Configura el RBAC de datos para los usuarios

En esta página, se describe cómo los administradores de control de acceso basado en funciones de datos (RBAC de datos) pueden configurar el RBAC de datos dentro de Google Security Operations. A través de la creación y asignación de alcances de datos, que están definidos por etiquetas, puedes garantizar que solo los usuarios autorizados puedan acceder a los datos.

El RBAC de datos se basa en los conceptos de IAM, incluidas las funciones predefinidas, las funciones personalizadas y las condiciones de IAM.

La siguiente es una descripción general de alto nivel del proceso de configuración:

  1. Planifica la implementación: Identifica los diferentes tipos de datos a los que deseas restringir el acceso de los usuarios. Identifica las diferentes funciones dentro de la organización y determina los requisitos de acceso a los datos para cada función.

  2. Opcional: Crea etiquetas personalizadas: Crea etiquetas personalizadas (además de las etiquetas predeterminadas) para categorizar tus datos.

  3. Crea permisos de datos: Define los alcances combinando etiquetas relevantes.

  4. Asigna permisos a los usuarios: Asigna permisos a los roles de los usuarios en IAM según sus responsabilidades.

Antes de comenzar

Cómo crear y administrar etiquetas personalizadas

Las etiquetas personalizadas son metadatos que puedes agregar a los datos de Google SecOps transferidos por SIEM para categorizarlos y organizarlos según valores normalizados de UDM.

Por ejemplo, supongamos que deseas supervisar la actividad de red. Deseas realizar un seguimiento de los eventos del protocolo de configuración dinámica de host (DHCP) desde una dirección IP específica (10.0.0.1) que sospechas que puede estar comprometida.

Para filtrar e identificar estos eventos específicos, puedes crear una etiqueta personalizada con el nombre Actividad de DHCP sospechosa con la siguiente definición:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

La etiqueta personalizada funciona de la siguiente manera:

Google SecOps transfiere de manera continua registros y eventos de red a su UDM. Cuando se transfiere un evento DHCP, Google SecOps verifica si coincide con los criterios de la etiqueta personalizada. Si el campo metadata.event\_type es NETWORK\_DHCP y el campo principal.ip (la dirección IP del dispositivo que solicita la asignación de tiempo de DHCP) es 10.0.0.1, Google SecOps aplica la etiqueta personalizada al evento.

Puedes usar la etiqueta Actividad de DHCP sospechosa para crear un alcance y asignarlo a los usuarios relevantes. La asignación de permisos te permite restringir el acceso a estos eventos a usuarios o funciones específicos dentro de tu organización.

Requisitos y limitaciones de las etiquetas

  • Los nombres de etiquetas deben ser únicos y pueden tener una longitud máxima de 63 caracteres. Solo pueden contener letras minúsculas, caracteres numéricos y guiones. No se pueden volver a usar después de la eliminación.
  • Las etiquetas no pueden usar listas de referencia.
  • Las etiquetas no pueden usar campos de enriquecimiento.

Crear etiqueta personalizada

Para crear una etiqueta personalizada, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  3. En la pestaña Etiquetas personalizadas, haz clic en Crear etiqueta personalizada.

  4. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

    Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Ingresa una búsqueda de UDM.

  5. Haz clic en Crear etiqueta.

  6. En la ventana Crear etiqueta, selecciona Guardar como etiqueta nueva y, luego, ingresa el nombre y la descripción de la etiqueta.

  7. Haz clic en Crear etiqueta.

    Se creó una nueva etiqueta personalizada. Durante la transferencia, esta etiqueta se aplica a los datos que coinciden con la consulta de UDM. La etiqueta no se aplica a los datos que ya se transfirieron.

Modificar etiqueta personalizada

Solo puedes modificar la descripción de la etiqueta y la consulta asociada a ella. No se pueden actualizar los nombres de las etiquetas. Cuando modificas una etiqueta personalizada, los cambios se aplican solo a los datos nuevos y no a los que ya se transfirieron.

