Auswirkungen von RBAC für Daten auf Google SecOps-Funktionen
Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Organisation einschränkt. Nachdem die datenbezogene rollenbasierte Zugriffssteuerung in einer Umgebung konfiguriert wurde, werden in den Google Security Operations-Funktionen gefilterte Daten angezeigt. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Daten steuert den Nutzerzugriff entsprechend den zugewiesenen Bereichen und sorgt dafür, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite erhalten Sie einen Überblick darüber, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die einzelnen Google SecOps-Funktionen auswirkt.
Informationen zur Funktionsweise von Data RBAC finden Sie unter Data RBAC.
Suchen
Die in den Suchergebnissen zurückgegebenen Daten basieren auf den Datenzugriffsbereichen des Nutzers. Nutzer können nur Ergebnisse aus Daten sehen, die den ihnen zugewiesenen Bereichen entsprechen. Wenn Nutzern mehrere Bereiche zugewiesen sind, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören, auf die der Nutzer keinen Zugriff hat, werden nicht in den Suchergebnissen angezeigt.
Regeln
Regeln sind Erkennungsmechanismen, mit denen die aufgenommenen Daten analysiert und potenzielle Sicherheitsbedrohungen erkannt werden. Regeln können so kategorisiert werden:
Regeln mit beschränktem Umfang: Sie sind einem bestimmten Datenbereich zugeordnet. Regeln mit Bereich können nur für Daten angewendet werden, die in die Definition des Bereichs fallen. Nutzer mit Zugriff auf einen Bereich können die zugehörigen Regeln ansehen und verwalten.
Globale Regeln: Diese Regeln haben eine größere Sichtbarkeit und können auf Daten in allen Bereichen angewendet werden. Aus Sicherheits- und Kontrollgründen können nur Nutzer mit globalem Bereich globale Regeln ansehen und erstellen.
Die Benachrichtigungserstellung ist auf Ereignisse beschränkt, die dem Umfang der Regel entsprechen. Wenn einer Regel kein Bereich zugewiesen ist, wird sie im globalen Bereich ausgeführt und auf alle Daten angewendet.
Die datenbasierte rollenbasierte Zugriffssteuerung wirkt sich auf folgende Weise auf Regeln aus:
Die datenbasierte rollenbasierte Zugriffssteuerung (RBAC) wird aktiviert, bevor Regeln Bereiche zugewiesen werden:Allen vorhandenen Regeln wird automatisch der globale Bereich zugewiesen. Weisen Sie jeder Regel Bereiche entsprechend Ihren Anforderungen an die Datenzugriffssteuerung zu.
Die Daten-RBAC wird nach dem Zuweisen von Bereichen zu Regeln aktiviert: Regeln mit Bereichen werden auf aufgenommene Daten angewendet, die ihren definierten Bereichen entsprechen, auch bevor die Daten-RBAC aktiviert wird. So können Nutzer Erkennungen sehen, die nach der Zuweisung der Bereiche generiert wurden.
Der Bereich, der einer Regel zugeordnet ist, bestimmt, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränktem Zugriff |
|---|---|---|
| Kann bereichsbezogene Regeln ansehen | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der zugewiesenen Bereiche des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A, aber nicht mit Bereich C sehen. |
| Globale Regeln ansehen | Ja | Nein |
| Kann Regeln mit eingeschränktem Umfang erstellen und aktualisieren | Ja | Ja (nur, wenn der Geltungsbereich der Regel innerhalb der zugewiesenen Bereiche des Nutzers liegt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A, aber keine Regel mit Bereich C erstellen. |
| Kann globale Regeln erstellen und aktualisieren | Ja | Nein |
Erkennungen
Erkennungen sind Warnungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Bevor die rollenbasierte Zugriffssteuerung für Daten aktiviert wird, können alle Nutzer alle erkannten Probleme sehen, unabhängig von der Bereichskennzeichnung. Nachdem die Daten-RBAC aktiviert wurde, können Nutzer nur noch Erkennungen sehen, die auf Regeln basieren, die mit ihren zugewiesenen Bereichen verknüpft sind.
Ein Sicherheitsanalyst mit dem Datenbereich „Finanzdaten“ sieht beispielsweise nur Erkennungen, die von Regeln generiert werden, die dem Datenbereich „Finanzdaten“ zugewiesen sind, und keine Erkennungen aus anderen Regeln.
Die Aktionen, die ein Nutzer für eine Erkennung ausführen kann (z. B. eine Erkennung als behoben markieren), sind ebenfalls auf den Bereich beschränkt, in dem die Erkennung erfolgt ist.
