データ RBAC が機能に与える影響の概要

以下でサポートされています。

データのロールベース アクセス制御(データ RBAC)は、組織内の個々のユーザーロールに基づいてデータへのユーザー アクセスを制限するセキュリティ モデルです。環境でデータ RBAC が構成されると、Google Security Operations の機能にフィルタされたデータが表示されます。データ RBAC は、割り当てられたスコープに従ってユーザー アクセスを制御し、ユーザーが承認された情報にのみアクセスできるようにします。このページでは、データ RBAC が各 Google SecOps 機能に与える影響の概要について説明します。

データ RBAC の仕組みについては、データ RBAC の概要をご覧ください。

検索結果で返されるデータは、ユーザーのデータアクセス スコープに基づいています。ユーザーに表示されるのは、割り当てられたスコープに一致するデータの結果のみです。ユーザーに複数のスコープが割り当てられている場合、検索は承認されているすべてのスコープの結合データを対象に実行されます。ユーザーにアクセス権のないスコープに属するデータは、検索結果に表示されません。

ルール

ルールは、取り込まれたデータを分析し、潜在的なセキュリティ脅威の特定に役立つ検出メカニズムです。ルールは次のように分類できます。

  • スコープ付きルール: 特定のデータスコープに関連付けられています。スコープ指定されたルールは、そのスコープの定義に該当するデータに対してのみ動作します。スコープにアクセスできるユーザーは、スコープのルールを表示して管理できます。

  • グローバル ルール: 可視性が高く、すべてのスコープのデータに対して動作できます。セキュリティと制御を維持するため、グローバル スコープを持つユーザーのみがグローバル ルールを表示して作成できます。

アラートの生成は、ルールのスコープに一致するイベントに制限されます。ルールにスコープが割り当てられていない場合、ルールはグローバル スコープで実行され、すべてのデータに適用されます。

データ RBAC は、次の方法でルールに影響します。

  • ルールにスコープを割り当てる前にデータ RBAC が有効になっている場合: 既存のルールにはすべてグローバル スコープが自動的に割り当てられます。データアクセス制御の要件に応じて、各ルールにスコープを割り当てます。

  • データ RBAC は、ルールにスコープを割り当てた後に有効になります。スコープ付きルールは、データ RBAC が有効になる前でも、定義されたスコープに従って取り込まれたデータを操作します。これにより、ユーザーはスコープの割り当て後に生成された検出結果を確認できます。

ルールに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーがルールを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。

操作 グローバル ユーザー スコープ設定されたユーザー
スコープ設定されたルールを表示可能 ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)

たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを表示できますが、スコープ C のルールは表示できません。

グローバル ルールを表示可能 ×
スコープ設定されたルールを作成、更新可能 ○(ルールのスコープがユーザーに割り当てられたスコープ内にある場合のみ)

たとえば、スコープ A と B を持つユーザーは、スコープ A のルールを作成できますが、スコープ C のルールは作成できません。

グローバル ルールを作成、更新可能 ×

検出

検出は、潜在的なセキュリティ上の脅威を示すアラートです。検出は、Google SecOps 環境用にセキュリティ チームが作成したカスタムルールによってトリガーされます。

検出は、受信したセキュリティ データがルールで定義された条件と一致した場合に生成されます。データ RBAC が有効になる前は、スコープ タグに関係なく、すべてのユーザーがすべての検出を閲覧できます。データ RBAC を有効にすると、ユーザーは割り当てられたスコープに関連付けられたルールから発生した検出結果のみを表示できます。

たとえば、財務データ スコープを持つセキュリティ アナリストは、財務データ スコープに割り当てられたルールによって生成された検出のみを表示し、他のルールの検出は表示しません。

ユーザーが検出に対して実行できるアクション(検出を解決済みとしてマークするなど)も、検出が発生したスコープに限定されます。

キュレーテッド検出

検出はセキュリティ チームが作成したカスタムルールによってトリガーされますが、キュレーテッド検出は、 Google Cloud 脅威インテリジェンス(GCTI)チームが提供するルールによってトリガーされます。キュレーテッド検出の一部として、GCTI は一連の YARA-L ルールを備えており、Google SecOps 環境内の一般的なセキュリティ脅威の特定を支援します。詳細については、キュレーテッド検出を使用して脅威を特定するをご覧ください。

