Configurar o RBAC de dados para usuários

Esta página descreve como os administradores do controle de acesso baseado em função (RBAC) de dados (RBAC de dados) podem configurar o RBAC de dados no Google Security Operations. Com a criação e atribuição de escopos de dados, que são definidos por rótulos, é possível garantir que os dados só sejam acessíveis a usuários autorizados.

O RBAC de dados depende de conceitos do IAM, incluindo papéis predefinidos, papéis personalizados e condições do IAM.

Confira a seguir uma visão geral de alto nível do processo de configuração:

1. Planeje sua implementação:identifique os diferentes tipos de dados que você quer restringir o acesso do usuário. Identifique as diferentes funções na sua organização e determine os requisitos de acesso a dados para cada função.

2. Opcional: crie rótulos personalizados:crie rótulos personalizados (além dos padrão) para categorizar seus dados.

3. Criar escopos de dados:defina escopos combinando marcadores relevantes.

4. Atribuir escopos aos usuários:atribua escopos a funções de usuário no IAM com base nas responsabilidades deles.

Antes de começar

• Para entender os principais conceitos do RBAC de dados, os diferentes tipos de acesso e as funções de usuário correspondentes, o funcionamento de rótulos e escopos e o impacto do RBAC de dados nos recursos do Google SecOps, consulte Visão geral do RBAC de dados.

• Incorpore sua instância do Google SecOps. Para mais informações, consulte Integrar ou migrar uma instância do Google Security Operations.

• Verifique se você tem os papéis necessários.

Criar e gerenciar rótulos personalizados

Os rótulos personalizados são metadados que podem ser adicionados aos dados do Google SecOps ingeridos pelo SIEM para categorizar e organizar com base em valores normalizados pelo UDM.

Por exemplo, suponha que você queira monitorar a atividade de rede. Você quer acompanhar os eventos do protocolo de configuração de host dinâmico (DHCP) de um endereço IP específico (10.0.0.1) que você suspeita que esteja comprometido.

Para filtrar e identificar esses eventos específicos, crie um rótulo personalizado com o nome "Atividade DHCP suspeita" e a seguinte definição:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

O rótulo personalizado funciona da seguinte maneira:

O Google SecOps ingere continuamente registros e eventos de rede no UDM. Quando um evento DHCP é processado, o Google SecOps verifica se ele corresponde aos critérios do rótulo personalizado. Se o campo metadata.event_type for NETWORK_DHCP e o campo principal.ip (o endereço IP do dispositivo que solicita o arrendamento do DHCP) for 10.0.0.1, o Google SecOps vai aplicar o rótulo personalizado ao evento.

Você pode usar o rótulo "Atividade DHCP suspeita" para criar um escopo e atribuir o escopo aos usuários relevantes. A atribuição de escopo permite restringir o acesso a esses eventos para usuários ou funções específicos na sua organização.

Requisitos e limitações de rótulos

• Os nomes dos rótulos precisam ser exclusivos e podem ter um comprimento máximo de 63 caracteres. Eles podem conter apenas letras minúsculas, caracteres numéricos e hifens. Elas não podem ser reutilizadas após a exclusão.
• Os rótulos não podem usar listas de referência.
• Os marcadores não podem usar campos de enriquecimento.
• Os identificadores não são compatíveis com expressões regulares.

Criar rótulo personalizado

Para criar um rótulo personalizado, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

3. Na guia Rótulos personalizados, clique em Criar rótulo personalizado.

4. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

   Você pode refinar a consulta e clicar em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Digitar uma pesquisa de UDM.

5. Clique em Criar rótulo.

6. Na janela Criar rótulo, selecione Salvar como novo rótulo e insira o nome e a descrição do rótulo.

7. Clique em Criar rótulo.

   Um novo rótulo personalizado é criado. Durante ingestão de dados, esse rótulo é aplicado a dados que correspondem à consulta do UDM. O rótulo não é aplicado a dados que já foram ingeridos.

