Configurare RBAC dei dati per gli utenti
In questa pagina viene descritto il controllo dell'accesso basato sui ruoli dei dati (RBAC dei dati) Gli amministratori possono configurare il RBAC dei dati in Google Security Operations. Con la creazione e l'assegnazione di ambiti dei dati, definiti dalle etichette, puoi assicurarti che i dati siano accessibili solo agli utenti autorizzati.
Data RBAC si basa su IAM concetti quali ruoli predefiniti, ruoli personalizzati e le condizioni IAM.
Di seguito è riportata una panoramica generale della procedura di configurazione:
Pianifica l'implementazione: identifica i diversi tipi di dati che vuoi a cui limitare l'accesso degli utenti. Identifica i diversi ruoli all'interno della tua organizzazione e determina i requisiti di accesso ai dati per ciascun ruolo.
(Facoltativo) Crea etichette personalizzate: crea etichette personalizzate (oltre alle etichette predefinite) per classificare i dati.
Crea ambiti di dati: definisci gli ambiti combinando le etichette pertinenti.
Assegna gli ambiti agli utenti: assegna gli ambiti ai ruoli utente in IAM in base alle loro responsabilità.
Prima di iniziare
Per comprendere i concetti fondamentali di RBAC dei dati, i diversi tipi di accesso e i ruoli utente corrispondenti, il funzionamento di etichette e ambiti e l'impatto RBAC di dati sulle funzionalità di Google SecOps, consulta Panoramica di RBAC di dati.
Esegui l'onboarding dell'istanza Google SecOps. Per ulteriori informazioni, consulta Operazioni preliminari o migrazione di un'istanza di Google Security Operations.
Assicurati di disporre dei ruoli richiesti.
Creare e gestire etichette personalizzate
Le etichette personalizzate sono metadati che puoi aggiungere alla piattaforma SIEM importata Dati di Google SecOps per classificare e organizzare sulla base di valori normalizzati UDM.
Ad esempio, considera di voler monitorare l'attività di rete. Vuoi monitorare gli eventi DHCP (Dynamic Host Configuration Protocol) da un indirizzo IP specifico (10.0.0.1) che sospetti possa essere compromesso.
Per filtrare e identificare questi eventi specifici, puoi creare un'etichetta personalizzata con il nome Attività DHCP sospetta con la seguente definizione:
metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"
L'etichetta personalizzata funziona nel seguente modo:
Google SecOps importa continuamente log ed eventi di rete nei suoi
la tecnologia UDM. Quando viene importato un evento DHCP, Google SecOps controlla se corrisponde ai criteri dell'etichetta personalizzata. Se il campo metadata.event\_type
è NETWORK\_DHCP
e il campo principal.ip
(l'indirizzo IP del dispositivo che richiede il lease DHCP) è 10.0.0.1
, Google SecOps applica l'etichetta personalizzata all'evento.
Puoi utilizzare l'etichetta Attività DHCP sospetta per creare un ambito e assegnare l'ambito agli utenti pertinenti. L'assegnazione dell'ambito ti consente di limitare l'accesso a questi eventi per utenti o ruoli specifici all'interno della tua organizzazione.
Requisiti e limitazioni delle etichette
- I nomi delle etichette devono essere univoci e possono avere una lunghezza massima di 63 caratteri. Possono contenere solo lettere minuscole, caratteri numerici e trattini. Loro non possono essere riutilizzati dopo l'eliminazione.
- Le etichette non possono utilizzare elenchi di riferimento.
- Le etichette non possono utilizzare campi di arricchimento.
Creare un'etichetta personalizzata
Per creare un'etichetta personalizzata:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Etichette personalizzate, fai clic su Crea etichetta personalizzata.
Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.
Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.
Fai clic su Crea etichetta.
Nella finestra Crea etichetta, seleziona Salva come nuova etichetta e inserisci la il nome e la descrizione dell'etichetta.
Fai clic su Crea etichetta.
Viene creata una nuova etichetta personalizzata. Durante l'importazione dei dati, questa etichetta viene applicata ai dati corrispondenti alla query UDM. L'etichetta non viene applicata ai dati già importati.
