Configurar o RBAC de dados para usuários

Nesta página, descrevemos como os administradores de controle de acesso baseado em função de dados (RBAC de dados) podem configurar o RBAC de dados nas operações de segurança do Google. Por meio da criação e atribuição de escopos de dados, que são definidos por rótulos, é possível garantir que os dados só sejam acessíveis a usuários autorizados.

O RBAC de dados depende dos conceitos do IAM, incluindo papéis predefinidos, papéis personalizados e condições do IAM.

Confira a seguir uma visão geral de alto nível do processo de configuração:

1. Planeje sua implementação:identifique os diferentes tipos de dados aos quais você quer restringir o acesso dos usuários. Identifique as diferentes funções na sua organização e determine os requisitos de acesso aos dados para cada uma delas.

2. Opcional: crie rótulos personalizados:além dos rótulos padrão, para categorizar seus dados.

3. Criar escopos de dados:defina escopos combinando rótulos relevantes.

4. Atribuir escopos aos usuários: atribua escopos aos papéis do usuário no IAM com base nas responsabilidades deles.

Antes de começar

• Para entender os principais conceitos do RBAC de dados, os diferentes tipos de acesso e as funções de usuário correspondentes, o funcionamento de rótulos e escopos e o impacto do RBAC de dados nos recursos do Google SecOps, consulte Visão geral do RBAC de dados.

• Integre sua instância do Google SecOps. Para mais informações, consulte Como integrar ou migrar uma instância do Google Security Operations.

• Verifique se você tem os papéis necessários.

Criar e gerenciar rótulos personalizados

Os rótulos personalizados são metadados que podem ser adicionados aos dados do Google SecOps ingeridos pelo SIEM para categorizá-los e organizá-los com base em valores normalizados pelo UDM.

Por exemplo, considere que você quer monitorar a atividade da rede. Você quer rastrear eventos do protocolo de configuração de host dinâmico (DHCP, na sigla em inglês) de um endereço IP específico (10.0.0.1) que pode estar comprometido.

Para filtrar e identificar esses eventos específicos, crie um rótulo personalizado com o nome "Atividade suspeita de DHCP" com a seguinte definição:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

O rótulo personalizado funciona da seguinte maneira:

O Google SecOps ingere continuamente registros e eventos de rede no UDM. Quando um evento DHCP é ingerido, o Google SecOps verifica se ele corresponde aos critérios do rótulo personalizado. Se o campo metadata.event\_type for NETWORK\_DHCP e o campo principal.ip (o endereço IP do dispositivo que solicita o lease de DHCP) for 10.0.0.1, o Google SecOps aplicará o rótulo personalizado ao evento.

Você pode usar o rótulo "Atividade DHCP suspeita" para criar um escopo que será atribuído aos usuários relevantes. Com a atribuição de escopo, restrinja o acesso a esses eventos a usuários ou papéis específicos na organização.

Requisitos e limitações de rótulos

• Os nomes de rótulos precisam ser exclusivos e podem ter no máximo 63 caracteres. Eles podem ter somente letras minúsculas, caracteres numéricos e hifens. Eles não podem ser reutilizados após a exclusão.
• Os rótulos não podem usar listas de referência.
• Os rótulos não podem usar campos de enriquecimento.

Criar marcador personalizado

Para criar um rótulo personalizado, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

3. Na guia Rótulos personalizados, clique em Criar rótulo personalizado.

4. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

   Refine a consulta e clique em Executar pesquisa até que os resultados exibam os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa UDM.

5. Clique em Criar marcador.

6. Na janela Criar rótulo, selecione Salvar como novo rótulo e insira o nome e a descrição do rótulo.

7. Clique em Criar marcador.

   Um novo rótulo personalizado é criado. Durante a ingestão de dados, esse rótulo é aplicado aos dados que correspondem à consulta do UDM. O rótulo não é aplicado aos dados que já foram ingeridos.