Modificar rótulo personalizado

Só é possível modificar a descrição e a consulta associadas a um rótulo. Os nomes dos rótulos não podem ser atualizados. Quando você modifica um rótulo personalizado, as mudanças são aplicadas apenas aos novos dados, e não aos que já foram ingeridos.

Para modificar um rótulo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

3. Na guia Rótulos personalizados, clique em more_vert Menu no rótulo que você quer editar e selecione Editar.

4. Na janela Pesquisa do UDM, atualize a consulta e clique em Executar pesquisa.

   Você pode refinar a consulta e clicar em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Digitar uma pesquisa de UDM.

5. Clique em Salvar alterações.

O rótulo personalizado é modificado.

Excluir rótulo personalizado

A exclusão de um rótulo impede que novos dados sejam associados a ele. Os dados que já estão associados ao rótulo continuam associados a ele. Após a exclusão, não será possível recuperar o rótulo personalizado nem reutilizar o nome do rótulo para criar novos rótulos.

1. Clique em Configurações > Configurações do SIEM > Acesso a dados.

2. Na guia Rótulos personalizados, clique no Menu more_vert do rótulo que você quer excluir e selecione Excluir.

3. Clique em Excluir.

4. Na janela de confirmação, clique em Confirmar.

O rótulo personalizado é excluído.

Conferir rótulo personalizado

Para conferir os detalhes de um rótulo personalizado, faça o seguinte:

1. Clique em Configurações > Configurações do SIEM > Acesso a dados.

2. Na guia Rótulos personalizados, clique em more_vert Menu ao lado do rótulo que você quer editar e selecione Visualizar.

   Os detalhes do rótulo são exibidos.

Criar e gerenciar escopos

É possível criar e gerenciar escopos de dados na interface do usuário do Google SecOps e, em seguida, atribuir esses escopos a usuários ou grupos pelo IAM. É possível criar um escopo aplicando rótulos que definem os dados a que um usuário com o escopo tem acesso.

Criar escopos

Para criar um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

3. Na guia Escopos, clique em Criar escopo.

4. Na janela Criar novo escopo, faça o seguinte:

   1. Insira Nome do escopo e Descrição.

   2. Em Definir o acesso ao escopo com marcadores > Permitir acesso, faça o seguinte:

      • Para selecionar os rótulos e os valores correspondentes que você quer conceder aos usuários, clique em Permitir determinados rótulos.

        Em uma definição de escopo, rótulos do mesmo tipo (por exemplo, tipo de registro) são combinados usando o operador OR, enquanto rótulos de tipos diferentes (por exemplo, tipo de registro e namespace) são combinados usando o operador AND. Para mais informações sobre como os rótulos definem o acesso a dados nos escopos, consulte Visibilidade de dados com rótulos de permissão e negação.

      • Para conceder acesso a todos os dados, selecione Permitir acesso a tudo.

   3. Para excluir o acesso a alguns rótulos, selecione Excluir determinados rótulos e, em seguida, selecione o tipo de rótulo e os valores correspondentes que você quer negar aos usuários.

      Quando vários rótulos de negação de acesso são aplicados em um escopo, o acesso é negado se eles corresponderem a qualquer desses rótulos.

   4. Clique em Testar escopo para verificar como os rótulos são aplicados ao escopo.

   5. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

      Você pode refinar a consulta e clicar em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Digitar uma pesquisa de UDM.

   6. Clique em Criar escopo.

   7. Na janela Create scope, confirme o nome e a descrição do escopo e clique em Create scope.

O escopo é criado. Você precisa atribuir o escopo aos usuários para dar acesso a ele.

Modificar escopo

Só é possível modificar a descrição do escopo e os rótulos associados. Os nomes de escopo não podem ser atualizados. Depois de atualizar um escopo, os usuários associados a ele são restritos de acordo com os novos rótulos. As regras vinculadas ao escopo não são refeitas em relação à versão atualizada.

