Ringkasan dampak RBAC Data pada fitur
Kontrol akses berbasis peran data (RBAC data) adalah model keamanan yang membatasi akses pengguna ke data berdasarkan peran pengguna individual dalam organisasi. Setelah RBAC data dikonfigurasi di lingkungan, Anda akan mulai melihat data yang difilter di fitur Google Security Operations. RBAC data mengontrol akses pengguna sesuai dengan cakupan yang ditetapkan dan memastikan bahwa pengguna hanya dapat mengakses informasi yang diotorisasi. Halaman ini memberikan ringkasan tentang dampak RBAC data pada setiap fitur Google SecOps.
Untuk memahami cara kerja RBAC data, lihat Ringkasan RBAC data.
Penelusuran
Data yang ditampilkan dalam hasil penelusuran didasarkan pada cakupan akses data pengguna. Pengguna hanya dapat melihat hasil dari data yang cocok dengan cakupan yang ditetapkan untuk mereka. Jika pengguna memiliki lebih dari satu cakupan yang ditetapkan, penelusuran akan dijalankan di seluruh data gabungan dari semua cakupan yang diotorisasi. Data yang termasuk dalam cakupan yang tidak dapat diakses pengguna tidak akan muncul dalam hasil penelusuran.
Aturan
Aturan adalah mekanisme deteksi yang menganalisis data yang di-ingest dan membantu mengidentifikasi potensi ancaman keamanan. Aturan dapat dikategorikan sebagai berikut:
Aturan cakupan: terkait dengan cakupan data tertentu. Aturan cakupan hanya dapat beroperasi pada data yang termasuk dalam definisi cakupan tersebut. Pengguna yang memiliki akses ke cakupan dapat melihat dan mengelola aturannya.
Aturan global: dengan visibilitas yang lebih luas, aturan ini dapat beroperasi pada data di semua cakupan. Untuk menjaga keamanan dan kontrol, hanya pengguna dengan cakupan global yang dapat melihat dan membuat aturan global.
Pembuatan pemberitahuan dibatasi untuk peristiwa yang cocok dengan cakupan aturan. Jika aturan tidak memiliki cakupan yang ditetapkan, aturan tersebut akan berjalan dalam cakupan global dan berlaku untuk semua data.
RBAC data memengaruhi aturan dengan cara berikut:
RBAC data diaktifkan sebelum menetapkan cakupan ke aturan: semua aturan yang ada akan otomatis ditetapkan ke cakupan global. Tetapkan cakupan ke setiap aturan sesuai dengan persyaratan kontrol akses data Anda.
RBAC data diaktifkan setelah menetapkan cakupan ke aturan: aturan cakupan beroperasi pada data yang di-ingest sesuai dengan cakupan yang ditentukan, bahkan sebelum RBAC data diaktifkan. Hal ini memungkinkan pengguna melihat deteksi yang dibuat setelah penetapan cakupan.
Cakupan yang terkait dengan aturan menentukan cara pengguna global dan cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna cakupan |
|---|---|---|
| Dapat melihat aturan cakupan | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan untuk pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat melihat aturan dengan cakupan A, tetapi tidak dapat melihat aturan dengan cakupan C. |
| Dapat melihat aturan global | Ya | Tidak |
| Dapat membuat dan memperbarui aturan cakupan | Ya | Ya (hanya jika cakupan aturan berada dalam cakupan yang ditetapkan untuk pengguna)
Misalnya, pengguna dengan cakupan A dan B dapat membuat aturan dengan cakupan A, tetapi tidak dapat membuat aturan dengan cakupan C. |
| Dapat membuat dan memperbarui aturan global | Ya | Tidak |
Deteksi
Deteksi adalah pemberitahuan yang menandakan potensi ancaman keamanan. Deteksi dipicu oleh aturan kustom, yang dibuat oleh tim keamanan Anda untuk lingkungan Google SecOps Anda.
Deteksi dibuat saat data keamanan yang masuk cocok dengan kriteria yang ditentukan dalam aturan. Sebelum RBAC data diaktifkan, semua pengguna memiliki visibilitas ke semua deteksi, terlepas dari pemberian tag cakupan. Setelah RBAC data diaktifkan, pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka.