Ausgewählte Erkennungen
Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden. Kuratierte Erkennungen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der abgestimmten Erkennungsmechanismen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet sie, damit Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung erkennen können. Weitere Informationen finden Sie unter Kuratierte Erkennungen verwenden, um Bedrohungen zu erkennen.
Für kuratierte Erkennungen wird keine rollenbasierte Zugriffssteuerung für Daten unterstützt. Nur Nutzer mit globalem Umfang können auf kuratierte Erkennungen zugreifen.
Triage-Agent
Der Triage-Agent ist ein KI-Assistent, der in Google Security Operations eingebettet ist. Es untersucht Sicherheitswarnungen, um festzustellen, ob es sich um tatsächliche oder falsch positive Ergebnisse handelt, und bietet eine zusammenfassende Erklärung für seine Bewertung.
Wenn die Daten-RBAC aktiviert ist, können nur Nutzer mit globalem Datenzugriff Triage Agent-Untersuchungen auslösen und ansehen. Weitere Informationen finden Sie unter Nutzerrollen.
Rohlogs
Wenn die datenbezogene rollenbasierte Zugriffssteuerung aktiviert ist, können nur Nutzer mit globalem Bereich auf nicht geparste Rohlogs zugreifen.
Datentabellen
Datentabellen sind mehrspaltige Datenkonstrukte, mit denen Sie Ihre eigenen Daten in Google SecOps eingeben können. Diese können als Suchtabellen mit definierten Spalten und in Zeilen gespeicherten Daten dienen. Durch die Zuweisung von Bereichen zu einer Datentabelle können Sie steuern, welche Nutzer und Ressourcen darauf zugreifen und sie verwenden können.
Zugriffsberechtigungen für Nutzer in Datentabellen
Die Bereiche, die mit einer Datentabelle verknüpft sind, bestimmen, wie globale und bereichsbezogene Nutzer damit interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränktem Zugriff |
|---|---|---|
| Kann eine Datentabelle mit eingeschränktem Umfang erstellen | Ja | Ja (nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind) Ein eingeschränkter Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Datentabelle ohne Bereich erstellen | Ja | Nein |
| Kann die Tabelle mit eingeschränktem Datenbereich aktualisieren | Ja | Ja (nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind) Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit dem Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Datentabelle mit den Bereichen A, B und C. |
| Kann Tabellen ohne Bereich aktualisieren | Ja | Nein |
| Kann eine Tabelle mit eingeschränktem Bereich in eine Tabelle ohne eingeschränkten Bereich ändern | Ja | Nein |
| Kann die Datenbereichstabelle ansehen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt) Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit den Bereichen A und B verwenden, aber nicht eine Datentabelle mit den Bereichen C und D. |
| Kann die Datenübersichtstabelle ohne Bereich ansehen und verwenden | Ja | Ja |
| Suchanfragen mit Daten ohne Bereichsbegrenzung ausführen | Ja | Ja |
| Suchanfragen mit Tabellen mit eingeschränkten Daten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt) Ein Nutzer mit Bereich A kann beispielsweise Suchanfragen mit Datentabellen mit den Bereichen A, B und C ausführen, aber nicht mit Datentabellen mit den Bereichen B und C. |
Referenzlisten
Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in UDM-Such- und ‑Erkennungsregeln verwendet werden. Wenn Sie einer Referenzliste (Liste mit Bereich) Bereiche zuweisen, wird der Zugriff darauf auf bestimmte Nutzer und Ressourcen wie Regeln und die UDM-Suche beschränkt. Eine Referenzliste ohne zugewiesenen Bereich wird als Liste ohne Bereich bezeichnet.
