1P ケースとアラートへのアクセスを制御する

以下でサポートされています。

このガイドは、データのロールベース アクセス制御(RBAC)を使用して、ファースト パーティ(1P)のケースとアラートへのアクセスを制御する Google SecOps 管理者とセキュリティ アナリストを対象としています。プラットフォームの SIEM 側でデータアクセス スコープを構成し、それらを SOAR 環境にマッピングして、ユーザーがアクセス権を持つデータから派生したアラートとケースのみを表示できるようにする方法について説明します。この方法に沿って、データ ガバナンス ポリシーを適用し、セキュリティを強化できます。この方法を正しく実装することで、組織はロールと責任に基づいてデータの可視性を制限し、コンプライアンスを強化してデータ漏洩のリスクを軽減できます。

主な用語

このガイドでは、データ RBAC のコンセプトとコンポーネントを説明するために、次の用語を使用します。

  • ファースト パーティ(1P)アラート: Google SecOps SIEM 検出エンジンによって生成された検出結果(ルール、脅威インテリジェンスの一致、セキュリティ分析など)。これらの SIEM 検出結果が Google SecOps コネクタを使用して SOAR コンポーネントに取り込まれると、1P アラートが形成され、1P ケースにグループ化されます。
  • サードパーティ(3P)アラート: 個別の SOAR インテグレーションを使用して、外部セキュリティ ツール(サードパーティ ファイアウォールやエンドポイント検出エージェントなど)から SOAR コンポーネントに直接取り込まれたアラート。これらのアラートは SIEM 検出エンジンをバイパスし、SIEM データアクセス スコープの対象外となります。

1P アラートの場合、Google SecOps は基盤となるイベントの関連データスコープを SOAR コンポーネントに伝播します。この伝播により、アナリストは基盤となるイベントのデータスコープにアクセスできる場合にのみ、アラートと関連するケースを表示できます。たとえば、財務ユーザーには、Google SecOps に取り込まれた財務データへのアクセス権を付与できますが、顧客の連絡先データへのアクセス権は付与できません。財務ユーザーは、財務データに関連付けられたアラートとケースのみを表示でき、顧客の連絡先データに関連付けられたアラートやケースは表示できません。

始める前に

1P ケースとアラートのデータ RBAC を構成する前に、次の要件を満たしていることを確認してください。

  • Google SecOps インスタンスが統合されている(SIEM と SOAR が有効になっている)必要があります。
  • マルチインスタンス SIEM の動作: 単一の SOAR インスタンスに複数の SIEM インスタンスが接続されている場合、スコープの伝播と適用はプライマリ SIEM インスタンスにのみ適用されます。セカンダリ SIEM インスタンスのスコープは SOAR 側で無視され、これらのアラートは SOAR で割り当てられた環境にアクセスできるすべてのユーザーに表示されます。
  • Chronicle コネクタ: SIEM コンポーネントを SOAR コンポーネントに接続する Chronicle コネクタは、最新の Chronicle API を使用します。この機能を有効にする前に、コネクタが従来の Backstory API から Chronicle API にアップグレードされていることを確認してください。詳細については、Chronicle API へのアップグレードをご覧ください。

1P アラートとケースのデータ RBAC を有効にする

Google SecOps 管理者( Google Cloud IAM 内の Chronicle API 管理者ロール)は、インスタンスで 1P アラートとケースのデータ RBAC を有効にできます。シナリオは 2 つあります。

シナリオ A: SIEM データアクセスがすでに適用されている

SIEM コンポーネントでデータアクセス制御がすでに有効になっている場合は、次の手順に沿って、SOAR コンポーネントの 1P アラートとケースに適用範囲を拡大します。

  1. Google SecOps にログインします。
  2. [SIEM 設定 > データアクセス] でスコープが正しく構成されていることを確認します。
  3. コンソールで IAM を使用して、ユーザーにデータスコープを Google Cloud 割り当てます Google Cloud 。
  4. Google SecOps で、[SIEM 設定 > データアクセス] に移動し、[SOAR でデータアクセスを有効にする] をクリックします。
  5. スコープを環境にマッピングするの説明に従って、SIEM スコープを SOAR 環境にマッピングします。

SOAR コンポーネントの 1P アラートとケースにデータアクセスが適用されるようになりました。これは、すべての新しいアラートとケース、および SIEM データアクセスが最初に適用された後に作成された既存のアラートとケースに適用されます。