Misalnya, analis keamanan dengan cakupan data keuangan hanya melihat deteksi yang dibuat oleh aturan yang ditetapkan ke cakupan data keuangan, dan tidak melihat deteksi dari aturan lainnya.
Tindakan yang dapat dilakukan pengguna pada deteksi (misalnya, menandai deteksi sebagai terselesaikan) juga terbatas pada cakupan tempat deteksi terjadi.
Deteksi pilihan
Deteksi dipicu oleh aturan kustom yang dibuat oleh tim keamanan Anda sedangkan deteksi pilihan dipicu oleh aturan yang disediakan oleh tim Google Cloud Threat Intelligence (GCTI). Sebagai bagian dari deteksi pilihan, GCTI menyediakan dan mengelola sekumpulan aturan YARA-L untuk membantu Anda mengidentifikasi ancaman keamanan umum dalam lingkungan Google SecOps Anda. Untuk mengetahui informasi selengkapnya, lihat Menggunakan deteksi pilihan untuk mengidentifikasi ancaman.
Deteksi pilihan tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses deteksi pilihan.
Dampak RBAC data pada kasus dan pemberitahuan pihak pertama
Bagian ini merangkum cara mengonfigurasi RBAC data untuk pemberitahuan dan kasus pihak pertama dalam Google Security Operations.
Topik utama mencakup:
- Prasyarat: Persyaratan untuk instance SIEM dan SOAR terpadu, kompatibilitas konektor, dan implikasi pengaktifan fitur yang tidak dapat diurungkan.
- Pengaktifan: Langkah-langkah konfigurasi untuk mengaktifkan penerapan akses data untuk skenario penerapan SIEM yang ada dan baru.
- Pemetaan lingkungan: Petunjuk untuk menetapkan batas data dengan memetakan cakupan SIEM yang ditentukan ke lingkungan SOAR.
- Evaluasi akses: Penjelasan tentang propagasi cakupan, logika akses, dan aturan yang mengatur pengelompokan entitas dan kasus.
- Pengelolaan siklus proses: Panduan untuk mengubah pemetaan lingkungan, membuat kasus manual, menangani skenario overflow, dan mengatasi penghapusan cakupan.
- Pemantauan antarmuka: Cara memverifikasi dan memfilter cakupan akses data dalam UI Pengelolaan Kasus.
Untuk mengetahui informasi selengkapnya, lihat Mengontrol akses ke kasus dan pemberitahuan pihak pertama.
Agen Penilai Tingkat Prioritas
Agen Penilai Tingkat Prioritas adalah asisten yang didukung AI dan disematkan di Google Security Operations. Agen ini menyelidiki pemberitahuan keamanan untuk menentukan apakah pemberitahuan tersebut positif benar atau positif palsu dan memberikan penjelasan ringkas untuk penilaiannya.
Saat RBAC data diaktifkan, hanya pengguna dengan akses data global yang dapat memicu dan melihat investigasi Agen Penilai Tingkat Prioritas. Untuk mengetahui informasi selengkapnya, lihat Peran pengguna.
Log mentah
Dengan RBAC data diaktifkan, log mentah yang tidak diuraikan hanya dapat diakses oleh pengguna dengan cakupan global.
Tabel data
Tabel data adalah konstruksi data multikolom yang memungkinkan Anda memasukkan data Anda sendiri ke Google SecOps. Tabel ini dapat berfungsi sebagai tabel pemeta dengan kolom yang ditentukan dan data yang disimpan dalam baris. Dengan menetapkan cakupan ke tabel data, Anda dapat mengontrol pengguna dan resource mana yang dapat mengakses dan menggunakannya.
