Auswirkungen der Daten-RBAC auf Funktionen – Übersicht

Unterstützt in:

Daten-RBAC (Data Role-Based Access Control, rollenbasierte Zugriffssteuerung für Daten) ist ein Sicherheitsmodell, das den Nutzerzugriff auf Daten basierend auf den einzelnen Nutzerrollen innerhalb einer Organisation einschränkt. Nachdem die Daten-RBAC in einer Umgebung konfiguriert wurde, werden in den Google Security Operations-Funktionen gefilterte Daten angezeigt. Die Daten-RBAC steuert den Nutzerzugriff entsprechend den zugewiesenen Bereichen und sorgt dafür, dass Nutzer nur auf autorisierte Informationen zugreifen können. Auf dieser Seite finden Sie eine Übersicht darüber, wie sich die Daten-RBAC auf die einzelnen Google SecOps-Funktionen auswirkt.

Informationen zur Funktionsweise der Daten-RBAC finden Sie unter Übersicht über die Daten-RBAC.

Die in den Suchergebnissen zurückgegebenen Daten basieren auf den Datenzugriffsbereichen des Nutzers. Nutzer können nur Ergebnisse aus Daten sehen, die den ihnen zugewiesenen Bereichen entsprechen. Wenn Nutzern mehr als ein Bereich zugewiesen ist, wird die Suche in den kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die zu Bereichen gehören, auf die der Nutzer keinen Zugriff hat, werden nicht in den Suchergebnissen angezeigt.

Regeln

Regeln sind Erkennungsmechanismen, die die aufgenommenen Daten analysieren und potenzielle Sicherheitsbedrohungen identifizieren. Regeln können in folgende Kategorien unterteilt werden:

  • Bereichsbezogene Regeln: sind mit einem bestimmten Datenbereich verknüpft. Bereichsbezogene Regeln können nur für Daten verwendet werden, die der Definition dieses Bereichs entsprechen. Nutzer mit Zugriff auf einen Bereich können die zugehörigen Regeln ansehen und verwalten.

  • Globale Regeln: haben eine größere Sichtbarkeit und können für Daten in allen Bereichen verwendet werden. Aus Sicherheitsgründen können nur Nutzer mit globalem Bereich globale Regeln ansehen und erstellen.

Die Benachrichtigungsgenerierung ist auf Ereignisse beschränkt, die dem Bereich der Regel entsprechen. Wenn einer Regel kein Bereich zugewiesen ist, wird sie im globalen Bereich ausgeführt und gilt für alle Daten.

Die Daten-RBAC wirkt sich auf Regeln folgendermaßen aus:

  • Daten-RBAC wird vor dem Zuweisen von Bereichen zu Regeln aktiviert:Allen vorhandenen Regeln wird automatisch der globale Bereich zugewiesen. Weisen Sie jeder Regel Bereiche entsprechend Ihren Anforderungen an die Datenzugriffskontrolle zu.

  • Daten-RBAC wird nach dem Zuweisen von Bereichen zu Regeln aktiviert: Bereichsbezogene Regeln werden gemäß ihren definierten Bereichen auf aufgenommene Daten angewendet, auch bevor die Daten-RBAC aktiviert wird. So können Nutzer Erkennungen sehen, die nach der Zuweisung von Bereichen generiert wurden.

Der Bereich, der mit einer Regel verknüpft ist, bestimmt, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:

Aktion Globaler Nutzer Bereichsbezogener Nutzer
Kann bereichsbezogene Regeln ansehen Ja Ja, nur wenn der Bereich der Regel zu den zugewiesenen Bereichen des Nutzers gehört

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A sehen, aber keine Regel mit Bereich C.

Kann globale Regeln ansehen Ja Nein
Kann bereichsbezogene Regeln erstellen und aktualisieren Ja Ja, nur wenn der Bereich der Regel zu den zugewiesenen Bereichen des Nutzers gehört

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Regel mit Bereich A erstellen, aber keine Regel mit Bereich C.