シナリオ B: SIEM データアクセスがまだ適用されていない

SIEM でデータアクセス制御をまだ有効にしていない場合、SIEM と SOAR の両方で同時に適用が有効になります。

  1. Google SecOps にログインします。
  2. [SIEM 設定 > データアクセス] でスコープが正しく構成されていることを確認します。
  3. コンソールで IAM を使用して、ユーザーにデータスコープを Google Cloud 割り当てます Google Cloud 。
  4. Google SecOps で、[SIEM 設定 > データアクセス] に移動し、[データアクセスを適用] をクリックします。
  5. スコープを環境にマッピングするの説明に従って、SIEM スコープを SOAR 環境にマッピングします。

SIEM コンポーネントと、SOAR コンポーネントの新しい 1P アラートとケースにデータアクセスが適用されるようになりました。

スコープを環境にマッピングする

SIEM データスコープを SOAR にリンクするには、SIEM データアクセス スコープを SOAR 環境にマッピングします。

  1. [SOAR 設定 > 環境] に移動して、環境構成ページにアクセスします。
  2. 既存の環境を選択して変更するか、[環境を追加] をクリックします。
  3. SIEM スコープをこの環境にリンクして、スコープを関連付けます。
    • [データアクセス スコープ] フィールドを見つけて、必要な SIEM スコープを選択します。
    • マッピング ルール:
      • スコープは1 つ の環境にのみマッピングできます。
      • 複数のスコープを 1 つの環境にマッピングできます。
  4. [保存] をクリックして、スコープと環境のマッピングを適用します。

環境フォールバック マッピング

スコープと環境のマッピングが構成されている場合、マッピングされたスコープを持つ SIEM アラートは、関連付けられた SOAR 環境に自動的に割り当てられます。これにより、Chronicle コネクタの環境設定がオーバーライドされます。

SIEM アラートのスコープが設定されていない(グローバル)場合、またはスコープが環境にマッピングされていない場合は、フォールバック環境 に転送されます。フォールバック環境は、Environment または Environment Field Name 設定で Chronicle コネクタによって定義されます。

アクセス評価について

このセクションでは、割り当てられたスコープと環境に基づいて、Google SecOps がケースとアラートへのユーザー アクセスを評価する方法について説明します。1P ケースまたはアラートを表示するには、ユーザーが環境権限とスコープ権限の両方を満たしている必要があります。

スコープ伝播ロジック

  • アラート スコープ: 取り込まれたアラートには、Google SecOps SIEM 検出ルールによって割り当てられたデータアクセス スコープが含まれます。
  • ケーススコープ: ケースは、関連付けられたアラートからすべてのスコープの和集合を自動的に継承します。たとえば、ケースがアラート 1(スコープ A)とアラート 2(スコープ B)をグループ化する場合、ケースはスコープ A とスコープ B の両方を継承します。

アクセスルール

リソース(ケースまたはアラート)にアクセスするには、ユーザーに次の権限が必要です。

  1. リソースに割り当てられたSOAR 環境 へのアクセス権。
  2. リソースに割り当てられたすべての データアクセス スコープへのアクセス権。

評価シナリオ

次の表に、さまざまなシナリオでユーザー アクセスがどのように評価されるかを示します。

ケースアラート ケーススコープ ユーザーに割り当てられたスコープ ユーザーのアクセスレベル ケースと関連するアラートへのアクセス権が付与されていますか? 根拠
アラート 1(スコープ 1) スコープ 1 スコープ 1 スコープ設定されたユーザー はい ユーザーは、ケースに割り当てられた単一のスコープにアクセスできます。
アラート 1(スコープ 1)とアラート 2(スコープ 2) スコープ 1 とスコープ 2 スコープ 1 スコープ設定されたユーザー いいえ ユーザーにスコープ 2 がありません。ケースに割り当てられたすべてのスコープにアクセスできる必要があります。
アラート 1(スコープ 1)とアラート 2(スコープ 2) スコープ 1 とスコープ 2 スコープ 1 とスコープ 2 スコープ設定されたユーザー はい ユーザーは、ケースに割り当てられたすべてのスコープにアクセスできます。
アラート 1(スコープ 1)とアラート 2(スコープ 2) スコープ 1 とスコープ 2 グローバル グローバル ユーザー はい グローバル ユーザーはスコープ フィルタリングをバイパスして、すべてのケースを表示できます。
アラート 1(グローバル スコープ) グローバル グローバル グローバル ユーザー はい グローバル ユーザーはスコープ フィルタリングをバイパスして、すべてのケースを表示できます。
アラート 1(スコープ 1)とアラート 2(グローバル スコープ) グローバル スコープ 1 スコープ設定されたユーザー いいえ グローバル スコープのケースはグローバル ユーザーに制限されます。
アラート 1(スコープ 1)とアラート 2(グローバル スコープ) グローバル グローバル グローバル ユーザー はい グローバル ユーザーはスコープ フィルタリングをバイパスして、すべてのケースを表示できます。
アラート 1(グローバル スコープ) グローバル スコープ 1 スコープ設定されたユーザー いいえ グローバル スコープのケースはグローバル ユーザーに制限されます。

