Configura el RBAC de datos para los usuarios

En esta página, se describe cómo los administradores del control de acceso basado en roles de datos (RBAC de datos) pueden configurar el RBAC de datos en Google Security Operations. A través de la creación y asignación de alcances de datos, que se definen con etiquetas, puedes asegurarte de que solo los usuarios autorizados puedan acceder a los datos.

El RBAC de datos se basa en conceptos de IAM, incluidos los roles predefinidos, los roles personalizados y las condiciones de IAM.

A continuación, se muestra una descripción general de alto nivel del proceso de configuración:

1. Planifica tu implementación: Identifica los diferentes tipos de datos a los que deseas restringir el acceso de los usuarios. Identifica los diferentes roles dentro de tu organización y determina los requisitos de acceso a los datos para cada uno.

2. Opcional: Crea etiquetas personalizadas: Crea etiquetas personalizadas (además de las etiquetas predeterminadas) para categorizar tus datos.

3. Crea alcances de datos: Combina etiquetas relevantes para definir alcances.

4. Asignar permisos a los usuarios: Asigna permisos a los roles de usuario en IAM según sus responsabilidades.

Cuando se habilita la RBAC de datos por primera vez, las reglas, las listas de referencias y las tablas de datos no tienen asignado ningún permiso. Solo los usuarios con acceso global tienen acceso a los datos. Los usuarios con alcance no tienen acceso a ningún dato de forma predeterminada. Esto evita el acceso no deseado y garantiza un punto de partida seguro. Para otorgar acceso, define los permisos y asígnales a los usuarios, las reglas y las listas de referencia según tus requisitos.

Antes de comenzar

• Para comprender los conceptos básicos del RBAC de datos, los diferentes tipos de acceso y los roles de usuario correspondientes, el funcionamiento de las etiquetas y los alcances, y el impacto del RBAC de datos en las funciones de SecOps de Google, consulta Descripción general del RBAC de datos.

• Integra tu instancia de Google SecOps. Para obtener más información, consulta Cómo integrar o migrar una instancia de Google Security Operations.

• Asegúrate de tener los roles necesarios.

• La RBAC de datos no está habilitada de forma predeterminada. Para habilitar la RBAC de datos, comunícate con el equipo de Asistencia de SecOps de Google.

Crea y administra etiquetas personalizadas

Las etiquetas personalizadas son metadatos que puedes agregar a los datos de SecOps de Google transferidos por SIEM para categorizarlos y organizarlos en función de los valores normalizados por el UDM.

Por ejemplo, supongamos que deseas supervisar la actividad de red. Supongamos que deseas hacer un seguimiento de los eventos del protocolo de configuración dinámica de host (DHCP) desde una dirección IP específica (10.0.0.1) que sospechas que podría estar comprometida.

Para filtrar e identificar estos eventos específicos, puedes crear una etiqueta personalizada con el nombre Actividad de DHCP sospechosa con la siguiente definición:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

La etiqueta personalizada funciona de la siguiente manera:

Google SecOps transfiere continuamente registros y eventos de red a su UDM. Cuando se transfiere un evento de DHCP, Google SecOps verifica si cumple con los criterios de la etiqueta personalizada. Si el campo metadata.event_type es NETWORK_DHCP y el campo principal.ip (la dirección IP del dispositivo que solicita el arrendamiento de DHCP) es 10.0.0.1, Google SecOps aplica la etiqueta personalizada al evento.

Puedes usar la etiqueta Actividad DHCP sospechosa para crear un alcance y asignarlo a los usuarios relevantes. La asignación de alcance te permite restringir el acceso a estos eventos a usuarios o roles específicos dentro de tu organización.

Requisitos y limitaciones de las etiquetas

• Los nombres de las etiquetas deben ser únicos y pueden tener una longitud máxima de 63 caracteres. Solo pueden contener letras minúsculas, números y guiones. No se pueden volver a usar después de la eliminación.
• Las etiquetas no pueden usar listas de referencia.
• Las etiquetas no pueden usar campos de enriquecimiento.
• Las etiquetas no admiten expresiones regulares.

Crea una etiqueta personalizada

Para crear una etiqueta personalizada, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

3. En la pestaña Etiquetas personalizadas, haz clic en Crear etiqueta personalizada.

4. En la ventana Búsqueda de la AUA, escribe tu consulta y haz clic en Ejecutar búsqueda.

   Puedes definir mejor la consulta y hacer clic en Run Search hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de la AUA.

5. Haz clic en Crear etiqueta.

6. En la ventana Crear etiqueta, selecciona Guardar como etiqueta nueva y, luego, ingresa el nombre y la descripción de la etiqueta.

7. Haz clic en Crear etiqueta.

   Se creará una nueva etiqueta personalizada. Durante la transferencia de datos, esta etiqueta se aplica a los datos que coinciden con la consulta de la AUA. La etiqueta no se aplica a los datos que ya se transfirieron.

Modifica la etiqueta personalizada

Solo puedes modificar la descripción de la etiqueta y la consulta asociada con ella. No se pueden actualizar los nombres de las etiquetas. Cuando modificas una etiqueta personalizada, los cambios se aplican solo a los datos nuevos y no a los que ya se transfirieron.

Para modificar una etiqueta, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

3. En la pestaña Etiquetas personalizadas, haz clic en more_vert Menú junto a la etiqueta que deseas editar y selecciona Editar.

4. En la ventana Búsqueda de UDM, actualiza la consulta y haz clic en Ejecutar búsqueda.

   Puedes definir mejor la consulta y hacer clic en Run Search hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de la AUA.

5. Haz clic en Guardar cambios.

Se modifica la etiqueta personalizada.

Borra una etiqueta personalizada

Si borras una etiqueta, se evitará que se asocien datos nuevos con ella. Los datos que ya están asociados con la etiqueta permanecen asociados con ella. Después de la eliminación, no podrás recuperar la etiqueta personalizada ni volver a usar el nombre de la etiqueta para crear etiquetas nuevas.

1. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

2. En la pestaña Etiquetas personalizadas, haz clic en el menú more_vert de la etiqueta que deseas borrar y selecciona Borrar.

3. Haz clic en Borrar.

4. En la ventana de confirmación, haz clic en Confirmar.

Se borrará la etiqueta personalizada.

Ver etiqueta personalizada

Para ver los detalles de una etiqueta personalizada, haz lo siguiente:

1. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

2. En la pestaña Etiquetas personalizadas, haz clic en more_vert Menú junto a la etiqueta que deseas editar y selecciona Ver.

   Se mostrarán los detalles de la etiqueta.

Crea y administra alcances

Puedes crear y administrar permisos de datos en la interfaz de usuario de Google SecOps y, luego, asignarlos a usuarios o grupos a través de IAM. Para crear un alcance, aplica etiquetas que definan los datos a los que un usuario con el alcance tiene acceso.

Crea permisos

Para crear un alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en Crear permiso.

4. En la ventana Create new scope, haz lo siguiente:

   1. Ingresa el Nombre del alcance y la Descripción.

   2. En Define scope access with labels > Allow access, haz lo siguiente:

      • Para seleccionar las etiquetas y sus valores correspondientes a los que deseas grantar acceso a los usuarios, haz clic en Permitir ciertas etiquetas.

        En una definición de alcance, las etiquetas del mismo tipo (por ejemplo, el tipo de registro) se combinan con el operador O, mientras que las etiquetas de diferentes tipos (por ejemplo, el tipo de registro y el espacio de nombres) se combinan con el operador Y. Para obtener más información sobre cómo las etiquetas definen el acceso a los datos en los permisos, consulta Visibilidad de los datos con etiquetas de permiso y denegación.

      • Para otorgar acceso a todos los datos, selecciona Permitir el acceso a todo.

   3. Para excluir el acceso a algunas etiquetas, selecciona Excluir ciertas etiquetas y, luego, el tipo de etiqueta y los valores correspondientes a los que deseas denegar el acceso a los usuarios.

      Cuando se aplican varias etiquetas de rechazo de acceso dentro de un permiso, se rechaza el acceso si coinciden con cualquiera de esas etiquetas.

   4. Haz clic en Probar permiso para verificar cómo se aplican las etiquetas al permiso.

   5. En la ventana Búsqueda de la AUA, escribe tu consulta y haz clic en Ejecutar búsqueda.

      Puedes definir mejor la consulta y hacer clic en Run Search hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de la AUA.

   6. Haz clic en Crear alcance.

   7. En la ventana Create scope, confirma el nombre y la descripción del alcance y haz clic en Create scope.

Se crea el permiso. Debes asignar el permiso a los usuarios para otorgarles acceso a los datos del permiso.

Modifica el permiso

Solo puedes modificar la descripción del alcance y las etiquetas asociadas. No se pueden actualizar los nombres de los ámbitos. Después de actualizar un permiso, los usuarios asociados con él se limitan según las nuevas etiquetas. Las reglas que están vinculadas al alcance no se vuelven a hacer coincidir con las actualizadas.

Para modificar un permiso, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en el more_vert menú correspondiente al permiso que deseas editar y selecciona Editar.

4. Haz clic en edit Editar para editar la descripción del alcance.

5. En la sección Define el acceso de alcance con etiquetas, actualiza las etiquetas y sus valores correspondientes según sea necesario.

6. Haz clic en Probar permiso para verificar cómo se aplican las etiquetas nuevas al permiso.

7. En la ventana Búsqueda de la AUA, escribe tu consulta y haz clic en Ejecutar búsqueda.

   Puedes definir mejor la consulta y hacer clic en Run Search hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda de la AUA.

8. Haz clic en Guardar cambios.

Se modifica el permiso.