Kann globale Regeln erstellen und aktualisieren Ja Nein

Erkennungen

Erkennungen sind Benachrichtigungen, die auf potenzielle Sicherheitsbedrohungen hinweisen. Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam für Ihre Google SecOps-Umgebung erstellt werden.

Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Bevor die Daten-RBAC aktiviert wird, können alle Nutzer alle Erkennungen sehen, unabhängig von der Bereichskennzeichnung. Nachdem die Daten-RBAC aktiviert wurde, können Nutzer nur noch Erkennungen sehen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind.

Ein Sicherheitsanalyst mit dem Bereich „Finanzdaten“ sieht beispielsweise nur Erkennungen, die von Regeln generiert wurden, die dem Bereich „Finanzdaten“ zugewiesen sind, und keine Erkennungen aus anderen Regeln.

Die Aktionen, die ein Nutzer für eine Erkennung ausführen kann (z. B. eine Erkennung als behoben markieren), sind ebenfalls auf den Bereich beschränkt, in dem die Erkennung aufgetreten ist.

Ausgewählte Erkennungen

Erkennungen werden durch benutzerdefinierte Regeln ausgelöst, die von Ihrem Sicherheitsteam erstellt werden Ausgewählte Erkennungen werden durch Regeln ausgelöst, die vom Google Cloud Threat Intelligence-Team (GCTI) bereitgestellt werden. Im Rahmen der ausgewählten Erkennungen stellt das GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet sie, mit denen Sie häufige Sicherheitsbedrohungen in Ihrer Google SecOps-Umgebung erkennen können. Weitere Informationen finden Sie unter Ausgewählte Erkennungen verwenden, um Bedrohungen zu identifizieren.

Die Daten-RBAC wird für ausgewählte Erkennungen nicht unterstützt. Nur Nutzer mit globalem Bereich können auf ausgewählte Erkennungen zugreifen.

Triage-Agent

Der Triage-Agent ist ein KI-Assistent, der in Google Security Operations eingebettet ist. Er untersucht Sicherheitsbenachrichtigungen, um festzustellen, ob es sich um echte Bedrohungen oder Fehlalarme handelt, und gibt eine zusammenfassende Erklärung für seine Bewertung.

Wenn die Daten-RBAC aktiviert ist, können nur Nutzer mit globalem Datenzugriff Untersuchungen des Triage-Agents auslösen und ansehen. Weitere Informationen finden Sie unter Nutzerrollen.

Rohlogs

Wenn die Daten-RBAC aktiviert ist, können nur Nutzer mit globalem Bereich auf nicht geparste Rohlogs zugreifen.

Datentabellen

Datentabellen sind mehrspaltige Datenkonstrukte, mit denen Sie Ihre eigenen Daten in Google SecOps eingeben können. Diese können als Suchtabellen mit definierten Spalten und in Zeilen gespeicherten Daten dienen. Durch das Zuweisen von Bereichen zu einer Datentabelle können Sie steuern, welche Nutzer und Ressourcen darauf zugreifen und sie verwenden können.

Zugriffsberechtigungen für Nutzer in Datentabellen

Die Bereiche, die mit einer Datentabelle verknüpft sind, bestimmen, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:

Aktion Globaler Nutzer Bereichsbezogener Nutzer
Kann bereichsbezogene Datentabelle erstellen Ja Ja, nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind

Ein bereichsbezogener Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C.

Kann Datentabelle ohne Bereich erstellen Ja Nein
Kann bereichsbezogene Datentabelle aktualisieren Ja Ja, nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Datentabelle mit den Bereichen A, B und C.

Kann Datentabelle ohne Bereich aktualisieren Ja Nein
Kann bereichsbezogene Datentabelle in eine Datentabelle ohne Bereich aktualisieren Ja Nein
Kann bereichsbezogene Datentabelle ansehen und verwenden Ja Ja, wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Datentabelle mit den Bereichen A und B verwenden, aber nicht eine Datentabelle mit den Bereichen C und D.