Modificar rótulo personalizado

Você só pode modificar a descrição do rótulo e a consulta associada a um rótulo. Não é possível atualizar os nomes dos rótulos. Quando você modifica um rótulo personalizado, as alterações são aplicadas apenas aos novos dados, e não aos dados que já foram ingeridos.

Para modificar um rótulo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

3. Na guia Rótulos personalizados, clique em more_vert Menu no rótulo que você quer editar e selecione Editar.

4. Na janela Pesquisa de UDM, atualize sua consulta e clique em Executar pesquisa.

   Refine a consulta e clique em Executar pesquisa até que os resultados exibam os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa UDM.

5. Clique em Salvar.

O rótulo personalizado foi modificado.

Excluir rótulo personalizado

A exclusão de um rótulo impede que novos dados sejam associados a ele. Os dados que já estão associados ao rótulo permanecem associados a ele. Após a exclusão, não será possível recuperar o rótulo personalizado nem reutilizar o nome dele para criar novos rótulos.

1. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

2. Na guia Rótulos personalizados, clique no Menu more_vert do rótulo que você quer excluir e selecione Excluir.

3. Clique em Excluir.

4. Na janela de confirmação, clique em Confirmar.

O rótulo personalizado foi excluído.

Ver rótulo personalizado

Para conferir os detalhes de um rótulo personalizado, faça o seguinte:

1. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

2. Na guia Rótulos personalizados, clique em more_vert Menu no rótulo que você quer editar e selecione Ver.

   Os detalhes do rótulo são exibidos.

Criar e gerenciar escopos

É possível criar e gerenciar escopos de dados na interface do usuário do Google SecOps e atribuir esses escopos a usuários ou grupos pelo IAM. É possível criar um escopo aplicando rótulos que definem os dados aos quais um usuário com o escopo tem acesso.

Criar escopos

Para criar um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

3. Na guia Escopos, clique em Criar escopo.

4. Na janela Criar novo escopo, faça o seguinte:

   1. Insira o Nome do escopo e a Descrição.

   2. Em Definir acesso ao escopo com rótulos > Permitir acesso, faça o seguinte:

      • Para selecionar os rótulos e os valores correspondentes aos quais você quer conceder acesso aos usuários, clique em Permitir determinados rótulos.

        Em uma definição de escopo, os rótulos do mesmo tipo (por exemplo, tipo de registro) são combinados usando o operador OR, enquanto os rótulos de tipos diferentes (por exemplo, tipo de registro e namespace) são combinados usando o operador AND. Para mais informações sobre como os rótulos definem o acesso a dados nos escopos, consulte Visibilidade de dados com rótulos de permissão e negação.

      • Para conceder acesso a todos os dados, selecione Permitir acesso a tudo.

   3. Para excluir o acesso a alguns rótulos, selecione Excluir determinados rótulos e selecione o tipo de rótulo e os valores correspondentes aos quais você quer negar o acesso aos usuários.

      Quando vários rótulos de acesso de negação forem aplicados em um escopo, o acesso será negado se corresponderem a qualquer um deles.

   4. Clique em Escopo do teste para verificar como os rótulos são aplicados a ele.

   5. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

      Refine a consulta e clique em Executar pesquisa até que os resultados exibam os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa UDM.

   6. Clique em Criar escopo.

   7. Na janela Criar escopo, confirme o nome e a descrição do escopo e clique em Criar escopo.

O escopo é criado. Você precisa atribuir o escopo aos usuários para dar a eles acesso aos dados no escopo.

Modificar escopo

Só é possível modificar a descrição do escopo e os rótulos associados. Os nomes de escopos não podem ser atualizados. Depois de atualizar um escopo, os usuários associados a ele serão restritos de acordo com os novos rótulos. As regras vinculadas ao escopo não são correspondidas novamente ao atualizado.

