Impatto del controllo degli accessi basato sui ruoli (RBAC) dei dati sulle funzionalità di Google SecOps
Il controllo degli accessi basato sui ruoli dei dati (RBAC dei dati) è un modello di sicurezza che limita l'accesso degli utenti ai dati in base ai singoli ruoli utente all'interno di un'organizzazione. Dopo aver configurato l'RBAC dei dati in un ambiente, inizierai a visualizzare i dati filtrati nelle funzionalità di Google Security Operations. L'RBAC dei dati controlla l'accesso degli utenti in base agli ambiti assegnati e garantisce che gli utenti possano accedere solo alle informazioni autorizzate. Questa pagina fornisce una panoramica dell'impatto dell'RBAC dei dati su ogni funzionalità di Google SecOps.
Per capire come funziona l'RBAC dei dati, consulta la panoramica dell'RBAC dei dati.
Cerca
I dati restituiti nei risultati di ricerca si basano sugli ambiti di accesso ai dati dell'utente. Gli utenti possono visualizzare solo i risultati dei dati che corrispondono agli ambiti assegnati. Se agli utenti sono assegnati più ambiti, la ricerca viene eseguita sui dati combinati di tutti gli ambiti autorizzati. I dati appartenenti ad ambiti a cui l'utente non ha accesso non vengono visualizzati nei risultati di ricerca.
Regole
Le regole sono meccanismi di rilevamento che analizzano i dati importati e aiutano a identificare potenziali minacce alla sicurezza. Le regole possono essere classificate come segue:
Regole con ambito: associate a un ambito di dati specifico. Le regole con ambito possono operare solo sui dati che rientrano nella definizione dell'ambito. Gli utenti con accesso a un ambito possono visualizzare e gestire le relative regole.
Regole globali: con una visibilità più ampia, queste regole possono operare sui dati in tutti gli ambiti. Per mantenere la sicurezza e il controllo, solo gli utenti con ambito globale possono visualizzare e creare regole globali.
La generazione di avvisi è limitata agli eventi che corrispondono all'ambito della regola. Se a una regola non è assegnato alcun ambito, viene eseguita nell'ambito globale e si applica a tutti i dati.
L'RBAC dei dati influisce sulle regole nei seguenti modi:
L'RBAC dei dati è abilitato prima dell'assegnazione degli ambiti alle regole: a tutte le regole esistenti viene assegnato automaticamente l'ambito globale. Assegna gli ambiti a ogni regola in base al requisito di controllo dell'accesso ai dati.
L'RBAC dei dati è abilitato dopo l'assegnazione degli ambiti alle regole: le regole con ambito operano sui dati importati in base agli ambiti definiti, anche prima dell'abilitazione dell'RBAC dei dati. In questo modo, gli utenti possono visualizzare i rilevamenti generati dopo le assegnazioni degli ambiti.
L'ambito associato a una regola determina il modo in cui gli utenti globali e con ambito possono interagire con essa. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può visualizzare le regole con ambito | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può visualizzare una regola con l'ambito A, ma non una regola con l'ambito C. |
| Può visualizzare le regole globali | Sì | No |
| Può creare e aggiornare le regole con ambito | Sì | Sì (solo se l'ambito della regola rientra negli ambiti assegnati all'utente)
Ad esempio, un utente con gli ambiti A e B può creare una regola con l'ambito A, ma non una regola con l'ambito C. |
| Può creare e aggiornare le regole globali | Sì | No |
Rilevamenti
I rilevamenti sono avvisi che indicano potenziali minacce alla sicurezza. I rilevamenti vengono attivati da regole personalizzate, create dal team di sicurezza per l'ambiente Google SecOps.
I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Prima dell'abilitazione dell'RBAC dei dati, tutti gli utenti hanno visibilità su tutti i rilevamenti, indipendentemente dai tag degli ambiti. Dopo l'abilitazione dell'RBAC dei dati, gli utenti possono visualizzare solo i rilevamenti provenienti da regole associate agli ambiti assegnati.
Ad esempio, un analista della sicurezza con l'ambito dei dati finanziari vede solo i rilevamenti generati dalle regole assegnate all'ambito dei dati finanziari e non vede i rilevamenti di altre regole.
Anche le azioni che un utente può intraprendere su un rilevamento (ad esempio, contrassegnare un rilevamento come risolto) sono limitate all'ambito in cui si è verificato il rilevamento.
Rilevamenti predefiniti
I rilevamenti vengono attivati da regole personalizzate create dal team di sicurezza mentre i rilevamenti predefiniti vengono attivati da regole fornite dal Google Cloud Threat Intelligence (GCTI) team. Nell'ambito dei rilevamenti predefiniti, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutarti a identificare le minacce alla sicurezza comuni all'interno del tuo ambiente Google SecOps. Per ulteriori informazioni, consulta Utilizzare i rilevamenti predefiniti per identificare le minacce.
