Configurer le contrôle des accès basé sur les données (RBAC) pour les utilisateurs

Cette page décrit comment le contrôle des accès basé sur les rôles aux données (RBAC aux données) peuvent configurer le RBAC des données dans Google Security Operations. Jusqu'à la création et l'attribution de champs d'application de données, qui sont définis par des étiquettes, vous pouvez vous assurer que les données ne sont accessibles qu'aux utilisateurs autorisés.

Le contrôle des données RBAC s'appuie sur IAM tels que les rôles prédéfinis, les rôles personnalisés, et les conditions IAM.

Voici une vue d'ensemble du processus de configuration:

1. Planifiez votre mise en œuvre:identifiez les différents types de données que vous souhaitez obtenir. pour restreindre l'accès des utilisateurs. Identifiez les différents rôles au sein de votre et déterminer les exigences d'accès aux données pour chaque rôle.

2. Facultatif: Créer des étiquettes personnalisées:créez des étiquettes personnalisées (en plus des étiquettes par défaut) pour catégoriser vos données.

3. Créer des champs d'application de données:définissez les champs d'application en combinant les étiquettes pertinentes.

4. Attribuer des niveaux d'accès aux utilisateurs:attribuez des champs d'application aux rôles utilisateur dans IAM. en fonction de leurs responsabilités.

Avant de commencer

• Pour comprendre les concepts fondamentaux du RBAC aux données, les différents types d’accès et les les rôles utilisateur correspondants, le fonctionnement des libellés et des champs d'application, ainsi que l'impact RBAC aux données sur les fonctionnalités Google SecOps, voir Présentation du RBAC des données.

• Intégrer votre instance Google SecOps Pour en savoir plus, consultez Intégrer ou migrer une instance Google Security Operations.

• Assurez-vous de disposer des rôles requis.

Créer et gérer des étiquettes personnalisées

Les étiquettes personnalisées sont des métadonnées que vous pouvez ajouter à l'outil SIEM ingéré Données Google SecOps pour classer et organiser en fonction de valeurs UDM normalisées.

Par exemple, imaginons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre Événements DHCP (Dynamic Host Configuration Protocol) provenant d'une adresse IP spécifique (10.0.0.1) qui, selon vous, a pu être piraté.

Pour filtrer et identifier ces événements spécifiques, vous pouvez créer une étiquette personnalisée avec le nom Activité DHCP suspecte, avec la définition suivante:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

L'étiquette personnalisée fonctionne de la manière suivante:

Google SecOps ingère en continu les journaux et événements réseau dans ses UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères de l'étiquette personnalisée. Si le champ metadata.event\_type est NETWORK\_DHCP et si le champ principal.ip (l'adresse IP de l'appareil demandant le bail DHCP) est 10.0.0.1, Google SecOps applique étiquette personnalisée à l'événement.

Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer un champ d'application le champ d'application aux utilisateurs concernés. L'attribution d'un champ d'application vous permet de restreindre l'accès à des utilisateurs ou à des rôles spécifiques au sein de votre organisation.

Exigences et limites concernant les étiquettes

• Les noms des étiquettes doivent être uniques et ne pas dépasser 63 caractères. Ils ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Ils ne peuvent pas être réutilisés après la suppression.
• Les libellés ne peuvent pas utiliser de listes de référence.
• Les étiquettes ne peuvent pas utiliser de champs d'enrichissement.

Créer une étiquette personnalisée

Pour créer une étiquette personnalisée, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.

4. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats s'affichent. les données à étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Créer un libellé.

6. Dans la fenêtre Créer un libellé, sélectionnez Enregistrer comme nouveau libellé, puis saisissez le le nom et la description du libellé.

7. Cliquez sur Créer un libellé.

   Une étiquette personnalisée est créée. Lors de l'ingestion des données, ce libellé est appliqué aux données correspondant à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.

Modifier l'étiquette personnalisée

Vous ne pouvez modifier que la description du libellé et la requête associée à un libellé. Impossible de mettre à jour les noms des libellés. Lorsque vous modifiez une étiquette personnalisée, les modifications sont appliquées qu'aux nouvelles données, et non à celles déjà ingérées.

Pour modifier un libellé, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Étiquettes personnalisées, cliquez sur more_vert. Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.

