Configurare RBAC dei dati per gli utenti

In questa pagina viene descritto il controllo dell'accesso basato sui ruoli dei dati (RBAC dei dati) Gli amministratori possono configurare il RBAC dei dati in Google Security Operations. Tramite la creazione e l'assegnazione di ambiti dei dati, definiti da etichette, puoi assicurarti che i dati siano accessibili solo agli utenti autorizzati.

Data RBAC si basa su IAM concetti quali ruoli predefiniti, ruoli personalizzati e le condizioni IAM.

Di seguito è riportata una panoramica generale del processo di configurazione:

1. Pianifica l'implementazione: identifica i diversi tipi di dati che vuoi per limitare l'accesso degli utenti. Identifica i diversi ruoli all'interno organizzazione e determinare i requisiti di accesso ai dati per ciascun ruolo.

2. (Facoltativo) Crea etichette personalizzate: crea etichette personalizzate (oltre alle etichette predefinite) per classificare i dati.

3. Crea ambiti di dati: definisci gli ambiti combinando le etichette pertinenti.

4. Assegna ambiti agli utenti: assegna gli ambiti ai ruoli utente in IAM in base alle loro responsabilità.

Prima di iniziare

• Per comprendere i concetti fondamentali di RBAC dei dati, i diversi tipi di accesso e i ruoli utente corrispondenti, il funzionamento di etichette e ambiti e l'impatto RBAC di dati sulle funzionalità di Google SecOps, consulta Panoramica di RBAC di dati.

• Esegui l'onboarding dell'istanza Google SecOps. Per ulteriori informazioni, consulta Operazioni preliminari o migrazione di un'istanza di Google Security Operations.

• Assicurati di disporre dei ruoli richiesti.

Creare e gestire etichette personalizzate

Le etichette personalizzate sono metadati che puoi aggiungere alla piattaforma SIEM importata Dati di Google SecOps per classificare e organizzare sulla base di valori normalizzati UDM.

Ad esempio, considera di voler monitorare l'attività di rete. Vuoi monitorare Eventi DHCP (Dynamic Host Configuration Protocol) da un indirizzo IP specifico (10.0.0.1) che sospetti possa essere stata compromessa.

Per filtrare e identificare questi eventi specifici, puoi creare un'etichetta personalizzata con il nome Attività DHCP sospetta con la seguente definizione:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

L'etichetta personalizzata funziona nel seguente modo:

Google SecOps importa continuamente log ed eventi di rete nei suoi la tecnologia UDM. Quando un evento DHCP viene importato, Google SecOps controlla se che corrispondono ai criteri dell'etichetta personalizzata. Se il campo metadata.event\_type è NETWORK\_DHCP e se il campo principal.ip (l'indirizzo IP del dispositivo che richiede il lease DHCP) è 10.0.0.1, Google SecOps applica un'etichetta personalizzata all'evento.

Puoi utilizzare l'etichetta Attività DHCP sospetta per creare un ambito e assegnare l'ambito agli utenti pertinenti. L'assegnazione dell'ambito ti consente di limitare l'accesso a questi eventi per utenti o ruoli specifici all'interno della tua organizzazione.

Requisiti e limitazioni delle etichette

• I nomi delle etichette devono essere univoci e possono avere una lunghezza massima di 63 caratteri. Possono contenere solo lettere minuscole, caratteri numerici e trattini. Loro non possono essere riutilizzati dopo l'eliminazione.
• Le etichette non possono utilizzare elenchi di riferimento.
• Le etichette non possono utilizzare campi di potenziamento.

Crea etichetta personalizzata

Per creare un'etichetta personalizzata:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su Crea etichetta personalizzata.

4. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

5. Fai clic su Crea etichetta.

6. Nella finestra Crea etichetta, seleziona Salva come nuova etichetta e inserisci la il nome e la descrizione dell'etichetta.

7. Fai clic su Crea etichetta.

   Viene creata una nuova etichetta personalizzata. Questa etichetta viene applicata durante l'importazione dati ai dati che corrispondono alla query UDM. L'etichetta non viene applicata ai dati già importati.

Modifica etichetta personalizzata

Puoi modificare solo la descrizione dell'etichetta e la query associata a un'etichetta. Impossibile aggiornare i nomi delle etichette. Quando modifichi un'etichetta personalizzata, le modifiche vengono applicata solo ai nuovi dati e non a quelli già importati.

Per modificare un'etichetta:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su more_vert. Menu accanto all'etichetta che vuoi modificare e seleziona Modifica.

4. Nella finestra Ricerca UDM, aggiorna la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

5. Fai clic su Salva modifiche.

L'etichetta personalizzata è stata modificata.

Elimina etichetta personalizzata

L'eliminazione di un'etichetta impedisce l'associazione di nuovi dati. Dati che vengono l'etichetta già associata rimane associata all'etichetta. Dopo il giorno eliminazione, non puoi recuperare l'etichetta personalizzata o riutilizzare il nome dell'etichetta per creare nuove etichette.

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic sulla more_vert Menu per l'etichetta da eliminare e seleziona Elimina.

3. Fai clic su Elimina.

4. Nella finestra di conferma, fai clic su Conferma.

L'etichetta personalizzata è stata eliminata.

Visualizza etichetta personalizzata

Per visualizzare i dettagli di un'etichetta personalizzata:

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic su more_vert. Menu accanto all'etichetta che vuoi modificare e seleziona Visualizza.

   Vengono visualizzati i dettagli dell'etichetta.

Crea e gestisci gli ambiti

Puoi creare e gestire gli ambiti dei dati all'interno dell'utente Google SecOps e assegnarli a utenti o gruppi tramite IAM. Puoi creare un ambito applicando etichette che definiscono i dati che un utente a cui ha accesso l'ambito.

Crea ambiti

Per creare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su Crea ambito.

4. Nella finestra Crea nuovo ambito, segui questi passaggi:

   1. Inserisci Nome ambito e Descrizione.

   2. In Definisci l'accesso all'ambito con le etichette > Consenti l'accesso:

      • Per selezionare le etichette e i valori corrispondenti da concedere l'accesso agli utenti, fai clic su Consenti determinate etichette.

        In una definizione di ambito, le etichette dello stesso tipo (ad esempio, tipo di log) vengono combinati usando l'operatore OR, mentre le etichette di tipi diversi (ad esempio, tipo di log e spazio dei nomi) vengono combinati usando l'operatore operatore. Per ulteriori informazioni su come le etichette definiscono l'accesso ai dati in consulta Visibilità dei dati con le etichette di autorizzazione e di negazione.

      • Per concedere l'accesso a tutti i dati, seleziona Consenti l'accesso a tutto.

   3. Per escludere l'accesso ad alcune etichette, seleziona Escludi determinate etichette, poi seleziona il tipo di etichetta e i valori corrispondenti che vuoi rifiutare utenti a cui accedono.

      Quando più etichette di negazione dell'accesso vengono applicate all'interno di un ambito, l'accesso viene rifiutati se corrispondono a una di queste etichette.

   4. Fai clic su Ambito di test per verificare come le etichette vengono applicate all'ambito.

   5. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

      Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

   6. Fai clic su Crea ambito.

   7. Nella finestra Crea ambito, conferma il nome e la descrizione dell'ambito e fai clic su Crea ambito.

L'ambito viene creato. Devi assegnare l'ambito agli utenti per consentire loro di accedere a i dati nell'ambito.

Modifica ambito

Puoi modificare solo la descrizione dell'ambito e le etichette associate. Nomi degli ambiti non possono essere aggiornati. Dopo aver aggiornato un ambito, gli utenti associati all'ambito sono limitate in base alle nuove etichette. Le regole associate all'ambito non viene riassociato a quello aggiornato.

Per modificare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert. Menu corrispondente all'ambito da modificare e seleziona Modifica.

4. Fai clic su edit Modifica per modificare l'ambito o l'audiodescrizione.

5. Nella sezione Definisci l'accesso all'ambito con le etichette, aggiorna le etichette e i valori corrispondenti in base alle esigenze.

6. Fai clic su Ambito di test per verificare in che modo le nuove etichette vengono applicate all'ambito.

7. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché non vengono visualizzati i risultati. i dati che vuoi etichettare. Per ulteriori informazioni sull'esecuzione di una query, consulta Inserire una ricerca UDM.

8. Fai clic su Salva modifiche.

L'ambito è stato modificato.

Elimina ambito

Quando un ambito viene eliminato, gli utenti non hanno accesso ai dati associati l'ambito di applicazione. Dopo l'eliminazione, il nome dell'ambito non può essere riutilizzato per creare nuovi ambiti.

Per eliminare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert. Menu in base all'ambito che vuoi eliminare.

4. Fai clic su Elimina.

5. Nella finestra di conferma, fai clic su Conferma.

L'ambito è stato eliminato.

Visualizza ambito

Per visualizzare i dettagli dell'ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert. Menu in base all'ambito che vuoi visualizzare e seleziona Visualizza.

Vengono visualizzati i dettagli dell'ambito.

Assegna l'ambito agli utenti

L'assegnazione dell'ambito è necessaria per controllare l'accesso ai dati per gli utenti con autorizzazioni limitate. L'assegnazione di ambiti specifici agli utenti determina i dati che possono visualizzare e con cui possono interagire. Quando a un utente vengono assegnati più ambiti, ottengono l'accesso ai dati combinati di tutti questi ambiti. Puoi assegnare gli ambiti appropriati per gli utenti che hanno bisogno di un accesso globale, in modo che gli utenti possano visualizzare e interagire con tutti i dati. Per assegnare ambiti a un utente:

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona il progetto associato a Google SecOps.

3. Fai clic su person_add Concedi l'accesso.

4. Nel campo Nuove entità, aggiungi il tuo identificatore entità come segue:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. In Assegna ruoli > Nel menu Seleziona un ruolo, seleziona quello richiesto. Fai clic su Aggiungi un altro ruolo per aggiungere più ruoli. Per capire quali ruoli devono da aggiungere, consulta Ruoli utente.

6. Per assegnare un ambito all'utente, aggiungi delle condizioni alla colonna Chronicle Restricted Ruolo di accesso ai dati assegnato all'utente (non si applica per l'accesso globale) ruoli).

   1. Fai clic su Aggiungi condizione IAM per Ruolo Accesso ai dati limitato di Chronicle. Viene visualizzata la finestra Aggiungi condizione.

   2. Inserisci il titolo della condizione e la descrizione facoltativa.

   3. Aggiungi l'espressione della condizione.

      Puoi aggiungere un'espressione di condizione utilizzando il Generatore di condizioni o l'editor condizioni.

      Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare tipo di condizione, operatore e altri dettagli applicabili relativi all'espressione. Aggiungi le condizioni in base alle tue esigenze utilizzando gli operatori OR. Per aggiungere ambiti al ruolo, consigliamo quanto segue:

      1. Seleziona Nome in Tipo di condizione, Termina con in Operatore, e digita /<scopename> in Valore.

      2. Per assegnare più ambiti, aggiungi altre condizioni utilizzando l'operatore OR. Puoi aggiungere fino a 12 condizioni per ogni associazione dei ruoli. Per aggiungerne più di 12 creare più associazioni di ruoli e aggiungere fino a 12 condizioni ciascuna di queste associazioni.

      Per saperne di più sulle condizioni, consulta Panoramica delle condizioni IAM.

   4. Fai clic su Salva.

   L'editor delle condizioni fornisce un'interfaccia di testo per inserire manualmente un utilizzando la sintassi CEL.

   1. Inserisci la seguente espressione:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Fai clic su Run Linter (Esegui Linter) per convalidare la sintassi CEL.

   3. Fai clic su Salva.

      Nota:le associazioni di ruoli condizionali non sostituiscono le associazioni di ruoli senza le condizioni di traffico. Se un'entità è associata a un ruolo e l'associazione dei ruoli non hanno una condizione, l'entità ha sempre quel ruolo. Aggiunta in corso... l'entità a un'associazione condizionale per lo stesso ruolo non ha effetto.

7. Fai clic su Testa modifiche per vedere in che modo le modifiche influiscono sull'accesso degli utenti a i dati.

8. Fai clic su Salva.

Ora gli utenti possono accedere ai dati associati agli ambiti.