Para modificar um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

3. Na guia Escopos, clique no Menu more_vert correspondente ao escopo que você quer editar e selecione Editar.

4. Clique em edit Editar para editar a descrição do escopo.

5. Na seção Definir acesso ao escopo com rótulos, atualize os rótulos e os valores correspondentes conforme necessário.

6. Clique em Escopo do teste para verificar como os novos rótulos são aplicados ao escopo.

7. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

   Refine a consulta e clique em Executar pesquisa até que os resultados exibam os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa UDM.

8. Clique em Salvar.

O escopo foi modificado.

Excluir escopo

Quando um escopo é excluído, os usuários não têm acesso aos dados associados a ele. Após a exclusão, o nome do escopo não poderá ser reutilizado para a criação de novos escopos.

Para excluir um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso aos dados.

3. Na guia Escopos, clique em Menu more_vert no escopo que você quer excluir.

4. Clique em Excluir.

5. Na janela de confirmação, clique em Confirmar.

O escopo foi excluído.

Ver escopo

Para conferir os detalhes do escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Acesso a dados.

3. Na guia Escopos, clique em Menu more_vert no escopo que você quer visualizar e selecione Visualizar.

Os detalhes do escopo são exibidos.

Atribuir escopo aos usuários

A atribuição de escopo é necessária para controlar o acesso a dados de usuários com permissões restritas. A atribuição de escopos específicos aos usuários determina os dados com que eles podem ver e interagir. Quando um usuário recebe vários escopos, ele ganha acesso aos dados combinados de todos esses escopos. Atribua os escopos apropriados aos usuários que precisam de acesso global para que possam visualizar e interagir com todos os dados. Para atribuir escopos a um usuário, faça o seguinte:

1. No console do Google Cloud, abra a página IAM.

   Acessar IAM

2. Selecione o projeto vinculado ao Google SecOps.

3. Clique em person_addCONCEDER ACESSO.

4. No campo Novos principais, adicione o identificador principal da seguinte maneira:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. No menu Atribuir funções > Selecionar uma função, selecione a função necessária. Clique em Adicionar outro papel para adicionar vários papéis. Para entender quais papéis precisam ser adicionados, consulte Papéis do usuário.

6. Para atribuir um escopo ao usuário, adicione condições ao papel de acesso a dados restritos do Chronicle atribuído ao usuário (não se aplica a papéis de acesso global).

   1. Clique em Adicionar condição de IAM no papel Chronicle Restricted Data Access. A janela Adicionar condição será exibida.

   2. Insira o título da condição e a descrição opcional.

   3. Adicione a expressão de condição.

      É possível adicionar uma expressão de condição usando o Criador de condições ou o Editor de condições.

      O criador de condições fornece uma interface interativa para selecionar o tipo de condição, o operador e outros detalhes aplicáveis sobre a expressão. Adicione as condições de acordo com suas necessidades usando os operadores OR. Para adicionar escopos ao papel, recomendamos o seguinte:

      1. Selecione Nome em Tipo de condição, Termina com em Operador e digite /<scopename> em Valor.

      2. Para atribuir vários escopos, adicione mais condições usando o operador OR. É possível adicionar até 12 condições para cada vinculação de papel. Para adicionar mais de 12 condições, crie várias vinculações de papéis e adicione até 12 condições a cada uma delas.

      Para mais informações sobre condições, consulte Visão geral das condições do IAM.

   4. Clique em Salvar.

   O editor de condições fornece uma interface baseada em texto para inserir manualmente uma expressão usando a sintaxe CEL.

   1. Digite a seguinte expressão:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Clique em Executar linter para validar a sintaxe CEL.

   3. Clique em Salvar.

      Observação: as vinculações de papéis condicionais não substituem as vinculações de papéis sem condições. Se um participante estiver vinculado a um papel e a vinculação de papel não tiver uma condição, o participante sempre terá esse papel. Adicionar o principal a uma vinculação condicional para o mesmo papel não tem efeito.

7. Clique em Testar alterações para conferir como elas afetam o acesso do usuário aos dados.

8. Clique em Salvar.

Agora os usuários podem acessar os dados associados aos escopos.