Configurer RBAC pour les données pour les utilisateurs
Cette page explique comment les administrateurs du contrôle des accès basé sur les rôles (RBAC) des données peuvent configurer le RBAC des données dans Google Security Operations. En créant et en attribuant des champs d'application de données, définis par des libellés, vous pouvez vous assurer que les données ne sont accessibles qu'aux utilisateurs autorisés.
Le RBAC des données s'appuie sur des concepts IAM, y compris les rôles prédéfinis, les rôles personnalisés et les conditions IAM.
Voici un aperçu général du processus de configuration:
Planifiez votre implémentation:identifiez les différents types de données auxquels vous souhaitez limiter l'accès des utilisateurs. Identifiez les différents rôles au sein de votre organisation et déterminez les exigences d'accès aux données pour chaque rôle.
Facultatif: Créer des libellés personnalisés:créez des libellés personnalisés (en plus des libellés par défaut) pour classer vos données.
Créez des champs d'application de données:définissez des champs d'application en combinant des libellés pertinents.
Attribuer des portées aux utilisateurs:attribuez des portées aux rôles utilisateur dans IAM en fonction de leurs responsabilités.
Lorsque le RBAC des données est activé pour la première fois, aucun champ d'application n'est attribué aux règles, aux listes de référence et aux tables de données. Seuls les utilisateurs disposant d'un accès global ont accès aux données. Par défaut, les utilisateurs avec portée n'ont accès à aucune donnée. Cela évite tout accès non autorisé et garantit un point de départ sécurisé. Pour accorder l'accès, définissez des champs d'application et attribuez-les aux utilisateurs, aux règles et aux listes de référence en fonction de vos besoins.
Avant de commencer
Pour comprendre les concepts de base du RBAC des données, les différents types d'accès et les rôles utilisateur correspondants, le fonctionnement des libellés et des champs d'application, et l'impact du RBAC des données sur les fonctionnalités Google SecOps, consultez la page Présentation du RBAC des données.
Intégrez votre instance Google SecOps. Pour en savoir plus, consultez Intégrer ou migrer une instance Google Security Operations.
Assurez-vous de disposer des rôles requis.
Le contrôle RBAC des données n'est pas activé par défaut. Pour activer le RBAC des données, contactez l'assistance Google SecOps.
Créer et gérer des libellés personnalisés
Les libellés personnalisés sont des métadonnées que vous pouvez ajouter aux données Google SecOps ingérées par le SIEM pour les classer et les organiser en fonction des valeurs normalisées par UDM.
Imaginons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre les événements DHCP (Dynamic Host Configuration Protocol) à partir d'une adresse IP spécifique (10.0.0.1) que vous pensez être compromise.
Pour filtrer et identifier ces événements spécifiques, vous pouvez créer un libellé personnalisé nommé "Activité DHCP suspecte" avec la définition suivante:
metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"
L'étiquette personnalisée fonctionne comme suit:
Google SecOps ingère en continu les journaux et les événements réseau dans son UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères de la balise personnalisée. Si le champ metadata.event_type est NETWORK_DHCP et si le champ principal.ip (l'adresse IP de l'appareil qui demande le bail DHCP) est 10.0.0.1, Google SecOps applique la balise personnalisée à l'événement.
Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer une portée et l'attribuer aux utilisateurs concernés. L'attribution de la portée vous permet de limiter l'accès à ces événements à des utilisateurs ou à des rôles spécifiques de votre organisation.
Exigences et limites concernant les libellés
- Les noms des étiquettes doivent être uniques et comporter au maximum 63 caractères. Elles ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Une fois supprimés, ils ne peuvent plus être réutilisés.
- Les libellés ne peuvent pas utiliser de listes de référence.
- Les libellés ne peuvent pas utiliser de champs d'enrichissement.
- Les libellés n'acceptent pas les expressions régulières.
Créer une étiquette personnalisée
Pour créer une étiquette personnalisée, procédez comme suit:
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.
Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.
Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Créer un libellé.
Dans la fenêtre Créer un libellé, sélectionnez Enregistrer en tant que nouveau libellé, puis saisissez le nom et la description du libellé.
Cliquez sur Créer un libellé.
Un nouveau libellé personnalisé est créé. Lors de l'ingestion des données, ce libellé est appliqué aux données correspondant à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.
Modifier une étiquette personnalisée
Vous ne pouvez modifier que la description et la requête associées à un libellé. Les noms des libellés ne peuvent pas être modifiés. Lorsque vous modifiez un libellé personnalisé, les modifications ne s'appliquent qu'aux nouvelles données et non aux données déjà ingérées.