Zugriffsberechtigungen für Nutzer in Referenzlisten
Die Bereiche, die mit einer Referenzliste verknüpft sind, bestimmen, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:
| Aktion | Globaler Nutzer | Nutzer mit eingeschränktem Zugriff |
|---|---|---|
| Kann Listen mit eingeschränktem Umfang erstellen | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder eine Teilmenge davon sind)
Ein Nutzer mit beschränktem Bereich und den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C. |
| Kann Liste ohne Bereich erstellen | Ja | Nein |
| Kann die Liste mit eingeschränktem Umfang aktualisieren | Ja | Ja (mit Bereichen, die den zugewiesenen Bereichen entsprechen oder eine Teilmenge davon sind)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit dem Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Referenzliste mit den Bereichen A, B und C. |
| Kann Liste ohne Bereichsangabe aktualisieren | Ja | Nein |
| Kann die Liste mit eingeschränktem Umfang in eine Liste ohne eingeschränkten Umfang ändern | Ja | Nein |
| Kann die Liste mit eingeschränktem Umfang ansehen und verwenden | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber nicht eine Referenzliste mit den Bereichen C und D. |
| Kann Liste ohne Bereichsangabe ansehen und verwenden | Ja | Ja |
| UDM-Suchanfragen und Dashboard-Abfragen mit Referenzlisten ohne Bereich ausführen | Ja | Ja |
| UDM-Suchanfragen und Dashboard-Abfragen mit eingeschränkten Referenzlisten ausführen | Ja | Ja (wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt)
Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten mit den Bereichen B und C. |
Zugriffsberechtigungen für Regeln in Referenzlisten
Für eine Regel mit Bereich kann eine Referenzliste verwendet werden, wenn es mindestens einen übereinstimmenden Bereich zwischen der Regel und der Referenzliste gibt. Eine Regel mit Bereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C verwenden, aber nicht eine Referenzliste mit den Bereichen B und C.
Für eine Regel mit globalem Bereich kann jede Referenzliste verwendet werden.
Feeds und Weiterleitungen
Die rollenbasierte Zugriffssteuerung für Daten hat keinen direkten Einfluss auf die Ausführung von Feeds und Forwardern. Bei der Konfiguration können Nutzer den eingehenden Daten jedoch die Standardlabels (Logtyp, Namespace oder Ingestion-Labels) zuweisen. Data RBAC wird dann auf Funktionen angewendet, die diese mit Labels versehenen Daten verwenden.
Looker-Dashboards
Looker-Dashboards unterstützen keine datenbezogene rollenbasierte Zugriffssteuerung. Der Zugriff auf Looker-Dashboards wird durch die rollenbasierte Zugriffssteuerung (RBAC) für Funktionen gesteuert.
Dashboards
Mit Dashboards lassen sich Visualisierungen für verschiedene Datenquellen erstellen. Es besteht aus verschiedenen Diagrammen, die mit YARA-L 2.0-Eigenschaften gefüllt werden.
Der mit einem Dashboard verknüpfte Bereich bestimmt, wie globale und bereichsbezogene Nutzer damit interagieren können.
Angewandte Threat Intelligence und IOC-Übereinstimmungen
IOCs und ATI-Daten (Advanced Threat Intelligence) liefern wichtige Informationen zu potenziellen Sicherheitsbedrohungen in Ihrer Umgebung.
Von ATI kuratierte Erkennungen werden durch Regeln ausgelöst, die vom ATI-Team bereitgestellt werden. Diese Regeln nutzen Mandiant-Bedrohungsdaten, um proaktiv Bedrohungen mit hoher Priorität zu erkennen. Weitere Informationen finden Sie unter Applied Threat Intelligence – Übersicht.
IOC-Übereinstimmungen und ATI-Daten, die aus Kundenprotokollen abgeleitet werden, erfordern einen globalen Bereich für die Sichtbarkeit und sind für Nutzer mit eingeschränkten Bereichen nicht verfügbar.
Analysen des Nutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA)
Die Kategorie „Risikoanalyse für UEBA“ bietet vordefinierte Regelsätze zum Erkennen potenzieller Sicherheitsbedrohungen. Bei diesen Regelsätzen wird Machine Learning verwendet, um proaktiv Erkennungen auszulösen, indem Muster im Verhalten von Nutzern und Entitäten analysiert werden. Weitere Informationen finden Sie unter Übersicht über die Kategorie „Risikoanalyse für UEBA“.
UEBA unterstützt keine rollenbasierte Zugriffssteuerung für Daten. Nur Nutzer mit globalem Bereich können auf die Risikoanalysen für die UEBA-Kategorie zugreifen.
Entitätsdetails in Google SecOps
Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, werden auf mehreren Seiten in Google SecOps angezeigt, z. B. im Bereich Entity Context (Entitätskontext) in der UDM-Suche. Bei der rollenbasierten Zugriffssteuerung für Daten sind die Felder nur für Nutzer mit globalem Bereich verfügbar.
- Zuerst erfasst
- Zuletzt erfasst
- Verbreitung
Nutzer mit eingeschränkten Berechtigungen können die Daten zur ersten und letzten Erfassung von Nutzern und Assets ansehen, wenn diese aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.
Nächste Schritte
Daten-RBAC für Nutzer konfigurieren
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten