Configura el RBAC de datos para los usuarios
En esta página, se describe cómo el control de acceso basado en roles de datos (RBAC de datos) pueden configurar el RBAC de datos en Google Security Operations. A través de la creación y asignación de permisos de datos, que se definen por etiquetas puedes garantizar que solo los usuarios autorizados puedan acceder a los datos.
El RBAC de datos se basa en IAM conceptos como roles predefinidos, roles personalizados, y las condiciones de IAM.
La siguiente es una descripción general de alto nivel del proceso de configuración:
Planificar la implementación: Identifica los diferentes tipos de datos que deseas. para restringir el acceso de los usuarios. Identifica los diferentes roles dentro de de tu organización y determinar los requisitos de acceso a los datos para cada rol.
Opcional: Crear etiquetas personalizadas: Crea etiquetas personalizadas (además del etiquetas predeterminadas) para categorizar tus datos.
Crea permisos de datos: Define los alcances combinando etiquetas relevantes.
Asignar permisos a los usuarios: Asigna permisos a los roles de usuario en IAM. en función de sus responsabilidades.
Antes de comenzar
Para comprender los conceptos básicos del RBAC de datos, los diferentes tipos de acceso y las los correspondientes roles de usuario, el funcionamiento de las etiquetas y los alcances, y el impacto de RBAC de datos en las funciones de Google SecOps, consulta Descripción general del RBAC de datos.
Integra tu instancia de Google SecOps. Para obtener más información, consulta Integra o migra una instancia de Google Security Operations.
Asegúrate de tener los roles requeridos.
Cómo crear y administrar etiquetas personalizadas
Las etiquetas personalizadas son metadatos que puedes agregar a la SIEM transferida Datos de Google SecOps para categorizar y organizar según valores normalizados de UDM.
Por ejemplo, supongamos que deseas supervisar la actividad de red. Quieres hacer un seguimiento Eventos del protocolo de configuración dinámica de host (DHCP) de una dirección IP específica (10.0.0.1) que sospechas que puede estar comprometida.
Para filtrar e identificar estos eventos específicos, puedes crear una etiqueta personalizada con el nombre Actividad de DHCP sospechosa con la siguiente definición:
metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"
La etiqueta personalizada funciona de la siguiente manera:
Google SecOps transfiere continuamente los registros y eventos de red a su
UDM. Cuando se transfiere un evento DHCP, Google SecOps verifica si
coincide con los criterios de la etiqueta personalizada. Si el campo metadata.event\_type es
NETWORK\_DHCP y si el campo principal.ip (la dirección IP del dispositivo)
solicita la asignación de tiempo de DHCP) es 10.0.0.1, Google SecOps aplica la
etiqueta personalizada del evento.
Puedes usar la etiqueta Actividad de DHCP sospechosa para crear un alcance y asignar el alcance a los usuarios relevantes. La asignación de permisos te permite restringir el acceso a estos eventos a usuarios o roles específicos dentro de tu organización.
Requisitos y limitaciones de las etiquetas
- Los nombres de etiquetas deben ser únicos y pueden tener una longitud máxima de 63 caracteres. Solo pueden contener letras minúsculas, caracteres numéricos y guiones. Ellas no se puede volver a usar después de la eliminación.
- Las etiquetas no pueden usar listas de referencia.
- Las etiquetas no pueden usar campos de enriquecimiento.
Crear etiqueta personalizada
Para crear una etiqueta personalizada, haz lo siguiente:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Etiquetas personalizadas, haz clic en Crear etiqueta personalizada.
En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.
Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que se muestren los resultados. los datos que quieres etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de UDM.
Haz clic en Crear etiqueta.
En la ventana Crear etiqueta, selecciona Guardar como etiqueta nueva y, luego, ingresa el nombre y la descripción de la etiqueta.
Haz clic en Crear etiqueta.
Se creó una nueva etiqueta personalizada. Durante la transferencia de datos, esta etiqueta se aplica a los datos que coinciden con la consulta de UDM. La etiqueta no se aplica a los datos que se que ya se transfirieron.
Modificar etiqueta personalizada
Solo puedes modificar la descripción de la etiqueta y la consulta asociada a ella. No se pueden actualizar los nombres de las etiquetas. Cuando modificas una etiqueta personalizada, los cambios se solo se aplican a los datos nuevos y no a los que ya se transfirieron.
Para modificar una etiqueta, haz lo siguiente:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Etiquetas personalizadas, haz clic en . Menú junto a la etiqueta que deseas editar y selecciona Editar.
En la ventana UDM Search, actualiza tu consulta y haz clic en Run Search.
Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que se muestren los resultados. los datos que quieres etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de UDM.
Haz clic en Guardar cambios.
Se modificó la etiqueta personalizada.
Borrar etiqueta personalizada
Borrar una etiqueta impide que se asocien nuevos datos con ella. Datos que son ya asociados a la etiqueta permanecen asociados con la etiqueta. Después del no podrás recuperar la etiqueta personalizada ni reutilizar el nombre de la etiqueta para crear etiquetas nuevas.
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Etiquetas personalizadas, haz clic en el ícono . En Menú, selecciona la etiqueta que quieres borrar y selecciona Borrar.
Haz clic en Borrar.
En la ventana de confirmación, haz clic en Confirmar.
Se elimina la etiqueta personalizada.
Ver etiqueta personalizada
Para ver los detalles de una etiqueta personalizada, sigue estos pasos:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Etiquetas personalizadas, haz clic en . Menú junto a la etiqueta que deseas editar y selecciona Ver.
Se muestran los detalles de la etiqueta.
Crea y administra permisos
Puedes crear y administrar permisos de datos en la cuenta de usuario de Google SecOps. y, luego, asignar esos permisos a usuarios o grupos a través de IAM. Puedes crear un permiso aplicando etiquetas que definan los datos que un usuario a los que tiene acceso el permiso.
Crea permisos
Para crear un permiso, haz lo siguiente:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Permisos, haz clic en Crear alcance.
En la ventana Create new scope, haz lo siguiente:
Ingresa el Nombre del permiso y la Descripción.
En Define el acceso al permiso con etiquetas > Para permitir el acceso, haz lo siguiente:
Para seleccionar las etiquetas y sus valores correspondientes que deseas para otorgar acceso a los usuarios, haz clic en Permitir ciertas etiquetas.
En una definición de permiso, etiquetas del mismo tipo (por ejemplo, tipo de registro) se combinan con el operador OR, mientras que las etiquetas de distintos tipos (por ejemplo, tipo de registro y espacio de nombres) se combinan usando el operador Y como "autor" y "título" usando un operador lógico. Para obtener más información sobre cómo las etiquetas definen el acceso a los datos en consulta Visibilidad de los datos con etiquetas de permiso y denegación.
Para otorgar acceso a todos los datos, selecciona Permitir el acceso a todo.
Para excluir el acceso a algunas etiquetas, selecciona Excluir ciertas etiquetas y, luego, selecciona el tipo de etiqueta y los valores correspondientes que quieres rechazar a los que los usuarios tienen acceso.
Cuando se aplican varias etiquetas de denegación de acceso dentro de un permiso, el acceso se se rechazan si coinciden con cualquiera de esas etiquetas.
Haz clic en Probar alcance para verificar cómo se aplican las etiquetas al alcance.
En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.
Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que se muestren los resultados. los datos que quieres etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de UDM.
Haz clic en Crear alcance.
En la ventana Crear alcance, confirma el nombre y la descripción del alcance. y haz clic en Crear alcance.
Se crea el permiso. Debes asignar el permiso a los usuarios para otorgarles acceso a los datos en el alcance.
Modifica el permiso
Solo puedes modificar la descripción del alcance y las etiquetas asociadas. Nombres de los permisos no se puede actualizar. Después de actualizar un permiso, los usuarios asociados con él están restringidas según las nuevas etiquetas. Las reglas que están vinculadas al permiso son no vuelven a coincidir con el actualizado.
Para modificar un permiso, haz lo siguiente:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Permisos, haz clic en . Menú que corresponde al alcance que deseas editar y selecciona Editar.
Haz clic en Editar para editar el permiso. descripción.