Izin akses untuk pengguna di tabel data
Cakupan yang terkait dengan tabel data menentukan cara pengguna global dan cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna cakupan |
|---|---|---|
| Dapat membuat tabel data cakupan | Ya | Ya (hanya dengan cakupan yang cocok atau merupakan subset dari cakupan yang ditetapkan untuk mereka) Misalnya, pengguna cakupan dengan cakupan A dan B dapat membuat tabel data dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dengan cakupan A, B, dan C. |
| Dapat membuat tabel data tanpa cakupan | Ya | Tidak |
| Dapat memperbarui tabel data cakupan | Ya | Ya (hanya dengan cakupan yang cocok atau merupakan subset dari cakupan yang ditetapkan untuk mereka) Misalnya, pengguna dengan cakupan A dan B dapat mengubah tabel data dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dapat mengubah tabel data dengan cakupan A, B, dan C. |
| Dapat memperbarui tabel data tanpa cakupan | Ya | Tidak |
| Dapat memperbarui tabel data cakupan menjadi tanpa cakupan | Ya | Tidak |
| Dapat melihat dan menggunakan tabel data cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan tabel data) Misalnya, pengguna dengan cakupan A dan B dapat menggunakan tabel data dengan cakupan A dan B, tetapi tidak dapat menggunakan tabel data dengan cakupan C dan D. |
| Dapat melihat dan menggunakan tabel data tanpa cakupan | Ya | Ya |
| Dapat menjalankan kueri penelusuran dengan tabel data tanpa cakupan | Ya | Ya |
| Dapat menjalankan kueri penelusuran dengan tabel data cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan tabel data) Misalnya, pengguna dengan cakupan A dapat menjalankan kueri penelusuran dengan tabel data dengan cakupan A, B, dan C, tetapi tidak dapat menjalankan kueri penelusuran dengan tabel data dengan cakupan B dan C. |
Daftar referensi
Daftar referensi adalah kumpulan nilai yang digunakan untuk mencocokkan dan memfilter data dalam Aturan penelusuran dan deteksi UDM. Menetapkan cakupan ke daftar referensi (daftar cakupan) membatasi aksesnya ke pengguna dan resource tertentu seperti aturan dan penelusuran UDM. Daftar referensi yang tidak memiliki cakupan yang ditetapkan disebut daftar tanpa cakupan.
Izin akses untuk pengguna dalam daftar referensi
Cakupan yang terkait dengan daftar referensi menentukan cara pengguna global dan cakupan dapat berinteraksi dengannya. Izin akses diringkas dalam tabel berikut:
| Tindakan | Pengguna global | Pengguna cakupan |
|---|---|---|
| Dapat membuat daftar cakupan | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan untuk mereka atau merupakan subset dari cakupan yang ditetapkan untuk mereka)
Misalnya, pengguna cakupan dengan cakupan A dan B dapat membuat daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dengan cakupan A, B, dan C. |
| Dapat membuat daftar tanpa cakupan | Ya | Tidak |
| Dapat memperbarui daftar cakupan | Ya | Ya (dengan cakupan yang cocok dengan cakupan yang ditetapkan untuk mereka atau merupakan subset dari cakupan yang ditetapkan untuk mereka)
Misalnya, pengguna dengan cakupan A dan B dapat mengubah daftar referensi dengan cakupan A atau dengan cakupan A dan B, tetapi tidak dapat mengubah daftar referensi dengan cakupan A, B, dan C. |
| Dapat memperbarui daftar tanpa cakupan | Ya | Tidak |
| Dapat memperbarui daftar cakupan menjadi tanpa cakupan | Ya | Tidak |
| Dapat melihat dan menggunakan daftar cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dan B dapat menggunakan daftar referensi dengan cakupan A dan B, tetapi tidak dapat menggunakan daftar referensi dengan cakupan C dan D. |
| Dapat melihat dan menggunakan daftar tanpa cakupan | Ya | Ya |
| Dapat menjalankan kueri dasbor dan penelusuran UDM dengan daftar referensi tanpa cakupan | Ya | Ya |
| Dapat menjalankan kueri dasbor dan penelusuran UDM dengan daftar referensi cakupan | Ya | Ya (jika ada setidaknya satu cakupan yang cocok antara pengguna dan daftar referensi)
Misalnya, pengguna dengan cakupan A dapat menjalankan kueri penelusuran UDM dengan daftar referensi dengan cakupan A, B, dan C, tetapi tidak dapat menjalankan kueri penelusuran UDM dengan daftar referensi dengan cakupan B dan C. |
Izin akses untuk aturan dalam daftar referensi
Aturan cakupan dapat menggunakan daftar referensi jika ada setidaknya satu cakupan yang cocok antara aturan dan daftar referensi. Misalnya, aturan dengan cakupan A dapat menggunakan daftar referensi dengan cakupan A, B, dan C, tetapi tidak dapat menggunakan daftar referensi dengan cakupan B dan C.
