגות מהמכסה

בקטע הזה מוסבר איך לנהל בקשות שנוצרו באופן ידני או כתוצאה מהצפת התראות.

יצירת בקשות תמיכה באופן ידני

  1. בכרטיסייה Cases, לוחצים על Create Manual Case.
  2. בוחרים את הסביבה הרצויה.
  3. בוחרים היקף גישה לנתונים. ברשימה מוצגים היקפי הרשאות שממופים לסביבה וגם מוקצים לחשבון המשתמש שלכם.
    • אם אין היקפים חופפים, הרשימה ריקה ואי אפשר לשלוח את הבקשה.
    • משתמשים גלובליים יכולים לבחור כל היקף שמופה לסביבה.
  4. מזינים את פרטי הפנייה ולוחצים על שליחה. הפנייה וההתראה הידנית שנוצרה ממנה יקבלו בירושה את ההיקף שנבחר.

פניות עודפות

התראות על מקרים של חריגה מקיבולת מקובצות בכמה היקפים בלי לפעול לפי מודל הישות המשותפת. הם מקבלים את היקף ההרשאות הגלובלי וגלויים רק למשתמשים גלובליים.

איך מוצאים היקפים בדף 'פניות'

אפשר לראות את היקפי הגישה לנתונים שהוקצו לכרטיסייה בכמה מקומות בממשק Google SecOps.

כותרת בקשת התמיכה

ההיקפים שהוקצו מופיעים כתוויות לקריאה בלבד לצד השדה סביבה. מעבירים את הסמן מעל האזור כדי לראות את הרשימה המלאה.

הצגת טבלת בקשות התמיכה

אפשר גם לראות את ההיקפים ישירות מטבלת 'רשימת פניות':

  • עמודה של היקף הרשאות לגישה לנתונים זמינה בטבלה 'רשימת פניות'.
  • בעמודה הזו מוצגים ההיקפים שהוקצו לכרטיס (אם יש כמה, הם מופרדים בפסיקים).
  • כדי לסנן את התור, מקלידים את שמות ההיקפים במסנן הטקסט של העמודה.

טיפול במחיקות של היקפי הרשאות

בקטע הזה מוסבר מה קורה לתיקים ולהתראות קיימים כשמוחקים היקף גישה לנתונים בצד ה-SIEM של הפלטפורמה.

אם אדמין מוחק היקף גישה לנתונים בהגדרות SIEM > גישה לנתונים:

  1. ההיקף מבוטל אוטומטית מכל סביבת SOAR.
  2. אכיפת גישה: מאחר שההיקף נמחק מרכיב ה-SIEM ומ-Cloud IAM, רק משתמשים גלובליים (או משתמשים שעדיין מחזיקים בטוקן ששמור במטמון) יוכלו לגשת למקרים ולהתראות היסטוריים האלה.

פתרון בעיות

בקטע הזה מפורטות ציפיות הביצועים ופתרונות לבעיות נפוצות בהטמעה.

זמן אחזור ומגבלות

יכול להיות שיחלפו עד 30 שניות עד שהשינויים במיפויים של היקף ההרשאות לסביבה או בהפעלה הראשונית יתעדכנו.

אימות ובדיקה

כדי לאמת את ההגדרה, בודקים את הגישה לכרטיסי מידע ולהתראות באמצעות חשבונות משתמשים עם הרשאות שונות בהיקף ובסביבה. מוודאים שהמשתמשים יכולים לראות רק את הנתונים שהם מורשים לראות.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.