I rilevamenti predefiniti non supportano l'RBAC dei dati. Solo gli utenti con ambito globale possono accedere ai rilevamenti predefiniti.
Agente di triage
L'agente di triage è un assistente basato sull'AI incorporato in Google Security Operations. Esamina gli avvisi di sicurezza per determinare se si tratta di falsi positivi o positivi reali e fornisce una spiegazione riassuntiva della sua valutazione.
Quando l'RBAC dei dati è abilitato, solo gli utenti con accesso globale ai dati possono attivare e visualizzare le indagini dell'agente di triage. Per ulteriori informazioni, consulta Ruoli utente.
Log non elaborati
Con l'RBAC dei dati abilitato, i log non elaborati non analizzati sono accessibili solo agli utenti con ambito globale.
Tabelle dati
Le tabelle di dati sono costrutti di dati multicolonna che ti consentono di inserire i dati in Google SecOps. Possono fungere da tabelle di ricerca con colonne definite e i dati archiviati in righe. Assegnando ambiti a una tabella di dati, puoi controllare quali utenti e risorse possono accedervi e utilizzarla.
Autorizzazioni di accesso per gli utenti nelle tabelle dati
Gli ambiti associati a una tabella di dati determinano il modo in cui gli utenti globali e con ambito possono interagire con essa. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare una tabella di dati con ambito | Sì | Sì (solo con ambiti che corrispondono o sono un sottoinsieme degli ambiti assegnati) Ad esempio, un utente con ambito con gli ambiti A e B può creare una tabella di dati con l'ambito A o con gli ambiti A e B, ma non con gli ambiti A, B e C. |
| Può creare una tabella di dati senza ambito | Sì | No |
| Può aggiornare una tabella di dati con ambito | Sì | Sì (solo con ambiti che corrispondono o sono un sottoinsieme degli ambiti assegnati) Ad esempio, un utente con gli ambiti A e B può modificare una tabella di dati con l'ambito A o con gli ambiti A e B, ma non una tabella di dati con gli ambiti A, B e C. |
| Può aggiornare una tabella di dati senza ambito | Sì | No |
| Può aggiornare una tabella di dati con ambito a senza ambito | Sì | No |
| Può visualizzare e utilizzare una tabella di dati con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e la tabella di dati) Ad esempio, un utente con gli ambiti A e B può utilizzare una tabella di dati con gli ambiti A e B, ma non una tabella di dati con gli ambiti C e D. |
| Può visualizzare e utilizzare una tabella di dati senza ambito | Sì | Sì |
| Può eseguire query di ricerca con tabelle di dati senza ambito | Sì | Sì |
| Può eseguire query di ricerca con tabelle di dati con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e la tabella di dati) Ad esempio, un utente con l'ambito A può eseguire query di ricerca con tabelle di dati con gli ambiti A, B e C, ma non con tabelle di dati con gli ambiti B e C. |
Elenchi di riferimento
Gli elenchi di riferimento sono raccolte di valori utilizzati per la corrispondenza e il filtraggio dei dati nelle regole di ricerca e rilevamento UDM. L'assegnazione di ambiti a un elenco di riferimento (elenco con ambito) ne limita l'accesso a utenti e risorse specifici, come regole e ricerca UDM. Un elenco di riferimento a cui non è assegnato alcun ambito è chiamato elenco senza ambito.
Autorizzazioni di accesso per gli utenti negli elenchi di riferimento
Gli ambiti associati a un elenco di riferimento determinano il modo in cui gli utenti globali e con ambito possono interagire con esso. Le autorizzazioni di accesso sono riassunte nella tabella seguente:
| Azione | Utente globale | Utente con ambito |
|---|---|---|
| Può creare un elenco con ambito | Sì | Sì (con ambiti che corrispondono agli ambiti assegnati o che sono un sottoinsieme degli ambiti assegnati)
Ad esempio, un utente con ambito con gli ambiti A e B può creare un elenco di riferimento con l'ambito A o con gli ambiti A e B, ma non con gli ambiti A, B e C. |
| Può creare un elenco senza ambito | Sì | No |
| Può aggiornare un elenco con ambito | Sì | Sì (con ambiti che corrispondono agli ambiti assegnati o che sono un sottoinsieme degli ambiti assegnati)
Ad esempio, un utente con gli ambiti A e B può modificare un elenco di riferimento con l'ambito A o con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti A, B e C. |
| Può aggiornare un elenco senza ambito | Sì | No |
| Può aggiornare un elenco con ambito a senza ambito | Sì | No |
| Può visualizzare e utilizzare un elenco con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con gli ambiti A e B può utilizzare un elenco di riferimento con gli ambiti A e B, ma non un elenco di riferimento con gli ambiti C e D. |
| Può visualizzare e utilizzare un elenco senza ambito | Sì | Sì |
| Può eseguire query di ricerca UDM e della dashboard con elenchi di riferimento senza ambito | Sì | Sì |
| Può eseguire query di ricerca UDM e della dashboard con elenchi di riferimento con ambito | Sì | Sì (se esiste almeno un ambito corrispondente tra l'utente e l'elenco di riferimento)
Ad esempio, un utente con l'ambito A può eseguire query di ricerca UDM con elenchi di riferimento con gli ambiti A, B e C, ma non con elenchi di riferimento con gli ambiti B e C. |
Autorizzazioni di accesso per le regole negli elenchi di riferimento
Una regola con ambito può utilizzare un elenco di riferimento se esiste almeno un ambito corrispondente tra la regola e l'elenco di riferimento. Ad esempio, una regola con l'ambito A può utilizzare un elenco di riferimento con gli ambiti A, B e C, ma non un elenco di riferimento con gli ambiti B e C.
