Configurer le contrôle des accès basé sur les données (RBAC) pour les utilisateurs

Cette page explique comment les administrateurs du contrôle des accès basé sur les rôles aux données (contrôle des accès aux données) peuvent configurer le contrôle des accès basé sur les données (RBAC) dans Google Security Operations. En créant et en attribuant des champs d'application de données, qui sont définis par des libellés, vous pouvez vous assurer que les données ne sont accessibles qu'aux utilisateurs autorisés.

Le contrôle des données RBAC repose sur les concepts IAM, tels que les rôles prédéfinis, les rôles personnalisés et les conditions IAM.

Voici une vue d'ensemble du processus de configuration:

1. Planifiez votre implémentation:identifiez les différents types de données auxquels vous souhaitez limiter l'accès des utilisateurs. Identifiez les différents rôles au sein de votre organisation et déterminez les exigences d'accès aux données pour chacun d'eux.

2. Facultatif: Créez des étiquettes personnalisées:créez des étiquettes personnalisées (en plus des étiquettes par défaut) pour classer vos données.

3. Créer des champs d'application de données:définissez les champs d'application en combinant les étiquettes pertinentes.

4. Attribuez des niveaux d'accès aux utilisateurs:attribuez des niveaux d'accès aux rôles utilisateur dans IAM en fonction de leurs responsabilités.

Avant de commencer

• Pour comprendre les concepts fondamentaux du RBAC aux données, des différents types d'accès, des rôles utilisateur correspondants, du fonctionnement des étiquettes et des champs d'application, ainsi que de l'impact du RBAC des données sur les fonctionnalités Google SecOps, consultez la page Présentation du contrôle des accès basé sur les données (RBAC).

• Intégrer votre instance Google SecOps Pour en savoir plus, consultez Intégrer ou migrer une instance Google Security Operations.

• Assurez-vous de disposer des rôles requis.

Créer et gérer des étiquettes personnalisées

Les étiquettes personnalisées sont des métadonnées que vous pouvez ajouter aux données Google SecOps ingérées par le système SIEM afin de les classer et de les organiser en fonction de valeurs UDM normalisées.

Par exemple, imaginons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre les événements DHCP (Dynamic Host Configuration Protocol) provenant d'une adresse IP spécifique (10.0.0.1) qui, selon vous, a pu être compromise.

Pour filtrer et identifier ces événements spécifiques, vous pouvez créer une étiquette personnalisée nommée "Activité DHCP suspecte" avec la définition suivante:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

L'étiquette personnalisée fonctionne de la manière suivante:

Google SecOps ingère en continu les journaux et les événements réseau dans son UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères de l'étiquette personnalisée. Si le champ metadata.event\_type est défini sur NETWORK\_DHCP et que le champ principal.ip (adresse IP de l'appareil demandant le bail DHCP) est 10.0.0.1, Google SecOps applique l'étiquette personnalisée à l'événement.

Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer un champ d'application et l'attribuer aux utilisateurs concernés. L'attribution du champ d'application vous permet de limiter l'accès à ces événements à des utilisateurs ou à des rôles spécifiques au sein de votre organisation.

Exigences et limites concernant les étiquettes

• Les noms des étiquettes doivent être uniques et ne pas dépasser 63 caractères. Ils ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Ils ne peuvent pas être réutilisés après la suppression.
• Les libellés ne peuvent pas utiliser de listes de référence.
• Les étiquettes ne peuvent pas utiliser de champs d'enrichissement.

Créer une étiquette personnalisée

Pour créer une étiquette personnalisée, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.

4. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données auxquelles vous souhaitez ajouter une étiquette. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Créer un libellé.

6. Dans la fenêtre Créer un libellé, sélectionnez Enregistrer en tant que nouveau libellé, puis saisissez le nom et la description du libellé.

7. Cliquez sur Créer un libellé.

   Une étiquette personnalisée est créée. Lors de l'ingestion de données, ce libellé est appliqué aux données correspondant à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.

Modifier l'étiquette personnalisée

Vous ne pouvez modifier que la description du libellé et la requête associée à un libellé. Impossible de mettre à jour les noms des libellés. Lorsque vous modifiez une étiquette personnalisée, les modifications ne sont appliquées qu'aux nouvelles données, et non aux données déjà ingérées.

Pour modifier un libellé, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Étiquettes personnalisées, cliquez sur le menu more_vert à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.

4. Dans la fenêtre UDM Search (Recherche UDM), mettez à jour votre requête, puis cliquez sur Run Search (Exécuter la recherche).

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données auxquelles vous souhaitez ajouter une étiquette. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Enregistrer les modifications.

L'étiquette personnalisée a été modifiée.

Supprimer l'étiquette personnalisée

La suppression d'un libellé empêche l'association de nouvelles données à celui-ci. Les données déjà associées à l'étiquette le restent. Une fois l'étiquette personnalisée supprimée, vous ne pouvez pas la récupérer ni réutiliser son nom pour en créer d'autres.

1. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

2. Dans l'onglet Étiquettes personnalisées, cliquez sur le menu more_vert pour l'étiquette que vous souhaitez supprimer, puis sélectionnez Supprimer.

3. Cliquez sur Supprimer.

4. Dans la fenêtre de confirmation, cliquez sur Confirmer.

L'étiquette personnalisée est supprimée.

Afficher l'étiquette personnalisée

Pour afficher les détails d'une étiquette personnalisée, procédez comme suit:

1. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

2. Dans l'onglet Étiquettes personnalisées, cliquez sur le menu more_vert à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.

   Les détails du libellé s'affichent.

Créer et gérer des niveaux d'accès

Vous pouvez créer et gérer des champs d'application de données dans l'interface utilisateur Google SecOps, puis les attribuer à des utilisateurs ou à des groupes via IAM. Vous pouvez créer un champ d'application en appliquant des étiquettes qui définissent les données auxquelles un utilisateur disposant du champ d'application a accès.

Créer des niveaux d'accès

Pour créer un niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur Créer un champ d'application.

4. Dans la fenêtre Créer un champ d'application, procédez comme suit:

   1. Renseignez les champs Nom du champ d'application et Description.

   2. Dans Définir l'accès aux niveaux d'accès avec des libellés > Autoriser l'accès, procédez comme suit:

      • Pour sélectionner les libellés et les valeurs correspondantes auxquels vous souhaitez accorder l'accès aux utilisateurs, cliquez sur Autoriser certaines étiquettes.

        Dans une définition de champ d'application, les étiquettes du même type (par exemple, le type de journal) sont combinées à l'aide de l'opérateur OU, tandis que les étiquettes de différents types (par exemple, le type de journal et l'espace de noms) sont combinées à l'aide de l'opérateur AND. Pour savoir comment les étiquettes définissent l'accès aux données dans les champs d'application, consultez la section Visibilité des données avec des étiquettes d'autorisation et de refus.

      • Pour autoriser l'accès à toutes les données, sélectionnez Autoriser l'accès à tout.

   3. Pour exclure l'accès à certaines étiquettes, sélectionnez Exclure certaines étiquettes, puis sélectionnez le type d'étiquette et les valeurs correspondantes pour lesquelles vous souhaitez refuser l'accès aux utilisateurs.

      Lorsque plusieurs étiquettes de refus d'accès sont appliquées au sein d'un champ d'application, l'accès est refusé si elles correspondent à l'un de ces libellés.

   4. Cliquez sur Tester le champ d'application pour vérifier comment les étiquettes sont appliquées au champ d'application.

   5. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

      Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données auxquelles vous souhaitez ajouter une étiquette. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

   6. Cliquez sur Créer un champ d'application.

   7. Dans la fenêtre Créer un champ d'application, vérifiez le nom et la description du champ d'application, puis cliquez sur Créer un champ d'application.

Le niveau d'accès est créé. Vous devez attribuer le niveau d'accès aux utilisateurs pour leur donner accès aux données qu'il contient.

Modifier le champ d'application

Vous ne pouvez modifier que la description du champ d'application et les étiquettes associées. Les noms des niveaux d'accès ne peuvent pas être mis à jour. Après la mise à jour d'un niveau d'accès, les utilisateurs qui lui sont associés sont limités conformément aux nouveaux libellés. Les règles liées au champ d'application ne sont pas mises en correspondance avec la règle mise à jour.

Pour modifier un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Habilitations, cliquez sur le menu more_vert correspondant au champ d'application que vous souhaitez modifier, puis sélectionnez Modifier.

4. Cliquez sur edit Modifier pour modifier la description du champ d'application.

5. Dans la section Définir l'accès au niveau d'accès à l'aide de libellés, mettez à jour les libellés et les valeurs correspondantes selon les besoins.