Kann Datentabelle ohne Bereich ansehen und verwenden Ja Ja
Kann Suchanfragen mit Datentabellen ohne Bereich ausführen Ja Ja
Kann Suchanfragen mit bereichsbezogenen Datentabellen ausführen Ja Ja, wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Datentabelle gibt

Ein Nutzer mit Bereich A kann beispielsweise Suchanfragen mit Datentabellen mit den Bereichen A, B und C ausführen, aber nicht mit Datentabellen mit den Bereichen B und C.

Referenzlisten

Referenzlisten sind Sammlungen von Werten, die zum Abgleichen und Filtern von Daten in der UDM-Suche und in Erkennungsregeln verwendet werden. Durch das Zuweisen von Bereichen zu einer Referenzliste (bereichsbezogene Liste) wird der Zugriff darauf auf bestimmte Nutzer und Ressourcen wie Regeln und die UDM-Suche beschränkt. Eine Referenzliste, der kein Bereich zugewiesen ist, wird als Liste ohne Bereich bezeichnet.

Zugriffsberechtigungen für Nutzer in Referenzlisten

Die Bereiche, die mit einer Referenzliste verknüpft sind, bestimmen, wie globale und bereichsbezogene Nutzer mit ihr interagieren können. Die Zugriffsberechtigungen sind in der folgenden Tabelle zusammengefasst:

Aktion Globaler Nutzer Bereichsbezogener Nutzer
Kann bereichsbezogene Liste erstellen Ja Ja, nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind

Ein bereichsbezogener Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B erstellen, aber nicht mit den Bereichen A, B und C.

Kann Liste ohne Bereich erstellen Ja Nein
Kann bereichsbezogene Liste aktualisieren Ja Ja, nur mit Bereichen, die mit den zugewiesenen Bereichen übereinstimmen oder eine Teilmenge davon sind

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit Bereich A oder mit den Bereichen A und B ändern, aber nicht eine Referenzliste mit den Bereichen A, B und C.

Kann Liste ohne Bereich aktualisieren Ja Nein
Kann bereichsbezogene Liste in eine Liste ohne Bereich aktualisieren Ja Nein
Kann bereichsbezogene Liste ansehen und verwenden Ja Ja, wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt

Ein Nutzer mit den Bereichen A und B kann beispielsweise eine Referenzliste mit den Bereichen A und B verwenden, aber nicht eine Referenzliste mit den Bereichen C und D.

Kann Liste ohne Bereich ansehen und verwenden Ja Ja
Kann UDM-Such- und Dashboard-Abfragen mit Referenzlisten ohne Bereich ausführen Ja Ja
Kann UDM-Such- und Dashboard-Abfragen mit bereichsbezogenen Referenzlisten ausführen Ja Ja, wenn es mindestens einen übereinstimmenden Bereich zwischen dem Nutzer und der Referenzliste gibt

Ein Nutzer mit Bereich A kann beispielsweise UDM-Suchanfragen mit Referenzlisten mit den Bereichen A, B und C ausführen, aber nicht mit Referenzlisten mit den Bereichen B und C.

Zugriffsberechtigungen für Regeln in Referenzlisten

Eine bereichsbezogene Regel kann eine Referenzliste verwenden, wenn es mindestens einen übereinstimmenden Bereich zwischen der Regel und der Referenzliste gibt. Eine Regel mit Bereich A kann beispielsweise eine Referenzliste mit den Bereichen A, B und C verwenden, aber nicht eine Referenzliste mit den Bereichen B und C.

Eine Regel mit globalem Bereich kann jede Referenzliste verwenden.

Feeds und Weiterleitungen

Die Daten-RBAC hat keine direkten Auswirkungen auf die Ausführung von Feeds und Weiterleitungen. Bei der Konfiguration können Nutzer jedoch den eingehenden Daten die Standardlabels (Logtyp, Namespace oder Aufnahmelabels) zuweisen. Die Daten-RBAC wird dann auf Funktionen angewendet, die diese gekennzeichneten Daten verwenden.

