Configurer RBAC pour les données des utilisateurs

Cette page décrit comment contrôle des accès basé sur les rôles aux données (RBAC aux données) peuvent configurer le RBAC des données dans Google Security Operations. Jusqu'à la création et l'attribution de champs d'application de données, qui sont définis par des étiquettes, vous pouvez vous assurer que les données ne sont accessibles qu'aux utilisateurs autorisés.

Le RBAC des données s'appuie sur des concepts IAM, y compris les rôles prédéfinis, les rôles personnalisés et les conditions IAM.

Voici une vue d'ensemble du processus de configuration:

1. Planifiez votre implémentation : identifiez les différents types de données auxquels vous souhaitez limiter l'accès des utilisateurs. Identifiez les différents rôles au sein de votre organisation et déterminez les exigences d'accès aux données pour chaque rôle.

2. Facultatif : Créer des libellés personnalisés : créez des libellés personnalisés (en plus des libellés par défaut) pour classer vos données.

3. Créez des champs d'application de données : définissez des champs d'application en combinant des libellés pertinents.

4. Attribuer des niveaux d'accès aux utilisateurs:attribuez des champs d'application aux rôles utilisateur dans IAM. en fonction de leurs responsabilités.

Avant de commencer

• Pour comprendre les concepts fondamentaux du RBAC aux données, les différents types d’accès et les les rôles utilisateur correspondants, le fonctionnement des libellés et des champs d'application, et l'impact RBAC aux données sur les fonctionnalités Google SecOps, voir Présentation du RBAC des données.

• Intégrez votre instance Google SecOps. Pour en savoir plus, consultez Intégrer ou migrer une instance Google Security Operations.

• Assurez-vous de disposer des rôles requis.

Créer et gérer des libellés personnalisés

Les étiquettes personnalisées sont des métadonnées que vous pouvez ajouter à l'outil SIEM ingéré Données Google SecOps pour classer et organiser en fonction de valeurs UDM normalisées.

Par exemple, imaginons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre Événements DHCP (Dynamic Host Configuration Protocol) provenant d'une adresse IP spécifique (10.0.0.1) qui, selon vous, a pu être piraté.

Pour filtrer et identifier ces événements spécifiques, vous pouvez créer un libellé personnalisé nommé "Activité DHCP suspecte" avec la définition suivante :

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

L'étiquette personnalisée fonctionne comme suit :

Google SecOps ingère en continu les journaux et événements réseau dans ses UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères de l'étiquette personnalisée. Si le champ metadata.event_type est NETWORK_DHCP et si le champ principal.ip (l'adresse IP de l'appareil qui demande le bail DHCP) est 10.0.0.1, Google SecOps applique la balise personnalisée à l'événement.

Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer un champ d'application le champ d'application aux utilisateurs concernés. L'attribution de la portée vous permet de limiter l'accès à ces événements à des utilisateurs ou à des rôles spécifiques de votre organisation.

Exigences et limites concernant les libellés

• Les noms des étiquettes doivent être uniques et ne pas dépasser 63 caractères. Elles ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Ils ne peuvent pas être réutilisés après la suppression.
• Les libellés ne peuvent pas utiliser de listes de référence.
• Les étiquettes ne peuvent pas utiliser de champs d'enrichissement.
• Les étiquettes ne sont pas compatibles avec les expressions régulières.

Créer une étiquette personnalisée

Pour créer une étiquette personnalisée, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.

4. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Créer un libellé.

6. Dans la fenêtre Créer un libellé, sélectionnez Enregistrer comme nouveau libellé, puis saisissez le le nom et la description du libellé.

7. Cliquez sur Créer un libellé.

   Un nouveau libellé personnalisé est créé. Lors de l'ingestion des données, ce libellé est appliqué aux données correspondant à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.

Modifier l'étiquette personnalisée

Vous ne pouvez modifier que la description du libellé et la requête associée à un libellé. Les noms des libellés ne peuvent pas être modifiés. Lorsque vous modifiez un libellé personnalisé, les modifications ne s'appliquent qu'aux nouvelles données et non aux données déjà ingérées.

Pour modifier un libellé, procédez comme suit :

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Libellés personnalisés, cliquez sur more_vert Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.