6. Cliquez sur Tester le champ d'application pour vérifier comment les nouvelles étiquettes sont appliquées au champ d'application.

7. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données auxquelles vous souhaitez ajouter une étiquette. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

8. Cliquez sur Enregistrer les modifications.

Le champ d'application est modifié.

Supprimer le champ d'application

Lorsqu'un niveau d'accès est supprimé, les utilisateurs n'ont plus accès aux données qui lui sont associées. Une fois le champ d'application supprimé, vous ne pouvez pas réutiliser son nom pour en créer d'autres.

Pour supprimer un niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur le menu more_vert correspondant au champ d'application que vous souhaitez supprimer.

4. Cliquez sur Supprimer.

5. Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le champ d'application est supprimé.

Afficher le champ d'application

Pour afficher les détails du niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Accès aux données.

3. Dans l'onglet Scopes (Champs d'application), cliquez sur le menu more_vert correspondant au champ d'application que vous souhaitez afficher, puis sélectionnez View (Afficher).

Les détails du champ d'application s'affichent.

Attribuer un champ d'application aux utilisateurs

L'attribution de champs d'application est nécessaire pour contrôler l'accès aux données pour les utilisateurs disposant d'autorisations limitées. L'attribution de champs d'application spécifiques aux utilisateurs détermine les données qu'ils peuvent consulter et avec lesquelles ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs champs d'application, il a accès aux données combinées de tous ces champs d'application. Vous pouvez attribuer les niveaux d'accès appropriés aux utilisateurs ayant besoin d'un accès global afin qu'ils puissent afficher et interagir avec toutes les données. Pour attribuer des niveaux d'accès à un utilisateur, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM

2. Sélectionnez le projet associé à Google SecOps.

3. Cliquez sur person_add Accorder l'accès.

4. Dans le champ Nouveaux comptes principaux, ajoutez votre identifiant de compte principal comme suit:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Dans le menu Attribuer des rôles > Sélectionner un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour savoir quels rôles doivent être ajoutés, consultez la section Rôles utilisateur.

6. Pour attribuer un niveau d'accès à l'utilisateur, ajoutez des conditions au rôle d'accès restreint aux données Chronicle qui lui est attribué (ne s'applique pas aux rôles d'accès global).

   1. Cliquez sur Ajouter une condition IAM pour le rôle Accès restreint aux données Chronicle. La fenêtre Ajouter une condition s'affiche.

   2. Saisissez le titre de la condition et la description facultative.

   3. Ajoutez l'expression de condition.

      Vous pouvez ajouter une expression de condition à l'aide du Générateur de conditions ou de l'Éditeur de conditions.

      Le générateur de conditions fournit une interface interactive permettant de sélectionner le type de condition, l'opérateur et d'autres informations applicables concernant l'expression. Ajoutez les conditions selon vos besoins à l'aide des opérateurs OR. Pour ajouter des niveaux d'accès au rôle, nous vous recommandons de procéder comme suit:

      1. Sélectionnez Nom dans Type de condition, Se termine par dans Opérateur, puis saisissez /<scopename> dans Valeur.

      2. Pour attribuer plusieurs champs d'application, ajoutez d'autres conditions à l'aide de l'opérateur OU. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour ajouter plus de 12 conditions, créez plusieurs liaisons de rôle et ajoutez jusqu'à 12 conditions à chacune de ces liaisons.

      Pour en savoir plus sur les conditions, consultez la page Présentation des conditions IAM.

   4. Cliquez sur Enregistrer.

   L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement une expression à l'aide de la syntaxe CEL.

   1. Saisissez l'expression suivante:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.

   3. Cliquez sur Enregistrer.

      Remarque:Les liaisons de rôle conditionnelles ne remplacent pas les liaisons de rôle sans condition. Si un compte principal est lié à un rôle et que la liaison de rôle n'a pas de condition, le compte principal dispose toujours de ce rôle. L'ajout du compte principal à une liaison conditionnelle pour le même rôle n'a aucun effet.

7. Cliquez sur Tester les modifications pour voir comment vos modifications affectent l'accès des utilisateurs aux données.

8. Cliquez sur Enregistrer.

Les utilisateurs peuvent désormais accéder aux données associées aux champs d'application.