Modifica etichetta personalizzata
Puoi modificare solo la descrizione dell'etichetta e la query associata a un'etichetta. Impossibile aggiornare i nomi delle etichette. Quando modifichi un'etichetta personalizzata, le modifiche vengono applicata solo ai nuovi dati e non a quelli già importati.
Per modificare un'etichetta:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Etichette personalizzate, fai clic su
Menu accanto all'etichetta che vuoi modificare e seleziona Modifica.Nella finestra Ricerca UDM, aggiorna la query e fai clic su Esegui ricerca.
Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.
Fai clic su Salva modifiche.
L'etichetta personalizzata viene modificata.
Eliminare l'etichetta personalizzata
L'eliminazione di un'etichetta impedisce l'associazione di nuovi dati. Dati che vengono l'etichetta già associata rimane associata all'etichetta. Dopo l'eliminazione, non puoi recuperare l'etichetta personalizzata o riutilizzare il nome dell'etichetta per creare nuove etichette.
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Etichette personalizzate, fai clic sulla
Menu per l'etichetta da eliminare e seleziona Elimina.Fai clic su Elimina.
Nella finestra di conferma, fai clic su Conferma.
L'etichetta personalizzata è stata eliminata.
Visualizza etichetta personalizzata
Per visualizzare i dettagli di un'etichetta personalizzata:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Etichette personalizzate, fai clic su
Menu accanto all'etichetta che vuoi modificare e seleziona Visualizza.Vengono visualizzati i dettagli dell'etichetta.
Creare e gestire gli ambiti
Puoi creare e gestire gli ambiti dei dati all'interno dell'interfaccia utente di Google SecOps e poi assegnarli a utenti o gruppi tramite IAM. Puoi creare un ambito applicando etichette che definiscono i dati a cui un utente con l'ambito ha accesso.
Creare ambiti
Per creare un ambito:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Ampi dello spettro, fai clic su Crea ambito.
Nella finestra Crea nuovo ambito, procedi nel seguente modo:
Inserisci Nome ambito e Descrizione.
In Definisci l'accesso all'ambito con le etichette > Consenti l'accesso:
Per selezionare le etichette e i valori corrispondenti da concedere l'accesso agli utenti, fai clic su Consenti determinate etichette.
In una definizione di ambito, le etichette dello stesso tipo (ad es. tipo di log) vengono combinate utilizzando l'operatore OR, mentre le etichette di tipi diversi (ad es. tipo di log e spazio dei nomi) vengono combinate utilizzando l'operatore AND. Per saperne di più su come le etichette definiscono l'accesso ai dati negli ambiti, consulta Visibilità dei dati con le etichette Consenti e Nega.
Per concedere l'accesso a tutti i dati, seleziona Consenti l'accesso a tutte.
Per escludere l'accesso ad alcune etichette, seleziona Escludi determinate etichette, poi seleziona il tipo di etichetta e i valori corrispondenti che vuoi rifiutare utenti a cui accedono.
Quando più etichette di negazione dell'accesso vengono applicate all'interno di un ambito, l'accesso viene rifiutati se corrispondono a una di queste etichette.
Fai clic su Testa ambito per verificare in che modo le etichette vengono applicate all'ambito.
Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.
Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.
Fai clic su Crea ambito.
Nella finestra Crea ambito, conferma il nome e la descrizione dell'ambito e fai clic su Crea ambito.
L'ambito viene creato. Devi assegnare l'ambito agli utenti per dare loro l'accesso ai dati inclusi nell'ambito.
Modifica ambito
Puoi modificare solo la descrizione dell'ambito e le etichette associate. I nomi di ambito non possono essere aggiornati. Dopo aver aggiornato un ambito, gli utenti associati all'ambito sono limitate secondo le nuove etichette. Le regole associate all'ambito non vengono nuovamente associate a quello aggiornato.
Per modificare un ambito:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Ampi dello spettro, fai clic su
Menu corrispondente all'ambito da modificare e seleziona Modifica.Fai clic su
Modifica per modificare la descrizione dell'ambito.Nella sezione Definire l'accesso a livello di ambito con le etichette, aggiorna le etichette e i relativi valori in base alle esigenze.
