Configurare il RBAC dei dati per gli utenti

Questa pagina descrive in che modo gli amministratori del controllo degli accessi basato su ruoli per i dati (RBAC dei dati) possono configurare il RBAC dei dati in Google Security Operations. Con la creazione e l'assegnazione di ambiti dei dati, definiti dalle etichette, puoi assicurarti che i dati siano accessibili solo agli utenti autorizzati.

Il RBAC dei dati si basa su concetti di IAM, tra cui ruoli predefiniti, ruoli personalizzati e condizioni IAM.

Di seguito è riportata una panoramica generale della procedura di configurazione:

1. Pianifica l'implementazione: identifica i diversi tipi di dati a cui vuoi limitare l'accesso degli utenti. Identifica i diversi ruoli all'interno della tua organizzazione e determina i requisiti di accesso ai dati per ciascun ruolo.

2. Facoltativo: crea etichette personalizzate:crea etichette personalizzate (oltre alle etichette predefinite) per classificare i dati.

3. Crea ambiti di dati:definisci gli ambiti combinando le etichette pertinenti.

4. Assegna ambiti agli utenti:assegna gli ambiti ai ruoli utente in IAM in base alle loro responsabilità.

Quando il RBAC dei dati viene attivato per la prima volta, a regole, elenchi di riferimento e tabelle di dati non vengono assegnati ambiti. Solo gli utenti con accesso globale hanno accesso ai dati. Per impostazione predefinita, gli utenti con ambito non hanno accesso a nessun dato. In questo modo viene impedito l'accesso indesiderato e viene garantito un punto di partenza sicuro. Per concedere l'accesso, definisci gli ambiti e assegnali a utenti, regole ed elenchi di riferimento in base alle tue esigenze.

Prima di iniziare

• Per comprendere i concetti fondamentali del RBAC dei dati, i diversi tipi di accesso e i ruoli utente corrispondenti, il funzionamento di etichette e ambiti e l'impatto del RBAC dei dati sulle funzionalità di SecOps di Google, consulta la Panoramica del RBAC dei dati.

• Esegui l'onboarding dell'istanza Google SecOps. Per ulteriori informazioni, vedi Eseguire l'onboarding o la migrazione di un'istanza di Google Security Operations.

• Assicurati di disporre dei ruoli richiesti.

• Il RBAC dei dati non è abilitato per impostazione predefinita. Per attivare il RBAC dei dati, contatta l'assistenza di Google SecOps.

Creare e gestire etichette personalizzate

Le etichette personalizzate sono metadati che puoi aggiungere ai dati di Google SecOps importati nel SIEM per classificarli e organizzarli in base ai valori normalizzati UDM.

Ad esempio, supponiamo che tu voglia monitorare l'attività di rete. Vuoi monitorare gli eventi DHCP (Dynamic Host Configuration Protocol) da un indirizzo IP specifico (10.0.0.1) che sospetti possa essere compromesso.

Per filtrare e identificare questi eventi specifici, puoi creare un'etichetta personalizzata con il nome Attività DHCP sospetta con la seguente definizione:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

L'etichetta personalizzata funziona nel seguente modo:

Google SecOps importa continuamente log ed eventi di rete nel suo UDM. Quando viene importato un evento DHCP, Google SecOps controlla se corrisponde ai criteri dell'etichetta personalizzata. Se il campo metadata.event_type è NETWORK_DHCP e il campo principal.ip (l'indirizzo IP del dispositivo che richiede il lease DHCP) è 10.0.0.1, Google SecOps applica l'etichetta personalizzata all'evento.

Puoi utilizzare l'etichetta Attività DHCP sospetta per creare un ambito e assegnarlo agli utenti pertinenti. L'assegnazione dell'ambito ti consente di limitare l'accesso a questi eventi a utenti o ruoli specifici all'interno della tua organizzazione.

Requisiti e limitazioni delle etichette

• I nomi delle etichette devono essere univoci e possono avere una lunghezza massima di 63 caratteri. Possono contenere solo lettere minuscole, caratteri numerici e trattini. Non possono essere riutilizzati dopo l'eliminazione.
• Le etichette non possono utilizzare elenchi di riferimento.
• Le etichette non possono utilizzare i campi di arricchimento.
• Le etichette non supportano le espressioni regolari.

Creare un'etichetta personalizzata

Per creare un'etichetta personalizzata:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su Crea etichetta personalizzata.

4. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.

5. Fai clic su Crea etichetta.

6. Nella finestra Crea etichetta, seleziona Salva come nuova etichetta e inserisci il nome e la descrizione dell'etichetta.

7. Fai clic su Crea etichetta.

   Viene creata una nuova etichetta personalizzata. Durante l'importazione dei dati, questa etichetta viene applicata ai dati corrispondenti alla query UDM. L'etichetta non viene applicata ai dati già importati.