Para modificar una etiqueta, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  3. En la pestaña Etiquetas personalizadas, haz clic en Menú junto a la etiqueta que deseas editar y selecciona Editar.

  4. En la ventana UDM Search, actualiza tu consulta y haz clic en Run Search.

    Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Ingresa una búsqueda de UDM.

  5. Haz clic en Guardar cambios.

Se modificó la etiqueta personalizada.

Borrar etiqueta personalizada

Borrar una etiqueta impide que se asocien nuevos datos con ella. Los datos que ya están asociados con la etiqueta permanecen asociados con ella. Después de la eliminación, no puedes recuperar la etiqueta personalizada ni volver a usar el nombre de la etiqueta para crear etiquetas nuevas.

  1. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  2. En la pestaña Etiquetas personalizadas, haz clic en el Menú de la etiqueta que deseas borrar y selecciona Borrar.

  3. Haz clic en Borrar.

  4. En la ventana de confirmación, haz clic en Confirmar.

Se elimina la etiqueta personalizada.

Ver etiqueta personalizada

Para ver los detalles de una etiqueta personalizada, sigue estos pasos:

  1. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  2. En la pestaña Etiquetas personalizadas, haz clic en el Menú junto a la etiqueta que deseas editar y selecciona Ver.

    Se muestran los detalles de la etiqueta.

Crea y administra permisos

Puedes crear y administrar permisos de datos en la interfaz de usuario de Google SecOps y, luego, asignarlos a usuarios o grupos a través de IAM. Puedes crear un permiso si aplicas etiquetas que definan los datos a los que tiene acceso un usuario con el permiso.

Crea permisos

Para crear un permiso, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  3. En la pestaña Permisos, haz clic en Crear alcance.

  4. En la ventana Create new scope, haz lo siguiente:

    1. Ingresa el Nombre del permiso y la Descripción.

    2. En Define el acceso al permiso con etiquetas > Permitir acceso, haz lo siguiente:

      • Para seleccionar las etiquetas y sus valores correspondientes a los que deseas otorgar acceso a los usuarios, haz clic en Permitir ciertas etiquetas.

        En una definición de alcance, las etiquetas del mismo tipo (por ejemplo, tipo de registro) se combinan mediante el operador OR, mientras que las etiquetas de tipos diferentes (por ejemplo, tipo de registro y espacio de nombres) se combinan con el operador AND. Para obtener más información sobre cómo las etiquetas definen el acceso a los datos en los alcances, consulta Visibilidad de los datos con etiquetas de permiso y denegación.

      • Para otorgar acceso a todos los datos, selecciona Permitir el acceso a todo.

    3. Para excluir el acceso a algunas etiquetas, selecciona Excluir ciertas etiquetas y, luego, selecciona el tipo de etiqueta y los valores correspondientes a los que deseas denegar el acceso a los usuarios.

      Cuando se aplican varias etiquetas de denegación de acceso dentro de un permiso, el acceso se rechaza si coinciden con cualquiera de esas etiquetas.

    4. Haz clic en Probar alcance para verificar cómo se aplican las etiquetas al alcance.

    5. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

      Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Ingresa una búsqueda de UDM.

    6. Haz clic en Crear alcance.

    7. En la ventana Crear alcance, confirma el nombre y la descripción del alcance y haz clic en Crear alcance.

Se crea el permiso. Debes asignar el permiso a los usuarios para otorgarles acceso a los datos dentro del alcance.

Modifica el permiso

Solo puedes modificar la descripción del alcance y las etiquetas asociadas. Los nombres de los permisos no se pueden actualizar. Después de actualizar un permiso, los usuarios asociados con él se restringen según las etiquetas nuevas. Las reglas vinculadas al alcance no se vuelven a comparar con la actualizada.

Para modificar un permiso, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  3. En la pestaña Alcances, haz clic en el menú correspondiente al alcance que deseas editar y selecciona Editar.

  4. Haz clic en Editar para editar la descripción del permiso.

  5. En la sección Define el acceso al permiso con etiquetas, actualiza las etiquetas y sus valores correspondientes según sea necesario.

