Impact du contrôle RBAC des données sur les fonctionnalités de Google SecOps
Le contrôle des accès basé sur les rôles pour les données (contrôle RBAC des données) est un modèle de sécurité qui limite l'accès des utilisateurs aux données en fonction de leur rôle individuel au sein d'une organisation. Une fois le contrôle RBAC des données configuré dans un environnement, vous commencez à voir des données filtrées dans les fonctionnalités de Google Security Operations. Le contrôle RBAC des données contrôle l'accès des utilisateurs en fonction des niveaux d'accès qui leur sont attribués et garantit qu'ils ne peuvent accéder qu'aux informations autorisées. Cette page présente l'impact du contrôle RBAC des données sur chaque fonctionnalité de Google SecOps.
Pour comprendre le fonctionnement du contrôle RBAC des données, consultez la présentation du contrôle RBAC des données.
Rechercher
Les données renvoyées dans les résultats de recherche sont basées sur les niveaux d'accès aux données de l'utilisateur. Les utilisateurs ne peuvent voir que les résultats des données qui correspondent aux niveaux d'accès qui leur sont attribués. Si les utilisateurs disposent de plusieurs niveaux d'accès, la recherche est exécutée sur les données combinées de tous les niveaux d'accès autorisés. Les données appartenant à des niveaux d'accès auxquels l'utilisateur n'a pas accès n'apparaissent pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et aident à identifier les menaces de sécurité potentielles. Les règles peuvent être classées comme suit :
Règles limitées : associées à un niveau d'accès spécifique aux données. Les règles limitées ne peuvent fonctionner que sur les données qui entrent dans la définition de ce niveau d'accès. Les utilisateurs ayant accès à un niveau d'accès peuvent afficher et gérer ses règles.
Règles globales : avec une visibilité plus large, ces règles peuvent fonctionner sur les données de tous les niveaux d'accès. Pour maintenir la sécurité et le contrôle, seuls les utilisateurs disposant d'un niveau d'accès global peuvent afficher et créer des règles globales.
La génération d'alertes est limitée aux événements qui correspondent au niveau d'accès de la règle. Si aucune règle n'est attribuée, elle s'exécute au niveau d'accès global et s'applique à toutes les données.
Le contrôle RBAC des données a un impact sur les règles de la manière suivante :
Le contrôle RBAC des données est activé avant l'attribution de niveaux d'accès aux règles : tous les niveaux d'accès existants sont automatiquement attribués au niveau d'accès global. Attribuez des niveaux d'accès à chaque règle en fonction de vos exigences en matière de contrôle des accès aux données.
Le contrôle RBAC des données est activé après l'attribution de niveaux d'accès aux règles : les règles limitées fonctionnent sur les données ingérées en fonction des niveaux d'accès définis, même avant l'activation du contrôle RBAC des données. Cela permet aux utilisateurs de voir les détections générées après l'attribution des niveaux d'accès.
Le niveau d'accès associé à une règle détermine comment les utilisateurs globaux et limités peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant :
| Action | Utilisateur global | Utilisateur limité |
|---|---|---|
| Peut afficher les règles limitées | Oui | Oui (uniquement si le niveau d'accès de la règle se trouve dans les niveaux d'accès attribués à l'utilisateur)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut voir une règle avec le niveau d'accès A, mais pas une règle avec le niveau d'accès C. |
| Peut afficher les règles globales | Oui | Non |
| Peut créer et modifier des règles limitées | Oui | Oui (uniquement si le niveau d'accès de la règle se trouve dans les niveaux d'accès attribués à l'utilisateur)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut créer une règle avec le niveau d'accès A, mais pas une règle avec le niveau d'accès C. |
| Peut créer et modifier des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées, créées par votre équipe de sécurité pour votre environnement Google SecOps.
Les détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Avant l'activation du contrôle RBAC des données, tous les utilisateurs ont une visibilité sur toutes les détections, quelle que soit la balise de niveau d'accès. Une fois le contrôle RBAC des données activé, les utilisateurs ne peuvent voir que les détections provenant de règles associées aux niveaux d'accès qui leur sont attribués.
Par exemple, un analyste de la sécurité disposant du niveau d'accès aux données financières ne voit que les détections générées par les règles attribuées au niveau d'accès aux données financières, et ne voit pas les détections provenant d'autres règles.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, marquer une détection comme résolue) sont également limitées au niveau d'accès dans lequel la détection s'est produite.
Détections optimisées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité tandis que les détections optimisées sont déclenchées par des règles fournies par l'équipe Google Cloud Threat Intelligence (GCTI). Dans le cadre des détections optimisées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les menaces de sécurité courantes dans votre environnement Google SecOps. Pour en savoir plus, consultez Utiliser des détections optimisées pour identifier les menaces.
Les détections optimisées ne sont pas compatibles avec le contrôle RBAC des données. Seuls les utilisateurs disposant d'un niveau d'accès global peuvent accéder aux détections optimisées.