キュレーテッド検出は、データ RBAC をサポートしていません。キュレーテッド検出にアクセスできるのは、グローバル スコープを持つユーザーのみです。

Triage エージェント

トリアージ エージェントは、Google Security Operations に組み込まれた AI 搭載アシスタントです。セキュリティ アラートを調査して、真陽性か偽陽性かを判断し、評価の概要を説明します。

データ RBAC が有効になっている場合、グローバル データアクセス権を持つユーザーのみが Triage Agent の調査を開始して表示できます。詳細については、ユーザーロールをご覧ください。

未加工のログ

データ RBAC が有効になっている場合、解析されていない未加工ログにアクセスできるのは、グローバル スコープを持つユーザーのみです。

データテーブル

データテーブルは、ユーザーが独自のデータを Google SecOps に入力できる、複数列のデータ構造です。定義済みの列と行にあるデータによってルックアップ テーブルとして機能することができます。データテーブルにスコープを割り当てることで、どのユーザーとリソースがデータテーブルにアクセスして利用できるかを制御できます。

データテーブル内のユーザーのアクセス権限

データテーブルに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーがデータテーブルを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。

操作 グローバル ユーザー スコープ設定されたユーザー
スコープ設定されたデータテーブルを作成できる はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセットのみ)

たとえば、スコープ A と B を持つスコープ設定されたユーザーは、スコープ A またはスコープ A と B のデータテーブルを作成できますが、スコープ A、B、C のものは作成できません。

スコープ設定されていないデータテーブルを作成できる ×
スコープ設定されたデータテーブルを更新できる はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセットのみ)

たとえば、スコープ A と B を持つユーザーは、スコープ A またはスコープ A と B のデータテーブルを変更できますが、スコープ A、B、C のものは変更できません。

スコープなしのデータテーブルを更新できる ×
スコープ設定されたデータテーブルをスコープなしに更新できます ×
スコープ設定されたデータテーブルを表示および使用できます。 ○(ユーザーとデータテーブルの間に一致するスコープが 1 つ以上ある場合)

たとえば、スコープ A と B を持つユーザーは、スコープ A と B のデータテーブルを使用できますが、スコープ C と D のものは使用できません。

スコープなしのデータテーブルを表示および使用できる
スコープなしのデータテーブルを使用して検索クエリを実行できる
スコープ設定されたデータテーブルを使用して検索クエリを実行できる ○(ユーザーとデータテーブルの間に一致するスコープが 1 つ以上ある場合)

たとえば、スコープ A のユーザーは、スコープ A、B、C のデータテーブルを使用して検索クエリを実行できますが、スコープ B、C のデータテーブルを使用しては実行できません。

リファレンス リスト

リファレンス リストは、UDM 検索と検出ルールでデータの照合とフィルタリングに使用される値のコレクションです。リファレンス リスト(スコープ設定されたリスト)にスコープを割り当てると、特定のユーザーとリソース(ルールや UDM 検索など)へのアクセスが制限されます。スコープが割り当てられていないリファレンス リストは、スコープなしリストと呼ばれます。

リファレンス リスト内のユーザーのアクセス権限

参照リストに関連付けられているスコープによって、グローバル ユーザーとスコープ設定されたユーザーが参照リストを操作できる方法が決まります。アクセス権限の概要は次の表のとおりです。

操作 グローバル ユーザー スコープ設定されたユーザー
スコープ設定されたリストを作成できる はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット)

たとえば、スコープ A と B を持つスコープ設定されたユーザーは、スコープ A またはスコープ A と B の参照リストを作成できますが、スコープ A、B、C のものは作成できません。

スコープ設定されていないリストを作成できる ×
スコープ設定されたリストを更新できる はい(割り当てられたスコープと一致するスコープまたは割り当てられたスコープのサブセット)

たとえば、スコープ A と B を持つユーザーは、スコープ A またはスコープ A と B の参照リストを変更できますが、スコープ A、B、C のものは変更できません。

スコープなしのリストを更新できる ×
スコープ設定されたリストをスコープなしに更新できます ×
スコープ設定されたリストを表示および使用できます。 ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)