  6. Haz clic en Probar alcance para verificar cómo se aplican las etiquetas nuevas al alcance.

  7. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

    Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Ingresa una búsqueda de UDM.

  8. Haz clic en Guardar cambios.

Se modifica el alcance.

Borra el permiso

Cuando se borra un permiso, los usuarios no tienen acceso a los datos asociados con él. Después de la eliminación, el nombre del permiso no se puede volver a usar para crear permisos nuevos.

Para borrar un permiso, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

  3. En la pestaña Permisos, haz clic en el Menú para el alcance que deseas borrar.

  4. Haz clic en Borrar.

  5. En la ventana de confirmación, haz clic en Confirmar.

Se borró el permiso.

Ver permiso

Para ver los detalles del permiso, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Haz clic en Configuración > Acceso a los datos.

  3. En la pestaña Alcances, haz clic en Menú para el alcance que deseas ver y selecciona Ver.

Se muestran los detalles del permiso.

Asignar alcance a los usuarios

La asignación de alcance es obligatoria para controlar el acceso a los datos de los usuarios con permisos restringidos. Asignar permisos a usuarios determina los datos que pueden ver y con los que pueden interactuar. Cuando a un usuario se le asignan varios alcances, obtiene acceso a los datos combinados de todos esos alcances. Puedes asignar los permisos adecuados a los usuarios que necesitan acceso global para que puedan ver todos los datos y también interactuar con ellos. Para asignar permisos a un usuario, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona el proyecto vinculado a Google SecOps.

  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, agrega tu identificador de principales de la siguiente manera:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

  5. En el menú Asignar roles > Seleccionar un rol, selecciona el rol necesario. Haz clic en Agregar otro rol para agregar varios roles. Para comprender qué funciones deben agregarse, consulta Funciones de usuario.

  6. Para asignarle un permiso al usuario, agrega condiciones a la función de acceso a datos restringido de Chronicle que se le asigna al usuario (no se aplica a los roles de acceso global).

    1. Haz clic en Agregar condición de IAM en la función Acceso a datos restringidos de Chronicle. Aparecerá la ventana Agregar condición.

    2. Ingresa el título de la condición y la descripción opcional.

    3. Agrega la expresión de condición.

      Puedes agregar una expresión de condición con el Creador de condiciones o el Editor de condiciones.

      El creador de condiciones proporciona una interfaz interactiva para seleccionar el tipo de condición, el operador y otros detalles aplicables sobre la expresión. Agrega las condiciones según tus requisitos con los operadores OR. Para agregar permisos a la función, recomendamos lo siguiente:

      1. Selecciona Nombre en Tipo de condición, Termina con en Operador y escribe /<scopename> en Valor.

      2. Para asignar varios permisos, agrega más condiciones con el operador OR. Puedes agregar hasta 12 condiciones para cada vinculación de función. Para agregar más de 12 condiciones, crea varias vinculaciones de funciones y agrega hasta 12 condiciones a cada una de estas vinculaciones.

      Para obtener más información sobre las condiciones, consulta Descripción general de las condiciones de IAM.

    4. Haz clic en Guardar.

    El editor de condiciones proporciona una interfaz basada en texto en la que puedes ingresar de forma manual una expresión mediante la sintaxis CEL.

    1. Ingresa la siguiente expresión:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

    2. Haz clic en Ejecutar lint para validar la sintaxis de CEL.

    3. Haz clic en Guardar.

      Nota: Las vinculaciones de funciones condicionales no anulan las vinculaciones de funciones sin condiciones. Si un miembro está vinculado a una función y la vinculación de función no tiene una condición, la principal siempre tiene esa función. Agregar la principal a una vinculación condicional para la misma función no tiene ningún efecto.

  7. Haz clic en Probar cambios para ver cómo tus cambios afectan el acceso de los usuarios a los datos.

  8. Haz clic en Guardar.

Ahora los usuarios pueden acceder a los datos asociados con los permisos.