Dashboards

Mit Dashboards können Sie Visualisierungen aus verschiedenen Datenquellen erstellen. Jedes Dashboard besteht aus verschiedenen Diagrammen.

Dashboards unterstützen die Daten-RBAC vollständig. Dieses Sicherheitsmodell filtert die in Dashboard-Widgets angezeigten Informationen basierend auf Ihren zugewiesenen Bereichen.

  • Datensichtbarkeit: In Widgets werden nur Ergebnisse aus Daten angezeigt, die Ihren zugewiesenen Bereichen entsprechen. Wenn ein Dashboard auf einer YARA-L-Abfrage basiert, wird diese Abfrage nur für autorisierte Daten ausgeführt.
  • Bereichsüberschneidung: Wenn Sie mehrere Bereiche haben, werden im Dashboard die kombinierten Daten aus allen autorisierten Bereichen angezeigt.
  • Zugriffssteuerung: Während die funktionsbasierte RBAC bestimmt, wer ein Dashboard erstellen oder bearbeiten kann, bestimmt die Daten-RBAC, welche spezifischen Daten in den Diagrammen und Tabellen sichtbar sind.

Der spezifische Bereich, der mit einem Dashboard verknüpft ist, bestimmt den Grad der Interaktion, der für globale und bereichsbezogene Nutzer zulässig ist:

  • Globale Nutzer: haben unabhängig vom Bereich vollständige Sichtbarkeit und Verwaltungsfunktionen für alle Dashboards.

  • Bereichsbezogene Nutzer: Die Interaktion ist basierend auf den zugewiesenen Bereichen des Nutzers eingeschränkt.

Angewandte Bedrohungsinformationen und IOC-Übereinstimmungen

IOCs und Advanced Threat Intelligence-Daten (ATI) liefern wichtige Informationen zu potenziellen Sicherheitsbedrohungen in Ihrer Umgebung.

Ausgewählte ATI-Erkennungen werden durch Regeln ausgelöst, die vom ATI-Team bereitgestellt werden. Diese Regeln verwenden Mandiant Threat Intelligence, um proaktiv Bedrohungen mit hoher Priorität zu identifizieren. Weitere Informationen finden Sie unter Übersicht über angewandte Bedrohungsinformationen.

Für IOC-Übereinstimmungen und ATI-Daten, die aus Kundenlogs abgeleitet wurden, ist ein globaler Bereich erforderlich, damit sie sichtbar sind. Sie sind für Nutzer mit eingeschränkten Bereichen nicht verfügbar.

Analysen des Nutzer- und Entitätsverhaltens (UEBA)

Die Kategorie „Risikoanalysen für UEBA“ bietet vordefinierte Regelsätze zur Erkennung potenzieller Sicherheitsbedrohungen. Diese Regelsätze verwenden Machine Learning, um proaktiv Erkennungen auszulösen, indem sie Verhaltensmuster von Nutzern und Entitäten analysieren. Weitere Informationen finden Sie unter Übersicht über die Kategorie „Risikoanalysen für UEBA“.

Die Daten-RBAC wird für UEBA nicht unterstützt. Nur Nutzer mit globalem Bereich können auf die Kategorie „Risikoanalysen für UEBA“ zugreifen.

Entitätsdetails in Google SecOps

Die folgenden Felder, die ein Asset oder einen Nutzer beschreiben, werden auf mehreren Seiten in Google SecOps angezeigt, z. B. im Bereich Entitätskontext in der UDM-Suche. Mit der Daten-RBAC sind die Felder nur für Nutzer mit globalem Bereich verfügbar.

  • Zuerst erfasst
  • Zuletzt erfasst
  • Verbreitung

Bereichsbezogene Nutzer können die Daten „Zuerst erfasst“ und „Zuletzt erfasst“ von Nutzern und Assets sehen, wenn diese Daten aus Daten innerhalb der zugewiesenen Bereiche des Nutzers berechnet werden.

Nächste Schritte

Daten-RBAC für Nutzer konfigurieren

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten