Configurare RBAC dei dati per gli utenti

In questa pagina viene descritto in che modo gli amministratori del controllo degli accessi basato su ruoli basati sui dati (RBAC di dati) possono configurare RBAC dei dati in Google Security Operations. Tramite la creazione e l'assegnazione degli ambiti dei dati, definiti da etichette, puoi garantire che i dati siano accessibili solo agli utenti autorizzati.

Data RBAC si basa su concetti IAM, tra cui ruoli predefiniti, ruoli personalizzati e condizioni IAM.

Di seguito è riportata una panoramica generale del processo di configurazione:

1. Pianifica l'implementazione: identifica i diversi tipi di dati a cui vuoi limitare l'accesso degli utenti. Identifica i diversi ruoli all'interno dell'organizzazione e determina i requisiti di accesso ai dati per ciascun ruolo.

2. (Facoltativo) Crea etichette personalizzate: crea etichette personalizzate (in aggiunta alle etichette predefinite) per classificare i dati.

3. Crea ambiti di dati: definisci gli ambiti combinando le etichette pertinenti.

4. Assegna ambiti agli utenti: assegna ambiti ai ruoli utente in IAM in base alle loro responsabilità.

Prima di iniziare

• Per comprendere i concetti fondamentali di RBAC dei dati, i diversi tipi di accesso e i ruoli utente corrispondenti, il funzionamento di etichette e ambiti e l'impatto dei dati RBAC sulle funzionalità di Google SecOps, consulta Panoramica di RBAC dei dati.

• Esegui l'onboarding dell'istanza Google SecOps. Per ulteriori informazioni, consulta Operazioni preliminari o migrazione di un'istanza di Google Security Operations.

• Assicurati di disporre dei ruoli richiesti.

Creare e gestire etichette personalizzate

Le etichette personalizzate sono metadati che puoi aggiungere ai dati Google SecOps importati dalla piattaforma SIEM per categorizzarli e organizzarli in base a valori normalizzati UDM.

Ad esempio, considera di voler monitorare l'attività di rete. Vuoi tenere traccia degli eventi DHCP (Dynamic Host Configuration Protocol) da un indirizzo IP specifico (10.0.0.1) che sospetti possa essere compromesso.

Per filtrare e identificare questi eventi specifici, puoi creare un'etichetta personalizzata con il nome Attività DHCP sospetta e la seguente definizione:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

L'etichetta personalizzata funziona nel seguente modo:

Google SecOps importa continuamente log ed eventi di rete nel suo UDM. Quando un evento DHCP viene importato, Google SecOps controlla se soddisfa i criteri dell'etichetta personalizzata. Se il campo metadata.event\_type è NETWORK\_DHCP e se il campo principal.ip (l'indirizzo IP del dispositivo che richiede il lease DHCP) è 10.0.0.1, Google SecOps applica l'etichetta personalizzata all'evento.

Puoi utilizzare l'etichetta Attività DHCP sospetta per creare un ambito e assegnarlo agli utenti pertinenti. L'assegnazione dell'ambito consente di limitare l'accesso a questi eventi a utenti o ruoli specifici all'interno dell'organizzazione.

Requisiti e limitazioni delle etichette

• I nomi delle etichette devono essere univoci e possono avere una lunghezza massima di 63 caratteri. Possono contenere solo lettere minuscole, caratteri numerici e trattini. Non possono essere riutilizzati dopo l'eliminazione.
• Le etichette non possono utilizzare elenchi di riferimento.
• Le etichette non possono utilizzare campi di potenziamento.

Crea etichetta personalizzata

Per creare un'etichetta personalizzata:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su Crea etichetta personalizzata.

4. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché nei risultati non vengono visualizzati i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

5. Fai clic su Crea etichetta.

6. Nella finestra Crea etichetta, seleziona Salva come nuova etichetta e inserisci il nome e la descrizione dell'etichetta.

7. Fai clic su Crea etichetta.

   Viene creata una nuova etichetta personalizzata. Durante l'importazione dati, questa etichetta viene applicata ai dati che corrispondono alla query UDM. L'etichetta non viene applicata ai dati già importati.

Modifica etichetta personalizzata

Puoi modificare solo la descrizione dell'etichetta e la query associata a un'etichetta. Impossibile aggiornare i nomi delle etichette. Quando modifichi un'etichetta personalizzata, le modifiche vengono applicate solo ai nuovi dati e non a quelli già importati.

Per modificare un'etichetta:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su more_vert Menu in corrispondenza dell'etichetta che vuoi modificare e seleziona Modifica.

4. Nella finestra Ricerca UDM, aggiorna la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché nei risultati non vengono visualizzati i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

5. Fai clic su Salva modifiche.

L'etichetta personalizzata è stata modificata.

Elimina etichetta personalizzata

L'eliminazione di un'etichetta impedisce l'associazione di nuovi dati. I dati già associati all'etichetta rimangono associati all'etichetta. Dopo l'eliminazione, non puoi recuperare l'etichetta personalizzata o riutilizzare il nome dell'etichetta per crearne di nuove.

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic sul Menu more_vert relativo all'etichetta che desideri eliminare e seleziona Elimina.

3. Fai clic su Elimina.

4. Nella finestra di conferma, fai clic su Conferma.

L'etichetta personalizzata è stata eliminata.

Visualizza etichetta personalizzata

Per visualizzare i dettagli di un'etichetta personalizzata:

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic su more_vert Menu in corrispondenza dell'etichetta che vuoi modificare e seleziona Visualizza.

   Vengono visualizzati i dettagli dell'etichetta.

Crea e gestisci gli ambiti

Puoi creare e gestire gli ambiti dei dati all'interno dell'interfaccia utente di Google SecOps, quindi assegnarli a utenti o gruppi tramite IAM. Puoi creare un ambito applicando etichette che definiscono i dati a cui ha accesso un utente con l'ambito.

Crea ambiti

Per creare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su Crea ambito.

4. Nella finestra Crea nuovo ambito, segui questi passaggi:

   1. Inserisci Nome ambito e Descrizione.

   2. In Definisci l'accesso all'ambito con le etichette > Consenti accesso, segui questi passaggi:

      • Per selezionare le etichette e i valori corrispondenti a cui vuoi concedere l'accesso agli utenti, fai clic su Consenti determinate etichette.

        In una definizione di ambito, le etichette dello stesso tipo (ad esempio, tipo di log) vengono combinate utilizzando l'operatore OR, mentre le etichette di tipi diversi (ad esempio, tipo di log e spazio dei nomi) vengono combinate utilizzando l'operatore AND. Per ulteriori informazioni su come le etichette definiscono l'accesso ai dati negli ambiti, consulta Visibilità dei dati con le etichette di autorizzazione e di negazione.

      • Per concedere l'accesso a tutti i dati, seleziona Consenti l'accesso a tutto.

   3. Per escludere l'accesso ad alcune etichette, seleziona Escludi determinate etichette, quindi seleziona il tipo di etichetta e i valori corrispondenti a cui vuoi negare l'accesso agli utenti.

      Quando più etichette di accesso negato vengono applicate all'interno di un ambito, l'accesso viene negato se corrispondono a una qualsiasi di queste etichette.

   4. Fai clic su Ambito di test per verificare come le etichette vengono applicate all'ambito.

   5. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

      Puoi perfezionare la query e fare clic su Esegui ricerca finché nei risultati non vengono visualizzati i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

   6. Fai clic su Crea ambito.

   7. Nella finestra Crea ambito, conferma il nome e la descrizione dell'ambito e fai clic su Crea ambito.

L'ambito viene creato. Devi assegnare l'ambito agli utenti per consentire loro di accedere ai dati nell'ambito.

Modifica ambito

Puoi modificare solo la descrizione dell'ambito e le etichette associate. I nomi degli ambiti non possono essere aggiornati. Dopo aver aggiornato un ambito, gli utenti associati all'ambito vengono limitati in base alle nuove etichette. Le regole associate all'ambito non vengono confrontate di nuovo con quella aggiornata.

Per modificare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert Menu corrispondente all'ambito da modificare e seleziona Modifica.

4. Fai clic su edit Modifica per modificare la descrizione dell'ambito.

5. Nella sezione Definisci l'accesso all'ambito con le etichette, aggiorna le etichette e i valori corrispondenti in base alle esigenze.