Aturan dengan cakupan global dapat menggunakan daftar referensi apa pun.
Feed dan penerus
RBAC data tidak secara langsung memengaruhi eksekusi feed dan penerus. Namun, selama konfigurasi, pengguna dapat menetapkan label default (jenis log, namespace, atau label ingestion) ke data yang masuk. RBAC data kemudian diterapkan ke fitur yang menggunakan data berlabel ini.
Dasbor
Gunakan Dasbor untuk membuat visualisasi di berbagai sumber data. Setiap dasbor terdiri dari diagram yang berbeda.
Dasbor sepenuhnya mendukung RBAC data. Model keamanan ini memfilter informasi yang ditampilkan di widget dasbor berdasarkan cakupan yang ditetapkan untuk Anda.
- Visibilitas data: Widget hanya menampilkan hasil dari data yang cocok dengan cakupan yang ditetapkan untuk Anda. Jika dasbor mengandalkan kueri YARA-L, kueri tersebut hanya akan dijalankan terhadap data yang diotorisasi.
- Tumpang-tindih cakupan: Jika Anda memiliki beberapa cakupan, dasbor akan menampilkan data gabungan dari semua cakupan yang diotorisasi.
- Kontrol akses: Meskipun RBAC fitur menentukan siapa yang dapat membuat atau mengedit dasbor, RBAC data menentukan data spesifik apa yang terlihat dalam diagram dan tabel.
Cakupan spesifik yang terkait dengan dasbor menentukan tingkat interaksi yang diizinkan untuk pengguna global dan cakupan:
Pengguna global: Mempertahankan visibilitas dan kemampuan pengelolaan penuh di semua dasbor, terlepas dari cakupannya.
Pengguna cakupan: Interaksi dibatasi berdasarkan cakupan yang ditetapkan untuk pengguna.
Applied Threat Intelligence dan kecocokan IOC
Data IOC dan Advanced Threat Intelligence (ATI) memberikan informasi penting tentang potensi ancaman keamanan dalam lingkungan Anda.
Deteksi pilihan ATI dipicu oleh aturan yang disediakan oleh tim ATI. Aturan ini menggunakan threat intelligence Mandiant untuk mengidentifikasi ancaman prioritas tinggi secara proaktif. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Applied Threat Intelligence.
Kecocokan IOC dan data ATI yang berasal dari log pelanggan memerlukan cakupan global untuk visibilitas dan tidak tersedia bagi pengguna dengan cakupan terbatas.
Analisis Perilaku Pengguna dan Entitas (UEBA)
Kategori Analisis Risiko untuk UEBA menawarkan kumpulan aturan bawaan untuk mendeteksi potensi ancaman keamanan. Kumpulan aturan ini menggunakan machine learning untuk memicu deteksi secara proaktif dengan menganalisis pola perilaku pengguna dan entitas. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kategori Analisis Risiko untuk UEBA.
UEBA tidak mendukung RBAC data. Hanya pengguna dengan cakupan global yang dapat mengakses analisis risiko untuk kategori UEBA.
Detail entitas di seluruh Google SecOps
Kolom berikut, yang menjelaskan aset atau pengguna, muncul di beberapa halaman di Google SecOps, seperti panel Konteks Entitas di Penelusuran UDM. Dengan RBAC data, kolom hanya tersedia untuk pengguna dengan cakupan global.
- Pertama terlihat
- Terakhir terlihat
- Prevalensi
Pengguna cakupan dapat melihat data pertama terlihat dan terakhir terlihat dari pengguna dan aset jika pertama terlihat dan terakhir terlihat dihitung dari data dalam cakupan yang ditetapkan untuk pengguna.
Langkah berikutnya
Mengonfigurasi RBAC data untuk pengguna
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.