Agent de triage
L'agent de triage est un assistant optimisé par l'IA intégré à Google Security Operations. Il examine les alertes de sécurité pour déterminer s'il s'agit de vrais ou de faux positifs, et fournit une explication résumée de son évaluation.
Lorsque le contrôle RBAC des données est activé, seuls les utilisateurs disposant d'un accès global aux données peuvent déclencher et afficher les investigations de l'agent de triage. Pour en savoir plus, consultez Rôles utilisateur.
Journaux bruts
Lorsque le contrôle RBAC des données est activé, les journaux bruts non analysés ne sont accessibles qu'aux utilisateurs disposant d'un niveau d'accès global.
Tables de données
Les tables de données sont des structures de données multicolonnes qui vous permettent d'importer vos propres données dans Google SecOps. Elles peuvent servir de tables de conversion avec des colonnes définies et des données stockées dans les lignes. En attribuant des niveaux d'accès à une table de données, vous pouvez contrôler les utilisateurs et les ressources qui peuvent y accéder et l'utiliser.
Autorisations d'accès pour les utilisateurs dans les tables de données
Les niveaux d'accès associés à une table de données déterminent comment les utilisateurs globaux et limités peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant :
| Action | Utilisateur global | Utilisateur limité |
|---|---|---|
| Peut créer une table de données limitée | Oui | Oui (uniquement avec des niveaux d'accès qui correspondent à leurs niveaux d'accès attribués ou qui en sont un sous-ensemble) Par exemple, un utilisateur limité disposant des niveaux d'accès A et B peut créer une table de données avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas avec les niveaux d'accès A, B et C. |
| Peut créer une table de données sans niveau d'accès | Oui | Non |
| Peut modifier une table de données limitée | Oui | Oui (uniquement avec des niveaux d'accès qui correspondent à leurs niveaux d'accès attribués ou qui en sont un sous-ensemble) Par exemple, un utilisateur disposant des niveaux d'accès A et B peut modifier une table de données avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas une table de données avec les niveaux d'accès A, B et C. |
| Peut modifier une table de données sans niveau d'accès | Oui | Non |
| Peut modifier une table de données limitée en table de données sans niveau d'accès | Oui | Non |
| Peut afficher et utiliser une table de données limitée | Oui | Oui (s'il existe au moins un niveau d'accès correspondant entre l'utilisateur et la table de données) Par exemple, un utilisateur disposant des niveaux d'accès A et B peut utiliser une table de données avec les niveaux d'accès A et B, mais pas une table de données avec les niveaux d'accès C et D. |
| Peut afficher et utiliser une table de données sans niveau d'accès | Oui | Oui |
| Peut exécuter des requêtes de recherche avec des tables de données sans niveau d'accès | Oui | Oui |
| Peut exécuter des requêtes de recherche avec des tables de données limitées | Oui | Oui (s'il existe au moins un niveau d'accès correspondant entre l'utilisateur et la table de données) Par exemple, un utilisateur disposant du niveau d'accès A peut exécuter des requêtes de recherche avec des tables de données avec les niveaux d'accès A, B et C, mais pas avec des tables de données avec les niveaux d'accès B et C. |
Listes de référence
Les listes de référence sont des collections de valeurs utilisées pour faire correspondre et filtrer les données dans la recherche UDM et les règles de détection. L'attribution de niveaux d'accès à une liste de référence (liste limitée) restreint son accès à des utilisateurs et des ressources spécifiques, tels que des règles et la recherche UDM. Une liste de référence à laquelle aucun niveau d'accès n'est attribué est appelée liste sans niveau d'accès.
Autorisations d'accès pour les utilisateurs dans les listes de référence
Les niveaux d'accès associés à une liste de référence déterminent comment les utilisateurs globaux et limités peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant :
| Action | Utilisateur global | Utilisateur limité |
|---|---|---|
| Peut créer une liste limitée | Oui | Oui (avec des niveaux d'accès qui correspondent à leurs niveaux d'accès attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur limité disposant des niveaux d'accès A et B peut créer une liste de référence avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas avec les niveaux d'accès A, B et C. |
| Peut créer une liste sans niveau d'accès | Oui | Non |
| Peut modifier une liste limitée | Oui | Oui (avec des niveaux d'accès qui correspondent à leurs niveaux d'accès attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut modifier une liste de référence avec le niveau d'accès A ou avec les niveaux d'accès A et B, mais pas une liste de référence avec les niveaux d'accès A, B et C. |
| Peut modifier une liste sans niveau d'accès | Oui | Non |
| Peut modifier une liste limitée en liste sans niveau d'accès | Oui | Non |
| Peut afficher et utiliser une liste limitée | Oui | Oui (s'il existe au moins un niveau d'accès correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des niveaux d'accès A et B peut utiliser une liste de référence avec les niveaux d'accès A et B, mais pas une liste de référence avec les niveaux d'accès C et D. |
| Peut afficher et utiliser une liste sans niveau d'accès | Oui | Oui |
| Peut exécuter des requêtes de recherche UDM et de tableau de bord avec des listes de référence sans niveau d'accès | Oui | Oui |
| Peut exécuter des requêtes de recherche UDM et de tableau de bord avec des listes de référence limitées | Oui | Oui (s'il existe au moins un niveau d'accès correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant du niveau d'accès A peut exécuter des requêtes de recherche UDM avec des listes de référence avec les niveaux d'accès A, B et C, mais pas avec des listes de référence avec les niveaux d'accès B et C. |
Autorisations d'accès pour les règles dans les listes de référence
Une règle limitée peut utiliser une liste de référence s'il existe au moins un niveau d'accès correspondant entre la règle et la liste de référence. Par exemple, une règle avec le niveau d'accès A peut utiliser une liste de référence avec les niveaux d'accès A, B et C, mais pas une liste de référence avec les niveaux d'accès B et C.