Fai clic su Testa ambito per verificare in che modo le nuove etichette vengono applicate all'ambito.
Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.
Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.
Fai clic su Salva modifiche.
L'ambito è stato modificato.
Elimina ambito
Quando un ambito viene eliminato, gli utenti non hanno accesso ai dati associati. Dopo l'eliminazione, il nome dell'ambito non può essere riutilizzato per creare nuovi ambiti.
Per eliminare un ambito:
Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.
Nella scheda Ampi dello spettro, fai clic su
Menu accanto all'ambito che vuoi eliminare.Fai clic su Elimina.
Nella finestra di conferma, fai clic su Conferma.
L'ambito viene eliminato.
Visualizza ambito
Per visualizzare i dettagli dell'ambito:
Fai clic su Impostazioni > Accesso ai dati.
Nella scheda Ampi dello spettro, fai clic su
Menu accanto all'ambito che vuoi visualizzare e seleziona Visualizza.
Vengono visualizzati i dettagli dell'ambito.
Assegna l'ambito agli utenti
L'assegnazione dell'ambito è necessaria per controllare l'accesso ai dati per gli utenti con autorizzazioni limitate. L'assegnazione di ambiti specifici agli utenti determina i dati con cui possono interagire e che possono visualizzare. Quando a un utente vengono assegnati più ambiti, viene concesso l'accesso ai dati combinati di tutti questi ambiti. Puoi assegnare gli ambiti appropriati per gli utenti che hanno bisogno di un accesso globale, in modo che gli utenti possano visualizzare e interagire con tutti i dati. Per assegnare ambiti a un utente:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona il progetto associato a Google SecOps.
Fai clic su
Concedi accesso.Nel campo Nuove entità, aggiungi il tuo identificatore entità come segue:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
Nel menu Assegna ruoli > Seleziona un ruolo, seleziona il ruolo richiesto. Fai clic su Aggiungi un altro ruolo per aggiungere più ruoli. Per sapere quali ruoli devono essere aggiunti, consulta Ruoli utente.
Per assegnare un ambito all'utente, aggiungi condizioni al ruolo Accesso ai dati con limitazioni di Chronicle assegnato all'utente (non si applica ai ruoli di accesso globale).
Fai clic su Aggiungi condizione IAM per Ruolo Accesso ai dati limitato di Chronicle. Viene visualizzata la finestra Aggiungi condizione.
Inserisci il titolo della condizione e la descrizione facoltativa.
Aggiungi l'espressione della condizione.
Puoi aggiungere un'espressione di condizione utilizzando il Generatore di condizioni o l'Editor delle condizioni.
Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili all'espressione. Aggiungi le condizioni in base alle tue esigenze utilizzando gli operatori OR. Per aggiungere ambiti al ruolo, consigliamo quanto segue:
Seleziona Nome in Tipo di condizione, Termina con in Operatore, e digita
/<scopename>
in Valore.Per assegnare più ambiti, aggiungi altre condizioni utilizzando l'operatore OR. Puoi aggiungere fino a 12 condizioni per ogni associazione dei ruoli. Per aggiungere più di 12 condizioni, crea più associazioni di ruoli e aggiungi fino a 12 condizioni a ciascuna di queste associazioni.
Per saperne di più sulle condizioni, consulta Panoramica delle condizioni IAM.
Fai clic su Salva.
L'editor delle condizioni fornisce un'interfaccia di testo per inserire manualmente un utilizzando la sintassi CEL.
Inserisci la seguente espressione:
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
Fai clic su Run Linter (Esegui Linter) per convalidare la sintassi CEL.
Fai clic su Salva.
Nota:le associazioni di ruoli condizionali non sostituiscono le associazioni di ruoli senza le condizioni di traffico. Se un'entità è associata a un ruolo e l'associazione di ruoli non ha una condizione, l'entità avrà sempre quel ruolo. L'aggiunta dell'entità a un'associazione condizionale per lo stesso ruolo non ha alcun effetto.
Fai clic su Testa modifiche per vedere in che modo le modifiche influiscono sull'accesso degli utenti a i dati.
Fai clic su Salva.
Ora gli utenti possono accedere ai dati associati agli ambiti.