ケースのグループ化とエンティティのスコープ設定ルール

  • 環境でバインドされたグループ化: アラートを 1 つのケースにグループ化できるのは、マッピングされたスコープが同じ環境 に転送される場合のみです。
  • スコープの累積: 異なるスコープを持つアラートが同じ環境にマッピングされ、ケースにグループ化されると、ケースはこれらのスコープのすべて を継承します。
  • スコープ設定されていないアラートの影響: スコープ設定されていないアラートがフォールバック環境でスコープ設定されたアラートとグループ化されると、ケースはグローバル スコープを継承し、グローバル ユーザーにのみ表示されます。
  • 一意のエンティティのスコープ設定: 一意のエンティティは、表示されるすべて のアラートのスコープを継承します。
  • 関連するエンティティのスコープ設定: 関連するエンティティは、親アラートのスコープのみを継承します。

スコープと環境のマッピングを変更する

スコープ マッピングを変更または削除した場合の影響は、アラートとケースが新しいか既存かによって異なります。

  • スコープを移動する: スコープのマッピングを 環境 A から 環境 B に変更する:
    • 新しいアラートとケース: 環境 B に転送されます。
    • 既存のアラートとケース: 環境 A に残ります。ユーザーは、 環境 A と割り当てられたスコープの両方の権限を持っている場合にアクセスできます。
  • スコープ マッピングを削除する: 環境からスコープのマッピングを解除する:
    • 新しいアラートとケース: フォールバック環境に転送されます。グローバル ユーザーとフォールバック環境にアクセスできるユーザーにのみ表示されます。
    • 既存のアラートとケース: 元の環境に残りますが、スコープがマッピングされなくなるため、グローバル ユーザーにのみ表示されます。

手動ケースとオーバーフロー ケースを処理する

このセクションでは、手動で作成されたケースや、アラートのオーバーフローによって発生したケースを管理する方法について説明します。

手動ケースを作成する

  1. [ケース] タブで、[手動ケースを作成] をクリックします。
  2. ターゲットの環境 を選択します。
  3. データアクセス スコープ を選択します。リストには、環境にマッピングされ、ユーザー アカウントに割り当てられているスコープが表示されます。
    • 重複するスコープが存在しない場合、リストは空になり、ケースを送信できません。
    • グローバル ユーザーは、環境にマッピングされた任意のスコープを選択できます。
  4. ケースの詳細を入力して、[送信] をクリックします。ケースとその手動アラートは、選択したスコープを継承します。

オーバーフロー ケース

オーバーフロー ケースは、共有エンティティ モデルに従わずに、複数のスコープにわたってアラートをグループ化します。グローバル スコープが割り当てられ、グローバル ユーザーにのみ表示されます。

[ケース] ページでスコープを見つける

ケースに割り当てられたデータアクセス スコープは、Google SecOps インターフェース内の複数の場所で確認できます。

ケースのヘッダー

割り当てられたスコープは、[環境] フィールドの横に読み取り専用のラベルとして表示されます。完全なリストを表示するには、この領域にポインタを合わせます。

ケースの一覧表

ケースの一覧表からスコープを直接表示することもできます。

  • ケースの一覧表には [データアクセス スコープ] 列があります。
  • この列には、ケースに割り当てられたスコープが表示されます(複数ある場合はカンマ区切り)。
  • 列のテキスト フィルタにスコープ名を入力して、キューをフィルタできます。

スコープの削除を処理する

このセクションでは、プラットフォームの SIEM 側でデータアクセス スコープが削除された場合に、既存のケースとアラートに何が起こるかについて説明します。

管理者が [SIEM 設定 > データアクセス] でデータアクセス スコープを削除すると、次のようになります。

  1. スコープは、SOAR 環境から自動的にマッピング解除されます。
  2. アクセス制御: スコープが SIEM コンポーネントと Cloud IAM から削除されるため、これらの過去のケースとアラートにアクセスできるのは、グローバル ユーザー(またはキャッシュされたトークン クレームを保持しているユーザー)のみになります。

トラブルシューティング

このセクションでは、パフォーマンスの期待値と、一般的なデプロイの問題に対するセルフサービスでの修正方法について説明します。

レイテンシと上限

スコープと環境のマッピングの変更または最初の有効化が伝播されるまでに、最大 30 秒かかることがあります。

検証とテスト

構成を検証するには、スコープと環境の権限が異なるユーザー アカウントを使用して、ケースとアラートへのアクセスをテストします。ユーザーがアクセス権を持つデータのみを表示できることを確認します。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。