Mengontrol akses ke kasus dan pemberitahuan pihak pertama
Panduan ini ditujukan bagi administrator dan analis keamanan SecOps Google yang ingin mengontrol akses ke kasus dan pemberitahuan pihak pertama (1P) menggunakan Kontrol Akses Berbasis Peran (RBAC) Data. Dokumen ini menjelaskan cara mengonfigurasi cakupan akses data di sisi SIEM platform dan memetakannya ke lingkungan SOAR sehingga pengguna hanya dapat melihat pemberitahuan dan kasus yang berasal dari data yang berwenang mereka akses. Dengan mengikuti metode ini, Anda dapat menerapkan kebijakan tata kelola data dan meningkatkan keamanan. Setelah berhasil diselesaikan, organisasi dapat membatasi visibilitas data berdasarkan peran dan tanggung jawab, sehingga meningkatkan kepatuhan dan mengurangi risiko eksposur data.
Terminologi utama
Istilah berikut digunakan di seluruh panduan ini untuk menjelaskan konsep dan komponen RBAC Data.
- Pemberitahuan pihak pertama (1P): Deteksi yang dihasilkan oleh mesin deteksi SIEM Google SecOps, seperti aturan, kecocokan kecerdasan ancaman, atau analisis keamanan. Saat deteksi SIEM ini dimasukkan ke dalam komponen SOAR menggunakan konektor Google SecOps, deteksi tersebut membentuk pemberitahuan pihak pertama dan dikelompokkan ke dalam kasus pihak pertama.
- Pemberitahuan pihak ketiga (3P): Pemberitahuan yang dimasukkan langsung ke komponen SOAR dari alat keamanan eksternal (misalnya, firewall pihak ketiga atau agen deteksi endpoint) menggunakan integrasi SOAR terpisah. Pemberitahuan ini melewati mesin deteksi SIEM dan tidak tunduk pada cakupan akses data SIEM.
Untuk pemberitahuan 1P, Google SecOps menyebarkan cakupan data terkait dari peristiwa pokok ke komponen SOAR. Propagasi ini memungkinkan analis melihat pemberitahuan dan kasus terkait hanya jika mereka memiliki akses ke cakupan data peristiwa pokok. Misalnya, pengguna keuangan dapat diberi akses ke data keuangan yang di-ingest ke Google SecOps, tetapi tidak ke data kontak pelanggan. Pengguna keuangan hanya dapat melihat pemberitahuan dan kasus yang terkait dengan data keuangan, dan tidak dapat melihat pemberitahuan atau kasus yang terkait dengan data kontak pelanggan.
Sebelum memulai
Sebelum mengonfigurasi RBAC data untuk kasus dan pemberitahuan pihak pertama, pastikan persyaratan berikut terpenuhi:
- Instance Google SecOps Anda harus terpadu (SIEM dan SOAR diaktifkan).
- Perilaku SIEM multi-instance: Jika Anda memiliki beberapa instance SIEM yang terhubung ke satu instance SOAR, propagasi dan penerapan cakupan hanya berlaku untuk instance SIEM Utama. Cakupan dari instance SIEM sekunder diabaikan di sisi SOAR, dan pemberitahuan tersebut dapat dilihat oleh pengguna mana pun yang memiliki akses ke lingkungan yang ditetapkan di SOAR.
- Chronicle Connector: Konektor Chronicle yang menghubungkan komponen SIEM ke komponen SOAR menggunakan Chronicle API modern. Pastikan konektor diupgrade dari Backstory API lama ke Chronicle API sebelum mengaktifkan fitur ini. Untuk mengetahui detail selengkapnya, lihat Mengupgrade ke Chronicle API.
Mengaktifkan RBAC Data untuk pemberitahuan dan kasus pihak pertama
Administrator Google SecOps (peran Admin API Chronicle dalam Google Cloud IAM) dapat mengaktifkan RBAC Data untuk pemberitahuan dan kasus Pihak Pertama di instance mereka. Ada dua skenario:
Skenario A: Akses data SIEM sudah diterapkan
Jika kontrol Akses Data sudah aktif di komponen SIEM, ikuti langkah-langkah berikut untuk memperluas penegakan ke kasus dan pemberitahuan 1P di komponen SOAR:
- Login ke Google SecOps.