4. Dans la fenêtre UDM Search (Recherche UDM), mettez à jour votre requête, puis cliquez sur Run Search (Exécuter la recherche).

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats s'affichent. les données à étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Enregistrer les modifications.

L'étiquette personnalisée a été modifiée.

Supprimer l'étiquette personnalisée

La suppression d'un libellé empêche l'association de nouvelles données à celui-ci. Données qui sont déjà associé au libellé le reste. Après suppression, vous ne pourrez pas récupérer l'étiquette personnalisée ni réutiliser son nom pour créer de nouvelles étiquettes.

1. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

2. Dans l'onglet Étiquettes personnalisées, cliquez sur l'icône more_vert Menu pour le libellé que vous souhaitez supprimer, puis sélectionnez Supprimer.

3. Cliquez sur Supprimer.

4. Dans la fenêtre de confirmation, cliquez sur Confirmer.

L'étiquette personnalisée est supprimée.

Afficher l'étiquette personnalisée

Pour afficher les détails d'une étiquette personnalisée, procédez comme suit:

1. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

2. Dans l'onglet Étiquettes personnalisées, cliquez sur more_vert. Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.

   Les détails du libellé s'affichent.

Créer et gérer des niveaux d'accès

Vous pouvez créer et gérer les champs d'application des données au sein de l'utilisateur Google SecOps puis attribuer ces niveaux d'accès à des utilisateurs ou à des groupes via IAM. Vous pouvez créer un champ d'application en appliquant des étiquettes qui définissent les données qu'un utilisateur auquel le niveau d'accès a accès.

Créer des niveaux d'accès

Pour créer un niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur Créer un champ d'application.

4. Dans la fenêtre Créer un champ d'application, procédez comme suit:

   1. Renseignez les champs Nom du champ d'application et Description.

   2. Dans Définir l'accès aux niveaux d'accès à l'aide de libellés > Autorisez l'accès:

      • Pour sélectionner les étiquettes et leurs valeurs correspondantes accorder l'accès aux utilisateurs, cliquez sur Autoriser certains libellés.

        Dans une définition de champ d'application, les étiquettes du même type (par exemple, le type de journal) sont combinés à l'aide de l'opérateur OU, tandis que les étiquettes de différents types (par exemple, le type de journal et l'espace de noms) sont combinés à l'aide de l'opérateur ET . Pour savoir comment les étiquettes définissent l'accès aux données dans consultez la section Visibilité des données avec des étiquettes d'autorisation et de refus.

      • Pour autoriser l'accès à toutes les données, sélectionnez Autoriser l'accès à tout.

   3. Pour exclure l'accès à certains libellés, sélectionnez Exclure certaines étiquettes, puis sélectionnez le type d'étiquette et les valeurs correspondantes que vous souhaitez refuser auxquels les utilisateurs ont accès.

      Lorsque plusieurs étiquettes de refus d'accès sont appliquées dans un champ d'application, l'accès refusé si elles correspondent à l'une d'elles.

   4. Cliquez sur Tester le champ d'application pour vérifier comment les étiquettes sont appliquées au champ d'application.

   5. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

      Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats s'affichent. les données à étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

   6. Cliquez sur Créer un champ d'application.

   7. Dans la fenêtre Créer un champ d'application, vérifiez le nom et la description du champ d'application. puis cliquez sur Créer un champ d'application.

Le niveau d'accès est créé. Vous devez attribuer le niveau d'accès aux utilisateurs pour leur donner accès à les données du champ d'application.

Modifier le champ d'application

Vous ne pouvez modifier que la description du champ d'application et les étiquettes associées. Noms des niveaux d'accès ne peut pas être mis à jour. Après la mise à jour d'un champ d'application, les utilisateurs qui lui sont associés sont limitées conformément aux nouveaux libellés. Les règles liées au champ d'application sont ne peut pas être mis en correspondance avec la version mise à jour.

Pour modifier un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur more_vert. Menu correspondant au champ d'application que vous souhaitez modifier, puis sélectionnez Modifier.

4. Cliquez sur edit Modifier pour modifier la portée. la description.

5. Dans la section Définir l'accès aux niveaux d'accès à l'aide de libellés, mettez à jour les libellés et les valeurs correspondantes comme requis.