Une règle avec un niveau d'accès global peut utiliser n'importe quelle liste de référence.
Flux et redirecteurs
Le contrôle RBAC des données n'affecte pas directement l'exécution des flux et des redirecteurs. Toutefois, lors de leur configuration, les utilisateurs peuvent attribuer les libellés par défaut (type de journal, espace de noms ou libellés d'ingestion) aux données entrantes. Le contrôle RBAC des données est ensuite appliqué aux fonctionnalités utilisant ces données libellées.
Tableaux de bord
Utilisez des tableaux de bord pour créer des visualisations sur différentes sources de données. Chaque tableau de bord est composé de différents graphiques.
Les tableaux de bord sont entièrement compatibles avec le contrôle RBAC des données. Ce modèle de sécurité filtre les informations affichées dans les widgets du tableau de bord en fonction des niveaux d'accès qui vous sont attribués.
- Visibilité des données : les widgets n'affichent que les résultats des données qui correspondent aux niveaux d'accès qui vous sont attribués. Si un tableau de bord repose sur une requête YARA-L, cette requête ne s'exécute que sur les données autorisées.
- Chevauchement des niveaux d'accès : si vous disposez de plusieurs niveaux d'accès, le tableau de bord affiche les données combinées de tous les niveaux d'accès autorisés.
- Contrôle des accès : tandis que le contrôle RBAC des fonctionnalités détermine qui peut créer ou modifier un tableau de bord, le contrôle RBAC des données détermine les données spécifiques visibles dans les graphiques et les tableaux.
Le niveau d'accès spécifique associé à un tableau de bord détermine le niveau d'interaction autorisé pour les utilisateurs globaux et limités :
Utilisateurs globaux : conservent une visibilité et des capacités de gestion complètes sur tous les tableaux de bord, quel que soit le niveau d'accès.
Utilisateurs limités : l'interaction est limitée en fonction des niveaux d'accès attribués à l'utilisateur.
Renseignements sur les menaces appliqués et correspondances d'indicateurs de compromission
Les indicateurs de compromission et les données Advanced Threat Intelligence (ATI) fournissent des informations essentielles sur les menaces de sécurité potentielles dans votre environnement.
Les détections optimisées ATI sont déclenchées par des règles fournies par l'équipe ATI. Ces règles utilisent les renseignements sur les menaces Mandiant pour identifier de manière proactive les menaces prioritaires. Pour en savoir plus, consultez la présentation des renseignements sur les menaces appliqués.
Les correspondances d'indicateurs de compromission et les données ATI dérivées des journaux client nécessitent un niveau d'accès global pour être visibles et ne sont pas disponibles pour les utilisateurs disposant de niveaux d'accès limités.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour l'UEBA" propose des ensembles de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning pour déclencher de manière proactive des détections en analysant les modèles de comportement des utilisateurs et des entités. Pour en savoir plus, consultez la présentation de la catégorie "Analyse des risques pour l'UEBA".
L'UEBA n'est pas compatible avec le contrôle RBAC des données. Seuls les utilisateurs disposant d'un niveau d'accès global peuvent accéder à la catégorie "Analyse des risques pour l'UEBA".
Détails des entités dans Google SecOps
Les champs suivants, qui décrivent un actif ou un utilisateur, apparaissent sur plusieurs pages de Google SecOps, telles que le panneau Contexte de l'entité dans la recherche UDM. Avec le contrôle RBAC des données, les champs ne sont disponibles que pour les utilisateurs disposant d'un niveau d'accès global.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs limités peuvent afficher les données de première et de dernière activité des utilisateurs et des actifs si elles sont calculées à partir de données comprises dans les niveaux d'accès attribués à l'utilisateur.
Étape suivante
Configurer le contrôle RBAC des données pour les utilisateurs
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.