- Pastikan cakupan Anda dikonfigurasi dengan benar di Setelan SIEM > Akses Data.
- Tetapkan cakupan data kepada pengguna di konsol Google Cloud menggunakan Google Cloud IAM.
- Di Google SecOps, buka Setelan SIEM > Akses Data, lalu klik Aktifkan Akses Data di SOAR.
- Petakan cakupan SIEM Anda ke lingkungan SOAR seperti yang dijelaskan dalam Memetakan cakupan ke lingkungan.
Akses Data kini diterapkan untuk pemberitahuan dan kasus pihak pertama di komponen SOAR. Hal ini berlaku untuk semua kasus dan pemberitahuan baru, serta yang sudah ada yang dibuat setelah Akses Data SIEM awalnya diterapkan.
Skenario B: Akses data SIEM BELUM diterapkan
Jika Anda belum mengaktifkan kontrol Akses Data di SIEM, penerapan akan diaktifkan untuk SIEM dan SOAR secara bersamaan.
- Login ke Google SecOps.
- Pastikan cakupan Anda dikonfigurasi dengan benar di Setelan SIEM > Akses Data.
- Tetapkan cakupan data kepada pengguna di konsol Google Cloud menggunakan Google Cloud IAM.
- Di Google SecOps, buka SIEM Settings > Data Access, lalu klik Enforce Data Access.
- Petakan cakupan SIEM Anda ke lingkungan SOAR seperti yang dijelaskan dalam Memetakan cakupan ke lingkungan.
Akses Data kini diterapkan di komponen SIEM dan untuk pemberitahuan serta kasus 1P baru di komponen SOAR.
Memetakan cakupan ke lingkungan
Untuk menautkan cakupan data SIEM dengan SOAR, petakan cakupan Akses Data SIEM Anda ke lingkungan SOAR.
- Buka Setelan SOAR > Lingkungan untuk mengakses halaman konfigurasi lingkungan.
- Pilih lingkungan yang ada untuk diubah atau klik Tambahkan Lingkungan.
- Kaitkan cakupan dengan menautkan cakupan SIEM ke lingkungan ini.
- Temukan kolom Cakupan akses data, lalu pilih cakupan SIEM yang diperlukan.
- Aturan pemetaan:
- Cakupan hanya dapat dipetakan ke satu lingkungan.
- Beberapa cakupan dapat dipetakan ke satu lingkungan.
- Klik Simpan untuk menerapkan pemetaan cakupan ke lingkungan.
Pemetaan penggantian lingkungan
Jika pemetaan cakupan ke lingkungan dikonfigurasi, pemberitahuan SIEM dengan cakupan yang dipetakan akan otomatis ditetapkan ke lingkungan SOAR terkait. Tindakan ini akan menggantikan setelan lingkungan di konektor Chronicle.
Jika pemberitahuan SIEM tidak memiliki cakupan (global) atau cakupannya tidak dipetakan ke lingkungan, pemberitahuan tersebut akan dirutekan ke lingkungan penggantian. Lingkungan penggantian ditentukan oleh setelan Environment atau Environment Field Name di konektor Chronicle.
Memahami evaluasi akses
Bagian ini menjelaskan cara Google SecOps mengevaluasi akses pengguna ke kasus dan pemberitahuan berdasarkan cakupan dan lingkungan yang ditetapkan. Untuk melihat kasus atau pemberitahuan 1P, pengguna harus memenuhi izin lingkungan dan cakupan.
Logika propagasi cakupan
- Cakupan pemberitahuan: Pemberitahuan yang diserap membawa cakupan akses data yang ditetapkan kepadanya oleh aturan deteksi Google SecOps SIEM.
- Cakupan kasus: Kasus secara otomatis mewarisi gabungan semua cakupan dari pemberitahuan terkaitnya. Misalnya, jika kasus mengelompokkan Pemberitahuan 1 (Cakupan A) dan Pemberitahuan 2 (Cakupan B), kasus tersebut akan mewarisi Cakupan A dan Cakupan B.
Aturan akses
Untuk mengakses resource (kasus atau notifikasi), pengguna harus memiliki:
- Akses ke lingkungan SOAR yang ditetapkan ke resource.
- Akses ke semua cakupan akses data yang ditetapkan ke resource.
Skenario evaluasi
Tabel berikut menunjukkan cara akses pengguna dievaluasi dalam berbagai skenario:
| Notifikasi kasus | Cakupan kasus | Cakupan yang ditetapkan pengguna | Tingkat akses pengguna | Akses diberikan ke kasus dan pemberitahuan terkait? | Alasan |
|---|---|---|---|---|---|
| Peringatan 1 (Lingkup 1) | Lingkup 1 | Lingkup 1 | Pengguna yang memiliki cakupan | Ya | Pengguna memiliki akses ke cakupan tunggal yang ditetapkan ke kasus. |
| Peringatan 1 (Cakupan 1) dan Peringatan 2 (Cakupan 2) | Cakupan 1 dan Cakupan 2 | Lingkup 1 | Pengguna yang memiliki cakupan | Tidak | Pengguna tidak memiliki Cakupan 2; pengguna harus memiliki akses ke semua cakupan yang ditetapkan ke kasus. |
| Peringatan 1 (Cakupan 1) dan Peringatan 2 (Cakupan 2) | Cakupan 1 dan Cakupan 2 | Cakupan 1 dan Cakupan 2 | Pengguna yang memiliki cakupan | Ya | Pengguna memiliki akses ke semua cakupan yang ditetapkan ke kasus. |
| Peringatan 1 (Cakupan 1) dan Peringatan 2 (Cakupan 2) | Cakupan 1 dan Cakupan 2 | Global | Pengguna global | Ya | Pengguna global melewati pemfilteran cakupan dan dapat melihat semua kasus. |
| Peringatan 1 (Cakupan global) | Global | Global | Pengguna global | Ya | Pengguna global melewati pemfilteran cakupan dan dapat melihat semua kasus. |
| Peringatan 1 (Cakupan 1) dan Peringatan 2 (Cakupan global) | Global | Lingkup 1 | Pengguna yang memiliki cakupan | Tidak | Kasus dengan cakupan global dibatasi untuk pengguna global. |
| Peringatan 1 (Cakupan 1) dan Peringatan 2 (Cakupan global) | Global | Global | Pengguna global | Ya | Pengguna global melewati pemfilteran cakupan dan dapat melihat semua kasus. |
| Peringatan 1 (Cakupan global) | Global | Lingkup 1 | Pengguna yang memiliki cakupan | Tidak | Kasus dengan cakupan global dibatasi untuk pengguna global. |
Aturan pengelompokan kasus dan cakupan entitas
- Pengelompokan yang dibatasi oleh lingkungan: Pemberitahuan hanya dapat dikelompokkan ke dalam satu kasus jika cakupan yang dipetakan mengarahkan pemberitahuan tersebut ke lingkungan yang sama.
- Akumulasi cakupan: Jika pemberitahuan dengan cakupan yang berbeda dipetakan ke lingkungan yang sama dan dikelompokkan ke dalam kasus, kasus tersebut akan mewarisi semua cakupan tersebut.
- Dampak peringatan tanpa cakupan: Jika peringatan tanpa cakupan dikelompokkan dengan peringatan tercakup di lingkungan penggantian, kasus akan mewarisi cakupan global, sehingga hanya dapat dilihat oleh pengguna global.
- Pemberian cakupan entitas unik: Entitas unik mewarisi cakupan semua pemberitahuan yang memuatnya.
- Pencakupan entitas yang terlibat: Entitas yang terlibat hanya mewarisi cakupan pemberitahuan induknya.
Mengubah pemetaan cakupan ke lingkungan
Saat Anda mengubah atau menghapus pemetaan cakupan, dampaknya bergantung pada apakah pemberitahuan dan kasus baru atau sudah ada.
- Memindahkan cakupan: Mengubah pemetaan cakupan dari Lingkungan A ke Lingkungan B:
- Pemberitahuan dan kasus baru: Dialihkan ke Lingkungan B.
- Pemberitahuan dan kasus yang ada: Tetap berada di Lingkungan A. Pengguna dapat mengaksesnya jika mereka memiliki izin untuk Lingkungan A dan cakupan yang ditetapkan.
- Menghapus pemetaan cakupan: Membatalkan pemetaan cakupan dari lingkungan:
- Pemberitahuan dan kasus baru: Dialihkan ke lingkungan penggantian. Hanya dapat dilihat oleh pengguna global dan pengguna yang memiliki akses ke lingkungan penggantian.
- Peringatan dan kasus yang ada: Tetap berada di lingkungan aslinya, tetapi hanya dapat dilihat oleh pengguna global karena cakupannya tidak lagi dipetakan.
Menangani kasus manual dan overflow
Bagian ini menjelaskan cara mengelola kasus yang dibuat secara manual atau yang dihasilkan dari overflow pemberitahuan.
Membuat kasus manual
- Di tab Cases, klik Create Manual Case.
- Pilih Environment target.
- Pilih Cakupan akses data. Daftar ini menampilkan cakupan yang dipetakan ke lingkungan dan ditetapkan ke akun pengguna Anda.
- Jika tidak ada cakupan yang tumpang-tindih, daftar akan kosong dan Anda tidak dapat mengirimkan kasus.
- Pengguna global dapat memilih cakupan apa pun yang dipetakan ke lingkungan.
- Masukkan detail kasus, lalu klik Kirim. Kasus dan pemberitahuan manualnya mewarisi cakupan yang dipilih.
Kasus luapan
Kasus overflow mengelompokkan pemberitahuan di beberapa cakupan tanpa mengikuti model entity bersama. Mereka diberi cakupan global dan hanya dapat dilihat oleh pengguna global.
Menemukan cakupan di halaman Kasus
Anda dapat melihat cakupan akses data yang ditetapkan ke kasus di beberapa lokasi dalam antarmuka Google SecOps.
Header kasus
Cakupan yang ditetapkan muncul sebagai label hanya baca di samping kolom Lingkungan. Arahkan kursor ke area tersebut untuk melihat daftar lengkapnya.
Tabel daftar kasus
Anda juga dapat melihat cakupan langsung dari tabel List cases:
- Kolom Cakupan akses data tersedia di tabel Daftar kasus.
- Kolom ini menampilkan cakupan yang ditetapkan ke kasus (dipisahkan dengan koma jika ada beberapa cakupan).
- Anda dapat memfilter antrean dengan mengetik nama cakupan ke dalam filter teks kolom.
Menangani penghapusan cakupan
Bagian ini menjelaskan apa yang terjadi pada kasus dan pemberitahuan yang ada saat cakupan akses data dihapus di sisi SIEM platform.
Jika administrator menghapus cakupan akses data di Setelan SIEM > Akses Data:
- Cakupan akan otomatis dibatalkan pemetaannya dari lingkungan SOAR mana pun.
- Penerapan Akses: Karena cakupan dihapus dari SIEM dan Cloud IAM, hanya pengguna global (atau pengguna yang masih memiliki klaim token yang di-cache) yang dapat mengakses kasus dan pemberitahuan historis ini.
Pemecahan masalah
Bagian ini menguraikan ekspektasi performa dan memberikan perbaikan layanan mandiri untuk masalah deployment umum.
Latensi dan batas
Perubahan pada pemetaan cakupan ke lingkungan atau pengaktifan awal dapat memerlukan waktu hingga 30 detik untuk diterapkan.
Validasi dan pengujian
Untuk memvalidasi konfigurasi Anda, uji akses ke kasus dan pemberitahuan menggunakan akun pengguna dengan izin cakupan dan lingkungan yang berbeda. Pastikan pengguna hanya dapat melihat data yang mereka miliki otorisasi untuk melihatnya.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.