6. Fai clic su Ambito di test per verificare in che modo le nuove etichette vengono applicate all'ambito.

7. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché nei risultati non vengono visualizzati i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

8. Fai clic su Salva modifiche.

L'ambito è stato modificato.

Elimina ambito

Quando un ambito viene eliminato, gli utenti non hanno accesso ai dati associati all'ambito. Dopo l'eliminazione, il nome dell'ambito non può essere riutilizzato per creare nuovi ambiti.

Per eliminare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert Menu in corrispondenza dell'ambito che vuoi eliminare.

4. Fai clic su Elimina.

5. Nella finestra di conferma, fai clic su Conferma.

L'ambito è stato eliminato.

Visualizza ambito

Per visualizzare i dettagli dell'ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert Menu in corrispondenza dell'ambito che vuoi visualizzare e seleziona Visualizza.

Vengono visualizzati i dettagli dell'ambito.

Assegna l'ambito agli utenti

L'assegnazione dell'ambito è necessaria per controllare l'accesso ai dati da parte degli utenti con autorizzazioni limitate. L'assegnazione di ambiti specifici agli utenti determina i dati che possono visualizzare e con cui possono interagire. Quando a un utente vengono assegnati più ambiti, otterrà l'accesso ai dati combinati di tutti quegli ambiti. Puoi assegnare gli ambiti appropriati agli utenti che richiedono l'accesso globale, in modo che possano visualizzare e interagire con tutti i dati. Per assegnare ambiti a un utente:

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona il progetto associato a Google SecOps.

3. Fai clic su person_add Concedi l'accesso.

4. Nel campo Nuove entità, aggiungi l'identificatore entità come segue:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Nel menu Assegna ruoli > Seleziona un ruolo, seleziona il ruolo richiesto. Fai clic su Aggiungi un altro ruolo per aggiungere più ruoli. Per capire quali ruoli devono essere aggiunti, consulta Ruoli utente.

6. Per assegnare un ambito all'utente, aggiungi delle condizioni al ruolo di accesso ai dati limitato di Chronicle assegnato all'utente (non si applica ai ruoli di accesso globale).

   1. Fai clic su Aggiungi condizione IAM per il ruolo Accesso ai dati limitato di Chronicle. Viene visualizzata la finestra Aggiungi condizione.

   2. Inserisci il titolo della condizione e la descrizione facoltativa.

   3. Aggiungi l'espressione della condizione.

      Puoi aggiungere un'espressione di condizione utilizzando il Generatore di condizioni o l'Editor condizioni.

      Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili sull'espressione. Aggiungi le condizioni in base alle tue esigenze utilizzando gli operatori OR. Per aggiungere gli ambiti al ruolo, consigliamo quanto segue:

      1. Seleziona Nome in Tipo di condizione, Termina con in Operatore e digita /<scopename> in Valore.

      2. Per assegnare più ambiti, aggiungi altre condizioni utilizzando l'operatore OR. Puoi aggiungere fino a 12 condizioni per ogni associazione dei ruoli. Per aggiungere più di 12 condizioni, crea più associazioni di ruoli e aggiungi fino a 12 condizioni a ciascuna di queste associazioni.

      Per saperne di più sulle condizioni, consulta Panoramica delle condizioni IAM.

   4. Fai clic su Salva.

   L'editor delle condizioni fornisce un'interfaccia basata su testo per inserire manualmente un'espressione utilizzando la sintassi CEL.

   1. Inserisci la seguente espressione:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Fai clic su Run Linter (Esegui Linter) per convalidare la sintassi CEL.

   3. Fai clic su Salva.

      Nota: le associazioni di ruoli condizionali non sostituiscono le associazioni di ruoli senza condizioni. Se un'entità è associata a un ruolo e l'associazione dei ruoli non ha una condizione, l'entità avrà sempre quel ruolo. L'aggiunta dell'entità a un'associazione condizionale per lo stesso ruolo non ha effetto.

7. Fai clic su Testa modifiche per vedere in che modo le modifiche influiscono sull'accesso degli utenti ai dati.

8. Fai clic su Salva.

Ora gli utenti possono accedere ai dati associati agli ambiti.