En la sección Define el acceso al permiso con etiquetas, actualiza las etiquetas y sus valores correspondientes según sea necesario.
Haz clic en Probar alcance para verificar cómo se aplican las etiquetas nuevas al alcance.
En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.
Puedes definir mejor la consulta y hacer clic en Ejecutar búsqueda hasta que se muestren los resultados. los datos que quieres etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de UDM.
Haz clic en Guardar cambios.
Se modifica el alcance.
Borra el permiso
Cuando se borra un permiso, los usuarios no tienen acceso a los datos asociados con el alcance. Después de la eliminación, el nombre del permiso no se puede volver a usar para crear permisos nuevos.
Para borrar un permiso, haz lo siguiente:
Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.
En la pestaña Permisos, haz clic en . Menu según el alcance que quieras borrar.
Haz clic en Borrar.
En la ventana de confirmación, haz clic en Confirmar.
Se borró el permiso.
Ver permiso
Para ver los detalles del permiso, haz lo siguiente:
Haz clic en Configuración > Acceso a los datos.
En la pestaña Permisos, haz clic en . Menu según el alcance que deseas ver y selecciona View.
Se muestran los detalles del alcance.
Asignar alcance a los usuarios
La asignación de alcance es obligatoria para controlar el acceso a los datos para los usuarios con permisos restringidos. La asignación de permisos específicos a los usuarios determina los datos que los usuarios pueden ver y con los que pueden interactuar. Cuando a un usuario se le asignan varios alcances, obtienen acceso a los datos combinados de todos esos ámbitos. Puedes asignar el alcances adecuados a los usuarios que necesitan acceso global para que los usuarios puedan ver e interactuar con todos los datos. Para asignar permisos a un usuario, haz lo siguiente:
En la consola de Google Cloud, ve a la página IAM.
Selecciona el proyecto vinculado a Google SecOps.
Haz clic en Grant access.
En el campo Principales nuevas, agrega tu identificador de principales. de la siguiente manera:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
En Asignar roles > En el menú Selecciona un rol, selecciona el rol requerido. Haz clic en Agregar otro rol para agregar varios roles. Para entender qué roles necesitan consulta Roles de usuario.
Para asignar un permiso al usuario, agrega condiciones a Chronicle Restricted Rol de acceso a los datos asignado al usuario (no se aplica al acceso global) roles).
Haz clic en Agregar condición de IAM junto al Rol de acceso restringido a los datos de Chronicle. Aparecerá la ventana Agregar condición.
Ingresa el título de la condición y la descripción opcional.
Agrega la expresión de condición.
Puedes agregar una expresión de condición con el Creador de condiciones. o en el Editor de condiciones.
El creador de condiciones ofrece una interfaz interactiva para seleccionar los el tipo de condición, el operador y otros detalles aplicables sobre la expresión. Agrega las condiciones según tus requisitos con los operadores OR. Para agregar permisos para el rol, te recomendamos lo siguiente:
Selecciona Nombre en Tipo de condición, Termina con en Operador, y escribe
/<scopename>en Valor.Para asignar varios permisos, agrega más condiciones con el operador OR. Puedes agregar hasta 12 condiciones para cada vinculación de función. Para agregar más de 12 crear varias vinculaciones de roles y agregar hasta 12 condiciones cada una de estas vinculaciones.
Para obtener más información sobre las condiciones, consulta Descripción general de las condiciones de IAM.
Haz clic en Guardar.
El editor de condiciones ofrece una interfaz basada en texto para ingresar manualmente una con la sintaxis CEL.
Ingresa la siguiente expresión:
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
Haz clic en Ejecutar lint para validar la sintaxis de CEL.
Haz clic en Guardar.
Nota: Las vinculaciones de roles condicionales no anulan las vinculaciones de roles conditions. Si un miembro está vinculado a una función y la vinculación de función no tiene una condición, la principal siempre tiene esa función. Agregando la principal a una vinculación condicional para el mismo rol no tiene efecto.
Haz clic en Probar cambios para ver cómo tus cambios afectan el acceso de los usuarios a los datos.
Haz clic en Guardar.
Ahora los usuarios pueden acceder a los datos asociados con los permisos.