Borra el permiso

Cuando se borra un permiso, los usuarios no tienen acceso a los datos asociados con él. Después de la eliminación, el nombre del permiso no se puede volver a usar para crear permisos nuevos.

Para borrar un alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración de SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en more_vert Menú junto al permiso que quieres borrar.

4. Haz clic en Borrar.

5. En la ventana de confirmación, haz clic en Confirmar.

Se borra el permiso.

Ver alcance

Para ver los detalles del alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Acceso a los datos.

3. En la pestaña Permisos, haz clic en more_vert Menú junto al permiso que deseas ver y selecciona Ver.

Se mostrarán los detalles del alcance.

Cómo asignar permisos a los usuarios

La asignación de alcance es necesaria para controlar el acceso a los datos de los usuarios con permisos limitados. Asignar permisos específicos a los usuarios determina los datos con los que pueden ver y también interactuar. Cuando se asignan varios permisos a un usuario, este obtiene acceso a los datos combinados de todos esos permisos. Puedes asignar los permisos adecuados a los usuarios que requieran acceso global para que puedan ver e interactuar con todos los datos. Para asignar permisos a un usuario, haz lo siguiente:

1. En la consola de Google Cloud, ve a la página IAM.

   Ir a IAM

2. Selecciona el proyecto vinculado a Google SecOps.

3. Haz clic en person_addGrant access.

4. En el campo Principales nuevas, haz lo siguiente:

   1. Si usas la federación de identidades de personal o cualquier otra autenticación de terceros, agrega tu identificador principal de la siguiente manera:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Reemplaza lo siguiente:

      • POOL_ID: Es el identificador del grupo creado para tu proveedor de identidad.
      • USER_EMAIL: la dirección de correo electrónico del usuario.

   2. Si usas Cloud Identity o Google Workspace, agrega tu identificador principal de la siguiente manera:

      user:USER_EMAIL

      Reemplaza lo siguiente:

      • USER_EMAIL: la dirección de correo electrónico del usuario.

5. En el menú Asignar roles > Seleccionar un rol, selecciona el rol requerido. Haz clic en Agregar otro rol para agregar varios roles. Para comprender qué roles se deben agregar, consulta Roles de usuario.

6. Para asignar un permiso al usuario, agrega condiciones al rol de acceso a datos restringido de Chronicle que se le asignó (no se aplica a los roles de acceso global).

   1. Haz clic en Agregar condición de IAM en el rol Acceso a datos restringido de Chronicle. Aparecerá la ventana Agregar condición.

   2. Ingresa el título de la condición y la descripción opcional.

   3. Agrega la expresión de condición.

      Puedes agregar una expresión de condición mediante el Creador de condiciones o el Editor de condiciones.

      El creador de condiciones proporciona una interfaz interactiva en la que puedes seleccionar el tipo de condición y el operador deseados, así como otros detalles aplicables sobre la expresión. Los siguientes operadores te permiten crear reglas precisas para controlar el acceso a varios permisos con una sola condición de IAM:

   • ENDS_WITH: Verifica si el nombre del alcance termina con una palabra específica. Para hacer coincidir la palabra exacta, agrega un / antes de la palabra.

     Considera un ejemplo de nivel de acceso a los datos llamado projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename coincide con el nombre exacto y se evalúa como true para el alcance del ejemplo.

     • ENDS_WITH scopename coincide con cualquier nombre que termine con "scopename" y se evalúa como true para el alcance de ejemplo y también para projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

   • STARTS_WITH: Verifica si el nombre del alcance comienza con una palabra específica. Por ejemplo, STARTS_WITH projects/project1 otorga acceso a todos los permisos dentro de "project1".

   • EQUALS_TO: Verifica si el nombre coincide exactamente con una palabra o frase específica. Esto otorga acceso a un solo alcance. Por ejemplo, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename se evalúa como true para el alcance de ejemplo.

   Para agregar permisos al rol, te recomendamos que sigas estos pasos:

   1. Selecciona Nombre en Tipo de condición, el operador en Operador y, luego, ingresa el nombre del alcance en Valor.

      /<scopename>

   2. Para asignar varios alcances, agrega más condiciones con el operador O. Puedes agregar hasta 12 condiciones para cada vinculación de roles. Para agregar más de 12 condiciones, crea varias vinculaciones de roles y agrega hasta 12 condiciones a cada una de ellas.

      Para obtener más información sobre las condiciones, consulta Descripción general de las condiciones de IAM.

   3. Haz clic en Guardar.

      El editor de condiciones proporciona una interfaz basada en texto en la que puedes ingresar de forma manual una expresión mediante la sintaxis CEL.

   4. Ingresa la siguiente expresión:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Haz clic en Run Linter para validar la sintaxis de CEL.

   6. Haz clic en Guardar.

7. Haz clic en Probar cambios para ver cómo los cambios afectan el acceso de los usuarios a los datos.

8. Haz clic en Guardar.

Los usuarios ahora pueden acceder a los datos asociados con los permisos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.