Pour modifier un libellé, procédez comme suit:
Cliquez sur Settings > SIEM Settings > Data Access (Paramètres > Paramètres du SIEM > Accès aux données).
Dans l'onglet Libellés personnalisés, cliquez sur Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.
Dans la fenêtre Recherche UDM, modifiez votre requête, puis cliquez sur Lancer la recherche.
Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Enregistrer les modifications.
Le libellé personnalisé est modifié.
Supprimer une étiquette personnalisée
Si vous supprimez un libellé, vous ne pourrez plus lui associer de nouvelles données. Les données déjà associées au libellé restent associées au libellé. Une fois le libellé personnalisé supprimé, vous ne pouvez plus le récupérer ni réutiliser son nom pour créer d'autres libellés.
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Libellés personnalisés, cliquez sur le Menu du libellé que vous souhaitez supprimer, puis sélectionnez Supprimer.
Cliquez sur Supprimer.
Dans la fenêtre de confirmation, cliquez sur Confirmer.
L'étiquette personnalisée est supprimée.
Afficher l'étiquette personnalisée
Pour afficher les détails d'un libellé personnalisé, procédez comme suit:
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Libellés personnalisés, cliquez sur Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.
Les détails de l'étiquette s'affichent.
Créer et gérer des portées
Vous pouvez créer et gérer des champs d'application de données dans l'interface utilisateur Google SecOps, puis attribuer ces champs d'application à des utilisateurs ou à des groupes via IAM. Vous pouvez créer une portée en appliquant des libellés qui définissent les données auxquelles un utilisateur disposant de la portée a accès.
Créer des champs d'application
Pour créer un champ d'application, procédez comme suit:
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Champs d'application, cliquez sur Créer un champ d'application.
Dans la fenêtre Créer un champ d'application, procédez comme suit:
Saisissez Nom de la portée et Description.
Dans Définir l'accès au champ d'application avec des libellés > Autoriser l'accès, procédez comme suit:
Pour sélectionner les libellés et les valeurs correspondantes auxquels vous souhaitez accorder l'accès aux utilisateurs, cliquez sur Autoriser certains libellés.
Dans une définition de champ d'application, les libellés du même type (par exemple, le type de journal) sont combinés à l'aide de l'opérateur OU, tandis que les libellés de différents types (par exemple, le type de journal et l'espace de noms) sont combinés à l'aide de l'opérateur ET. Pour en savoir plus sur la façon dont les libellés définissent l'accès aux données dans les portées, consultez la section Visibilité des données avec les libellés d'autorisation et de refus.
Pour autoriser l'accès à toutes les données, sélectionnez Tout autoriser.
Pour exclure l'accès à certains libellés, sélectionnez Exclure certains libellés, puis sélectionnez le type de libellé et les valeurs correspondantes auxquelles vous souhaitez refuser l'accès aux utilisateurs.
Lorsque plusieurs étiquettes d'accès refusé sont appliquées dans un champ d'application, l'accès est refusé si elles correspondent à l'une de ces étiquettes.
Cliquez sur Tester le champ d'application pour vérifier comment les libellés sont appliqués au champ d'application.
Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.
Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Créer un champ d'application.
Dans la fenêtre Créer un champ d'application, confirmez le nom et la description du champ d'application, puis cliquez sur Créer un champ d'application.
Le champ d'application est créé. Vous devez attribuer la portée aux utilisateurs pour leur donner accès aux données de la portée.
Modifier le champ d'application
Vous ne pouvez modifier que la description du champ d'action et les libellés associés. Les noms de portée ne peuvent pas être modifiés. Une fois que vous avez modifié une portée, les utilisateurs qui y sont associés sont limités conformément aux nouveaux libellés. Les règles liées au champ d'application ne sont pas remises en correspondance avec la version mise à jour.
Pour modifier un champ d'application, procédez comme suit:
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Champ d'application, cliquez sur Menu correspondant au champ d'application que vous souhaitez modifier, puis sélectionnez Modifier.
Cliquez sur Modifier pour modifier la description de la portée.
Dans la section Définir l'accès au champ d'application avec des libellés, mettez à jour les libellés et leurs valeurs correspondantes si nécessaire.
Cliquez sur Tester le champ d'application pour vérifier comment les nouveaux libellés sont appliqués au champ d'application.
Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.
Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Enregistrer les modifications.
Le champ d'application est modifié.
Supprimer le champ d'application
Lorsqu'un champ d'application est supprimé, les utilisateurs n'ont plus accès aux données qui lui sont associées. Une fois supprimé, le nom du champ d'application ne peut plus être réutilisé pour créer d'autres champs d'application.
Pour supprimer un champ d'application, procédez comme suit:
Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).