たとえば、スコープ A と B を持つユーザーは、スコープ A と B の参照リストを使用できますが、スコープ C と D のものは使用できません。

スコープなしのリストを表示および使用できる
スコープなしのリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる
スコープ設定されたリファレンス リストを使用して UDM 検索クエリとダッシュボード クエリを実行できる ○(ユーザーとリファレンス リストの間に一致するスコープが 1 つ以上ある場合)

たとえば、スコープ A のユーザーは、スコープ A、B、C の参照リストを使用して UDM 検索クエリを実行できますが、スコープ B、C のものを使用しては実行できません。

リファレンス リスト内のルールのアクセス権限

スコープ設定されたルールは、ルールとリファレンス リストの間に一致するスコープが 1 つ以上ある場合に、リファレンス リストを使用できます。たとえば、スコープ A のルールは、スコープ A、B、C のリファレンス リストを使用できますが、スコープ B、C のリファレンス リストは使用できません。

グローバル スコープのルールでは、任意のリファレンス リストを使用できます。

フィードとフォワーダー

データ RBAC は、フィードとフォワーダーの実行には直接影響しません。ただし、構成時にユーザーは、受信データにデフォルトのラベル(ログタイプ、名前空間、取り込みラベル)を割り当てることができます。その後、このラベル付きデータを使用して、データ RBAC が機能に適用されます。

ダッシュボード

ダッシュボードを使用して、さまざまなデータソースにわたって可視化を構築します。各ダッシュボードはさまざまなグラフで構成されています。

ダッシュボードはデータ RBAC を完全にサポートしています。このセキュリティ モデルでは、割り当てられたスコープに基づいて、ダッシュボード ウィジェットに表示される情報がフィルタされます。

  • データの可視性: ウィジェットには、割り当てられたスコープに一致するデータの結果のみが表示されます。ダッシュボードが YARA-L クエリに依存している場合、そのクエリは承認済みデータに対してのみ実行されます。
  • スコープの重複: 複数のスコープがある場合、ダッシュボードには承認されているすべてのスコープの結合データが表示されます。
  • アクセス制御: 機能 RBAC はダッシュボードを作成または編集できるユーザーを決定しますが、データ RBAC はグラフや表に表示される特定のデータを決定します。

ダッシュボードに関連付けられている特定のスコープによって、グローバル ユーザーとスコープ設定されたユーザーに許可される操作のレベルが決まります。

  • グローバル ユーザー: スコープに関係なく、すべてのダッシュボードで完全な可視性と管理機能を維持します。

  • スコープ指定されたユーザー: ユーザーに割り当てられたスコープに基づいて操作が制限されます。

Applied Threat Intelligence と IOC の一致

IOC と Advanced Threat Intelligence(ATI)データは、環境内の潜在的なセキュリティ脅威に関する重要な情報を提供します。

ATI キュレーテッド検出は、ATI チームが提供するルールによってトリガーされます。これらのルールは、Mandiant の脅威インテリジェンスを使用して、優先度の高い脅威を事前に特定します。詳細については、Applied Threat Intelligence の概要をご覧ください。

顧客ログから派生した IOC 一致と ATI データは、可視性のためにグローバル スコープを必要とし、スコープが制限されているユーザーは利用できません。

ユーザーとエンティティの行動分析(UEBA)

UEBA カテゴリのリスク分析には、潜在的なセキュリティ脅威を検出するための事前構築済みルールセットが用意されています。これらのルールセットは、機械学習を使用して、ユーザーとエンティティの行動パターンを分析し、事前に検出をトリガーします。詳細については、UEBA カテゴリのリスク分析の概要をご覧ください。

UEBA はデータ RBAC をサポートしていません。UEBA カテゴリのリスク分析にアクセスできるのは、グローバル スコープを持つユーザーのみです。

Google SecOps 全体のエンティティの詳細

アセットまたはユーザーを記述する次のフィールドは、UDM 検索の [エンティティ コンテキスト] パネルなど、Google SecOps の複数のページに表示されます。データ RBAC を使用すると、フィールドはグローバル スコープを持つユーザーのみが使用できます。

  • 初回検知
  • 最終検知
  • 普及率

スコープ設定されたユーザーは、ユーザーに割り当てられたスコープ内のデータから最初に検知された日時と最後に検知された日時を表示できます。

次のステップ

ユーザー向けにデータの RBAC を構成する

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。