Modificare etichetta personalizzata

Puoi modificare solo la descrizione dell'etichetta e la query associata a un'etichetta. I nomi delle etichette non possono essere aggiornati. Quando modifichi un'etichetta personalizzata, le modifiche vengono applicate solo ai nuovi dati e non a quelli già importati.

Per modificare un'etichetta:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su more_vert Menu accanto all'etichetta che vuoi modificare e seleziona Modifica.

4. Nella finestra Ricerca UDM, aggiorna la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.

5. Fai clic su Salva modifiche.

L'etichetta personalizzata viene modificata.

Eliminare l'etichetta personalizzata

L'eliminazione di un'etichetta impedisce l'associazione di nuovi dati. I dati già associati all'etichetta rimangono associati all'etichetta. Dopo l'eliminazione, non puoi recuperare l'etichetta personalizzata o riutilizzare il nome dell'etichetta per creare nuove etichette.

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic sul more_vert Menu dell'etichetta che vuoi eliminare e seleziona Elimina.

3. Fai clic su Elimina.

4. Nella finestra di conferma, fai clic su Conferma.

L'etichetta personalizzata viene eliminata.

Visualizza etichetta personalizzata

Per visualizzare i dettagli di un'etichetta personalizzata:

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic su more_vert Menu accanto all'etichetta che vuoi modificare e seleziona Visualizza.

   Vengono visualizzati i dettagli dell'etichetta.

Creare e gestire gli ambiti

Puoi creare e gestire gli ambiti dei dati all'interno dell'interfaccia utente di Google SecOps e poi assegnarli a utenti o gruppi tramite IAM. Puoi creare un ambito applicando etichette che definiscono i dati a cui un utente con l'ambito ha accesso.

Creare ambiti

Per creare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ampi dello spettro, fai clic su Crea ambito.

4. Nella finestra Crea nuovo ambito, procedi nel seguente modo:

   1. Inserisci Nome ambito e Descrizione.

   2. In Definisci l'accesso a livello di ambito con le etichette > Consenti l'accesso, segui questi passaggi:

      • Per selezionare le etichette e i relativi valori a cui vuoi concedere l'accesso agli utenti, fai clic su Consenti determinate etichette.

        In una definizione di ambito, le etichette dello stesso tipo (ad es. tipo di log) vengono combinate utilizzando l'operatore OR, mentre le etichette di tipi diversi (ad es. tipo di log e spazio dei nomi) vengono combinate utilizzando l'operatore AND. Per saperne di più su come le etichette definiscono l'accesso ai dati negli ambiti, consulta Visibilità dei dati con le etichette Consenti e Nega.

      • Per concedere l'accesso a tutti i dati, seleziona Consenti l'accesso a tutti i dati.

   3. Per escludere l'accesso ad alcune etichette, seleziona Escludi determinate etichette, quindi il tipo di etichetta e i valori corrispondenti a cui vuoi negare l'accesso agli utenti.

      Quando in un ambito vengono applicate più etichette di rifiuto dell'accesso, l'accesso viene negato se corrisponde a una qualsiasi di queste etichette.

   4. Fai clic su Testa ambito per verificare in che modo le etichette vengono applicate all'ambito.

   5. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

      Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.

   6. Fai clic su Crea ambito.

   7. Nella finestra Crea ambito, conferma il nome e la descrizione dell'ambito e fai clic su Crea ambito.

L'ambito è stato creato. Devi assegnare l'ambito agli utenti per dare loro l'accesso ai dati inclusi nell'ambito.

Modifica ambito

Puoi modificare solo la descrizione dell'ambito e le etichette associate. I nomi di ambito non possono essere aggiornati. Dopo aver aggiornato un ambito, gli utenti associati all'ambito sono limitati in base alle nuove etichette. Le regole associate all'ambito non vengono nuovamente associate a quello aggiornato.

Per modificare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ampi dello spettro, fai clic su more_vert Menu corrispondente all'ambito da modificare e seleziona Modifica.

4. Fai clic su edit Modifica per modificare la descrizione dell'ambito.

5. Nella sezione Definire l'accesso a livello di ambito con le etichette, aggiorna le etichette e i relativi valori in base alle esigenze.

6. Fai clic su Testa ambito per verificare in che modo le nuove etichette vengono applicate all'ambito.

7. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Eseguire una ricerca UDM.

8. Fai clic su Salva modifiche.

L'ambito viene modificato.

Elimina ambito

Quando un ambito viene eliminato, gli utenti non hanno accesso ai dati associati. Dopo l'eliminazione, il nome dell'ambito non può essere riutilizzato per creare nuovi ambiti.

Per eliminare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ampi dello spettro, fai clic su more_vert Menu accanto all'ambito che vuoi eliminare.

4. Fai clic su Elimina.

5. Nella finestra di conferma, fai clic su Conferma.

L'ambito viene eliminato.