4. Dans la fenêtre UDM Search (Recherche UDM), mettez à jour votre requête, puis cliquez sur Run Search (Exécuter la recherche).

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Enregistrer les modifications.

L'étiquette personnalisée a été modifiée.

Supprimer une étiquette personnalisée

La suppression d'un libellé empêche l'association de nouvelles données à celui-ci. Les données déjà associées au libellé restent associées au libellé. Une fois le libellé personnalisé supprimé, vous ne pouvez plus le récupérer ni réutiliser son nom pour créer d'autres libellés.

1. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

2. Dans l'onglet Étiquettes personnalisées, cliquez sur l'icône more_vert Menu pour le libellé que vous souhaitez supprimer, puis sélectionnez Supprimer.

3. Cliquez sur Supprimer.

4. Dans la fenêtre de confirmation, cliquez sur Confirmer.

L'étiquette personnalisée est supprimée.

Afficher l'étiquette personnalisée

Pour afficher les détails d'une étiquette personnalisée, procédez comme suit:

1. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

2. Dans l'onglet Étiquettes personnalisées, cliquez sur more_vert. Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.

   Les détails du libellé s'affichent.

Créer et gérer des portées

Vous pouvez créer et gérer les champs d'application des données au sein de l'utilisateur Google SecOps puis attribuer ces niveaux d'accès à des utilisateurs ou à des groupes via IAM. Vous pouvez créer un champ d'application en appliquant des étiquettes qui définissent les données qu'un utilisateur auquel le niveau d'accès a accès.

Créer des champs d'application

Pour créer un champ d'application, procédez comme suit :

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur Créer un champ d'application.

4. Dans la fenêtre Créer un champ d'application, procédez comme suit:

   1. Saisissez Nom de la portée et Description.

   2. Dans Définir l'accès aux niveaux d'accès à l'aide de libellés > Autorisez l'accès:

      • Pour sélectionner les libellés et les valeurs correspondantes auxquels vous souhaitez accorder l'accès aux utilisateurs, cliquez sur Autoriser certains libellés.

        Dans une définition de champ d'application, les étiquettes du même type (par exemple, le type de journal) sont combinés à l'aide de l'opérateur OU, tandis que les étiquettes de différents types (par exemple, le type de journal et l'espace de noms) sont combinés à l'aide de l'opérateur AND . Pour en savoir plus sur la façon dont les libellés définissent l'accès aux données dans les portées, consultez la section Visibilité des données avec les libellés d'autorisation et de refus.

      • Pour accorder l'accès à toutes les données, sélectionnez Accorder l'accès à tout.

   3. Pour exclure l'accès à certains libellés, sélectionnez Exclure certains libellés, puis sélectionnez le type de libellé et les valeurs correspondantes auxquelles vous souhaitez refuser l'accès aux utilisateurs.

      Lorsque plusieurs étiquettes de refus d'accès sont appliquées dans un champ d'application, l'accès refusé si elles correspondent à l'une d'elles.

   4. Cliquez sur Tester le champ d'application pour vérifier comment les libellés sont appliqués au champ d'application.

   5. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

      Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

   6. Cliquez sur Créer un champ d'application.

   7. Dans la fenêtre Créer un champ d'application, confirmez le nom et la description du champ d'application, puis cliquez sur Créer un champ d'application.

Le champ d'application est créé. Vous devez attribuer la portée aux utilisateurs pour leur donner accès aux données de la portée.

Modifier le champ d'application

Vous ne pouvez modifier que la description du champ d'application et les étiquettes associées. Les noms de portée ne peuvent pas être modifiés. Après la mise à jour d'un niveau d'accès, les utilisateurs qui lui sont associés sont limitées conformément aux nouveaux libellés. Les règles liées au champ d'application ne sont pas remises en correspondance avec la version mise à jour.

Pour modifier un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Champs d'application, cliquez sur more_vert. Menu correspondant au champ d'application que vous souhaitez modifier, puis sélectionnez Modifier.

4. Cliquez sur edit Modifier pour modifier la description de la portée.

5. Dans la section Définir l'accès au champ d'application avec des libellés, mettez à jour les libellés et leurs valeurs correspondantes si nécessaire.

6. Cliquez sur Tester le champ d'application pour vérifier comment les nouvelles étiquettes sont appliquées au champ d'application.

7. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats s'affichent. les données à étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

8. Cliquez sur Enregistrer les modifications.

Le champ d'application est modifié.

Supprimer le champ d'application

Lorsqu'un champ d'application est supprimé, les utilisateurs n'ont plus accès aux données qui lui sont associées. Une fois le champ d'application supprimé, vous ne pouvez pas réutiliser son nom pour en créer d'autres.

Pour supprimer un niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Paramètres > Paramètres SIEM > Accès aux données.

3. Dans l'onglet Champs d'application, cliquez sur more_vert. Menu sur le champ d'application que vous souhaitez supprimer.

4. Cliquez sur Supprimer.

5. Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le champ d'application est supprimé.

Afficher le champ d'application

Pour afficher les détails du niveau d'accès, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings > Data Access (Paramètres > Accès aux données).

3. Dans l'onglet Champ d'application, cliquez sur more_vertMenu à côté du champ d'application que vous souhaitez afficher, puis sélectionnez Afficher.

Les détails du champ d'application s'affichent.

Attribuer un champ d'application aux utilisateurs

L'attribution de champ d'application est requise pour contrôler l'accès aux données des utilisateurs disposant d'autorisations limitées. L'attribution de champs d'application spécifiques aux utilisateurs détermine qu'ils peuvent consulter et avec lesquels ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs champs d'application, ils obtiennent l’accès aux données combinées de tous ces champs d’application. Vous pouvez attribuer les champs d'application appropriés aux utilisateurs qui ont besoin d'un accès global afin qu'ils puissent consulter et interagir avec toutes les données. Pour attribuer des portées à un utilisateur, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM

2. Sélectionnez le projet associé à Google SecOps.

3. Cliquez sur person_add Accorder l'accès.

4. Dans le champ Nouveaux comptes principaux, ajoutez votre identifiant de compte principal comme suit :

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Dans la section Attribuer des rôles > Dans le menu Sélectionnez un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour comprendre quels rôles ont besoin être ajouté, consultez la section Rôles utilisateur.

6. Pour attribuer un niveau d'accès à l'utilisateur, ajoutez des conditions à l'application Chronicle Restricted Le rôle d'accès aux données attribué à l'utilisateur (ne s'applique pas à l'accès global) rôles).

   1. Cliquez sur Ajouter une condition IAM pour Rôle Accès restreint aux données Chronicle. La fenêtre Ajouter une condition s'affiche.

   2. Saisissez le titre de la condition et la description facultative.

   3. Ajoutez l'expression de condition.

      Vous pouvez ajouter une expression de condition à l'aide du Générateur de conditions ou de l'Éditeur de conditions.

      Le générateur de conditions fournit une interface interactive pour sélectionner le type de condition, l'opérateur et d'autres détails applicables sur l'expression. Ajoutez les conditions selon vos besoins à l'aide des opérateurs OR. Pour ajouter d'accès au rôle, nous vous recommandons de procéder comme suit:

      1. Dans Type de condition, sélectionnez Nom, Se termine par dans Opérateur. et saisissez /<scopename> dans Valeur.

      2. Pour attribuer plusieurs champs d'application, ajoutez d'autres conditions à l'aide de l'opérateur OU. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour en ajouter plus de 12 des conditions, créez plusieurs liaisons de rôle et ajoutez jusqu'à 12 conditions pour pour chacune de ces liaisons.

      Pour en savoir plus sur les conditions, consultez la page Présentation des conditions IAM.

   4. Cliquez sur Enregistrer.

   L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement à l'aide de la syntaxe CEL.

   1. Saisissez l'expression suivante:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.

   3. Cliquez sur Enregistrer.

      Remarque:Les liaisons de rôle conditionnelles ne remplacent pas les liaisons de rôles sans et conditions d'exploitation. Si un compte principal est lié à un rôle et que la liaison de rôle n'a pas de condition, le compte principal dispose toujours de ce rôle. Ajout... le compte principal à une liaison conditionnelle pour le même rôle, sans effet.

7. Cliquez sur Tester les modifications pour voir comment vos modifications affectent l'accès des utilisateurs aux les données.

8. Cliquez sur Enregistrer.

Les utilisateurs peuvent désormais accéder aux données associées aux champs d'application.