Dans l'onglet Champ d'application, cliquez sur Menu à côté du champ d'application que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la fenêtre de confirmation, cliquez sur Confirmer.
Le champ d'application est supprimé.
Champ d'application de la vue
Pour afficher les détails de la portée, procédez comme suit:
Cliquez sur Settings > Data Access (Paramètres > Accès aux données).
Dans l'onglet Champ d'application, cliquez sur Menu à côté du champ d'application que vous souhaitez afficher, puis sélectionnez Afficher.
Les détails de la portée s'affichent.
Attribuer un champ d'application aux utilisateurs
L'attribution de champ d'application est requise pour contrôler l'accès aux données des utilisateurs disposant d'autorisations limitées. L'attribution de champs d'application spécifiques aux utilisateurs détermine les données qu'ils peuvent consulter et avec lesquelles ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs champs d'application, il a accès aux données combinées de tous ces champs d'application. Vous pouvez attribuer les champs d'application appropriés aux utilisateurs qui ont besoin d'un accès global afin qu'ils puissent consulter et interagir avec toutes les données. Pour attribuer des portées à un utilisateur, procédez comme suit:
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez le projet associé à Google SecOps.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, procédez comme suit:
Si vous utilisez la fédération d'identité de personnel ou toute autre authentification tierce, ajoutez votre identifiant principal comme suit:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
Remplacez les éléments suivants :
POOL_ID: identifiant du pool créé pour votre fournisseur d'identités.USER_EMAIL: Adresse e-mail de l'utilisateur.
Si vous utilisez Cloud Identity ou Google Workspace, ajoutez votre identifiant principal comme suit:
user:USER_EMAIL
Remplacez les éléments suivants :
USER_EMAIL: Adresse e-mail de l'utilisateur.
Dans le menu Attribuer des rôles > Sélectionner un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour savoir quels rôles doivent être ajoutés, consultez la section Rôles utilisateur.
Pour attribuer un champ d'application à l'utilisateur, ajoutez des conditions au rôle d'accès aux données Chronicle limité attribué à l'utilisateur (ne s'applique pas aux rôles d'accès global).
Cliquez sur Ajouter une condition IAM pour le rôle Chronicle Restricted Data Access. La fenêtre Ajouter une condition s'affiche.
Saisissez le titre de la condition et une description facultative.
Ajoutez l'expression de condition.
Vous pouvez ajouter une expression de condition à l'aide du Générateur de conditions ou de l'Éditeur de conditions.
L'outil Créateur de conditions fournit une interface interactive permettant de sélectionner le type de condition, l'opérateur et d'autres informations applicables concernant l'expression. Les opérateurs suivants vous permettent de créer des règles précises pour contrôler l'accès à plusieurs portées avec une seule condition IAM:
ENDS_WITH: vérifie si le nom de la portée se termine par un mot spécifique. Pour faire correspondre le mot exact, ajoutez un
/avant le mot.Prenons l'exemple d'un champ d'accès aux données nommé
projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.ENDS_WITH /scopenamecorrespond au nom exact et est évalué àtruepour l'exemple de portée.ENDS_WITH scopenamecorrespond à tout nom se terminant par "nomdeportée" et est évalué commetruepour l'exemple de portée et pourprojects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.
STARTS_WITH: vérifie si le nom de la portée commence par un mot spécifique. Par exemple,
STARTS_WITH projects/project1accorde l'accès à tous les champs d'application de "project1".EQUALS_TO: vérifie si le nom correspond exactement à un mot ou une expression spécifique. Cela n'accorde l'accès qu'à un seul champ d'application. Par exemple,
EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopenameest évalué àtruepour l'exemple de champ d'application.
Pour ajouter des portées au rôle, nous vous recommandons de procéder comme suit:
Sélectionnez Nom dans Type de condition, l'opérateur dans Opérateur et saisissez le nom de la portée dans Valeur.
/<scopename>Pour attribuer plusieurs portées, ajoutez d'autres conditions à l'aide de l'opérateur OU. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour ajouter plus de 12 conditions, créez plusieurs liaisons de rôles et ajoutez jusqu'à 12 conditions à chacune d'elles.
Pour en savoir plus sur les conditions, consultez la page Présentation des conditions IAM.
Cliquez sur Enregistrer.
L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement une expression à l'aide de la syntaxe CEL.
Saisissez l'expression suivante:
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.
Cliquez sur Enregistrer.
Cliquez sur Tester les modifications pour voir l'impact de vos modifications sur l'accès des utilisateurs aux données.
Cliquez sur Enregistrer.
Les utilisateurs peuvent désormais accéder aux données associées aux champs d'application.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.