Visualizza ambito

Per visualizzare i dettagli dell'ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Accesso ai dati.

3. Nella scheda Ampiamenti, fai clic su more_vert Menu accanto all'ambito che vuoi visualizzare e seleziona Visualizza.

Vengono visualizzati i dettagli dell'ambito.

Assegnare l'ambito agli utenti

L'assegnazione dell'ambito è necessaria per controllare l'accesso ai dati per gli utenti con autorizzazioni limitate. L'assegnazione di ambiti specifici agli utenti determina i dati con cui possono interagire e che possono visualizzare. Quando a un utente vengono assegnati più ambiti, viene concesso l'accesso ai dati combinati di tutti questi ambiti. Puoi assegnare gli ambiti appropriati agli utenti che richiedono l'accesso globale in modo che possano visualizzare e interagire con tutti i dati. Per assegnare gli ambiti a un utente:

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona il progetto associato a Google SecOps.

3. Fai clic su person_add Concedi accesso.

4. Nel campo Nuove entità:

   1. Se utilizzi la federazione delle identità della forza lavoro o qualsiasi altra autenticazione di terze parti, aggiungi il tuo identificatore principale come segue:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Sostituisci quanto segue:

      • POOL_ID: l'identificatore del pool creato per il tuo provider di identità.
      • USER_EMAIL: l'indirizzo email dell'utente.

   2. Se utilizzi Cloud Identity o Google Workspace, aggiungi il tuo identificatore principale come segue:

      user:USER_EMAIL

      Sostituisci quanto segue:

      • USER_EMAIL: l'indirizzo email dell'utente.

5. Nel menu Assegna i ruoli > Seleziona un ruolo, seleziona il ruolo richiesto. Fai clic su Aggiungi un altro ruolo per aggiungere più ruoli. Per sapere quali ruoli devono essere aggiunti, consulta Ruoli utente.

6. Per assegnare un ambito all'utente, aggiungi condizioni al ruolo Accesso ai dati con limitazioni di Chronicle assegnato all'utente (non si applica ai ruoli di accesso globale).

   1. Fai clic su Aggiungi condizione IAM per il ruolo Accesso ai dati con limitazioni di Chronicle. Viene visualizzata la finestra Aggiungi condizione.

   2. Inserisci il titolo della condizione e la descrizione facoltativa.

   3. Aggiungi l'espressione della condizione.

      Puoi aggiungere un'espressione di condizione utilizzando il Generatore di condizioni o l'Editor delle condizioni.

      Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili all'espressione. I seguenti operatori ti consentono di creare regole precise per controllare l'accesso a più ambiti con una singola condizione IAM:

   • ENDS_WITH: controlla se il nome dell'ambito termina con una parola specifica. Per trovare una corrispondenza esatta della parola, aggiungi un / prima della parola.

     Prendiamo in considerazione un ambito di accesso ai dati di esempio denominato projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename corrisponde al nome esatto e viene valutato come true per l'ambito di esempio.

     • ENDS_WITH scopename corrisponde a qualsiasi nome che termina con "scopename" e viene valutato come true per l'ambito di esempio e anche per projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

   • STARTS_WITH: verifica se il nome dell'ambito inizia con una parola specifica. Ad esempio, STARTS_WITH projects/project1 concede l'accesso a tutti gli ambiti all'interno di "project1".

   • EQUALS_TO: verifica se il nome corrisponde esattamente a una parola o una frase specifica. In questo modo viene concesso l'accesso a un solo ambito. Ad esempio, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename viene valutato come true per l'ambito dell'esempio.

   Per aggiungere ambiti al ruolo, ti consigliamo quanto segue:

   1. Seleziona Nome in Tipo di condizione, l'operatore in Operatore e inserisci il nome dell'ambito in Valore.

      /<scopename>

   2. Per assegnare più ambiti, aggiungi altre condizioni utilizzando l'operatore OR. Puoi aggiungere fino a 12 condizioni per ogni associazione di ruolo. Per aggiungere più di 12 condizioni, crea più associazioni di ruoli e aggiungi fino a 12 condizioni a ciascuna di queste associazioni.

      Per ulteriori informazioni sulle condizioni, consulta la Panoramica delle condizioni IAM.

   3. Fai clic su Salva.

      L'editor delle condizioni fornisce un'interfaccia basata su testo per inserire manualmente un'espressione utilizzando la sintassi CEL.

   4. Inserisci la seguente espressione:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Fai clic su Esegui linting per convalidare la sintassi CEL.

   6. Fai clic su Salva.

7. Fai clic su Testa modifiche per vedere in che modo le modifiche influiscono sull'accesso degli utenti ai dati.

8. Fai clic su Salva.

Ora gli utenti possono accedere ai dati associati agli ambiti.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.