Una regola con ambito globale può utilizzare qualsiasi elenco di riferimento.
Feed e forwarder
L'RBAC dei dati non influisce direttamente sull'esecuzione di feed e forwarder. Tuttavia, durante la configurazione, gli utenti possono assegnare le etichette predefinite (tipo di log, spazio dei nomi o etichette di importazione) ai dati in entrata. L'RBAC dei dati viene quindi applicato alle funzionalità che utilizzano questi dati etichettati.
Dashboard
Utilizza le dashboard per creare visualizzazioni su varie origini dati. Ogni dashboard è composta da diversi grafici.
Le dashboard supportano completamente l'RBAC dei dati. Questo modello di sicurezza filtra le informazioni visualizzate nei widget della dashboard in base agli ambiti assegnati.
- Visibilità dei dati: i widget mostrano solo i risultati dei dati che corrispondono agli ambiti assegnati. Se una dashboard si basa su una query YARA-L, la query viene eseguita solo sui dati autorizzati.
- Sovrapposizione degli ambiti: se hai più ambiti, la dashboard mostra i dati combinati di tutti gli ambiti autorizzati.
- Controllo dell'accesso: mentre l'RBAC delle funzionalità determina chi può creare o modificare una dashboard, l'RBAC dei dati determina quali dati specifici sono visibili nei grafici e nelle tabelle.
L'ambito specifico associato a una dashboard determina il livello di interazione consentito per gli utenti globali e con ambito:
Utenti globali: mantengono la visibilità completa e le funzionalità di gestione in tutte le dashboard, indipendentemente dall'ambito.
Utenti con ambito: l'interazione è limitata in base agli ambiti assegnati all'utente.
Informazioni sulle minacce applicate e corrispondenze IOC
I dati IOC e Advanced Threat Intelligence (ATI) forniscono informazioni fondamentali sulle potenziali minacce alla sicurezza all'interno del tuo ambiente.
I rilevamenti predefiniti ATI vengono attivati da regole fornite dal team ATI. Queste regole utilizzano le informazioni sulle minacce di Mandiant per identificare in modo proattivo le minacce ad alta priorità. Per ulteriori informazioni, consulta la panoramica di Informazioni sulle minacce applicate.
Le corrispondenze IOC e i dati ATI derivati dai log dei clienti richiedono l'ambito globale per la visibilità e non sono disponibili per gli utenti con ambiti limitati.
Analisi comportamentale di entità e utente (UEBA)
La categoria Analisi dei rischi per UEBA offre set di regole predefiniti per rilevare potenziali minacce alla sicurezza. Questi set di regole utilizzano il machine learning per attivare in modo proattivo i rilevamenti analizzando i pattern di comportamento di utenti ed entità. Per ulteriori informazioni, consulta la panoramica della categoria Analisi dei rischi per UEBA.
UEBA non supporta l'RBAC dei dati. Solo gli utenti con ambito globale possono accedere all'analisi dei rischi per la categoria UEBA.
Dettagli delle entità in Google SecOps
I seguenti campi, che descrivono un asset o un utente, vengono visualizzati in più pagine di Google SecOps, ad esempio nel riquadro Contesto entità nella ricerca UDM. Con l'RBAC dei dati, i campi sono disponibili solo per gli utenti con ambito globale.
- Prima visualizzazione
- Ultima visualizzazione
- Prevalenza
Gli utenti con ambito possono visualizzare i dati della prima e dell'ultima visualizzazione di utenti e asset se questi vengono calcolati dai dati all'interno degli ambiti assegnati all'utente.
Passaggi successivi
Configurare l'RBAC dei dati per gli utenti
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.