6. Cliquez sur Tester le champ d'application pour vérifier comment les nouvelles étiquettes sont appliquées au champ d'application.

7. Dans la fenêtre Recherche UMD, saisissez votre requête, puis cliquez sur Exécuter la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats s'affichent. les données à étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

8. Cliquez sur Enregistrer les modifications.

Le champ d'application est modifié.

Supprimer le champ d'application

Lorsqu'un niveau d'accès est supprimé, les utilisateurs n'ont plus accès aux données associées à le champ d’application. Une fois le champ d'application supprimé, vous ne pouvez pas réutiliser son nom pour en créer d'autres.

Pour supprimer un niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur more_vert. Menu sur le champ d'application que vous souhaitez supprimer.

4. Cliquez sur Supprimer.

5. Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le champ d'application est supprimé.

Afficher le champ d'application

Pour afficher les détails du niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur more_vert. Menu sur le champ d'application que vous souhaitez afficher, puis sélectionnez Afficher.

Les détails du champ d'application s'affichent.

Attribuer un champ d'application aux utilisateurs

L'attribution de champs d'application est nécessaire pour contrôler l'accès aux données pour les utilisateurs disposant des autorisations restreintes. L'attribution de champs d'application spécifiques aux utilisateurs détermine qu'ils peuvent consulter et avec lesquels ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs champs d'application, ils obtiennent l’accès aux données combinées de tous ces champs d’application. Vous pouvez attribuer le paramètre les niveaux d'accès appropriés pour les utilisateurs ayant besoin d'un accès global, afin qu'ils puissent afficher et interagir avec toutes les données. Pour attribuer des niveaux d'accès à un utilisateur, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM

2. Sélectionnez le projet associé à Google SecOps.

3. Cliquez sur person_add Accorder l'accès.

4. Dans le champ Nouveaux comptes principaux, ajoutez votre identifiant de compte principal. comme suit:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Dans la section Attribuer des rôles > Dans le menu Sélectionnez un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour comprendre quels rôles ont besoin être ajouté, consultez la section Rôles utilisateur.

6. Pour attribuer un niveau d'accès à l'utilisateur, ajoutez des conditions à l'application Chronicle Restricted Le rôle d'accès aux données attribué à l'utilisateur (ne s'applique pas à l'accès global) rôles).

   1. Cliquez sur Ajouter une condition IAM pour la Rôle Accès restreint aux données Chronicle. La fenêtre Ajouter une condition s'affiche.

   2. Saisissez le titre de la condition et la description facultative.

   3. Ajoutez l'expression de condition.

      Vous pouvez ajouter une expression de condition à l'aide du générateur de conditions. ou l'éditeur de conditions.

      Le générateur de conditions fournit une interface interactive pour sélectionner le type de condition, l'opérateur et d'autres détails applicables sur l'expression. Ajoutez les conditions selon vos besoins à l'aide des opérateurs OR. Pour ajouter d'accès au rôle, nous vous recommandons de procéder comme suit:

      1. Sélectionnez Nom dans Type de condition, Se termine par dans Opérateur. et saisissez /<scopename> dans Valeur.

      2. Pour attribuer plusieurs champs d'application, ajoutez d'autres conditions à l'aide de l'opérateur OU. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour en ajouter plus de 12 des conditions, créez plusieurs liaisons de rôle et ajoutez jusqu'à 12 conditions pour pour chacune de ces liaisons.

      Pour en savoir plus sur les conditions, consultez la page Présentation des conditions IAM.

   4. Cliquez sur Enregistrer.

   L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement à l'aide de la syntaxe CEL.

   1. Saisissez l'expression suivante:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.

   3. Cliquez sur Enregistrer.

      Remarque:Les liaisons de rôle conditionnelles ne remplacent pas les liaisons de rôles sans conditions. Si un compte principal est lié à un rôle et que la liaison de rôle n'a pas de condition, le compte principal dispose toujours de ce rôle. Ajout... le compte principal à une liaison conditionnelle pour le même rôle, sans effet.

7. Cliquez sur Tester les modifications pour voir comment vos modifications affectent l'accès des utilisateurs aux les données.

8. Cliquez sur Enregistrer.

Les utilisateurs peuvent désormais accéder aux données associées aux champs d'application.