Para modificar um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

3. Na guia Escopos, clique em more_vert Menu correspondente ao escopo que você quer editar e selecione Editar.

4. Clique em edit Editar para editar a descrição do escopo.

5. Na seção Definir acesso de escopo com rótulos, atualize os rótulos e os valores correspondentes conforme necessário.

6. Clique em Testar escopo para verificar como os novos rótulos são aplicados ao escopo.

7. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

   Você pode refinar a consulta e clicar em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Digitar uma pesquisa de UDM.

8. Clique em Salvar alterações.

O escopo é modificado.

Excluir escopo

Quando um escopo é excluído, os usuários não têm acesso aos dados associados a ele. Após a exclusão, o nome do escopo não pode ser reutilizado para criar novos escopos.

Para excluir um escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

3. Na guia Escopos, clique em more_vert Menu no escopo que você quer excluir.

4. Clique em Excluir.

5. Na janela de confirmação, clique em Confirmar.

O escopo é excluído.

Conferir o escopo

Para conferir os detalhes do escopo, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Configurações > Acesso a dados.

3. Na guia Escopos, clique em more_vert Menu no escopo que você quer acessar e selecione Visualizar.

Os detalhes do escopo são exibidos.

Atribuir escopo aos usuários

A atribuição de escopo é necessária para controlar o acesso a dados para usuários com permissões restritas. A atribuição de escopos específicos aos usuários determina os dados que eles podem acessar e com os quais podem interagir. Quando um usuário recebe vários escopos, ele ganha acesso aos dados combinados de todos eles. É possível atribuir os escopos adequados a usuários que precisam de acesso global para que eles possam acessar e interagir com todos os dados. Para atribuir escopos a um usuário, faça o seguinte:

1. No console do Google Cloud, abra a página IAM.

   Acessar IAM

2. Selecione o projeto vinculado ao Google SecOps.

3. Clique em person_addCONCEDER ACESSO.

4. No campo Novos principais, adicione seu identificador principal da seguinte maneira:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. No menu Atribuir papéis > Selecionar um papel, selecione o papel necessário. Clique em Adicionar outro papel para adicionar mais papéis. Para entender quais funções precisam ser adicionadas, consulte Funções do usuário.

6. Para atribuir um escopo ao usuário, adicione condições à função de acesso a dados restrito do Chronicle atribuída ao usuário (não se aplica a funções de acesso global).

   1. Clique em Adicionar condição do IAM em relação ao papel Acesso de dados restrito do Chronicle. A janela Adicionar condição vai aparecer.

   2. Insira o título e a descrição opcional da condição.

   3. Adicione a expressão de condição.

      É possível adicionar uma expressão de condição usando o Criador de condições ou o Editor da condição.

      O criador de condições fornece uma interface interativa para selecionar o tipo de condição, o operador e outros detalhes aplicáveis sobre a expressão. Adicione as condições de acordo com sua necessidade usando os operadores OR. Para adicionar escopos à função, recomendamos o seguinte:

      1. Selecione Nome em Tipo de condição, Termina com em Operador e digite /<scopename> em Valor.

      2. Para atribuir vários escopos, adicione mais condições usando o operador OR. É possível adicionar até 12 condições para cada vinculação de função. Para adicionar mais de 12 condições, crie várias vinculações de função e adicione até 12 condições a cada uma delas.

      Para mais informações sobre as condições, consulte Visão geral das condições do IAM.

   4. Clique em Salvar.

   O editor de condições oferece uma interface baseada em texto para inserir manualmente uma expressão usando a sintaxe CEL.

   1. Digite a seguinte expressão:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Clique em Executar lint para validar a sintaxe CEL.

   3. Clique em Salvar.

      Observação:as vinculações de papel condicionais não modificam as vinculações de papel sem condições. Se um participante estiver vinculado a um papel e a vinculação de papel não tiver uma condição, o participante sempre terá esse papel. Adicionar o participante a uma vinculação condicional para o mesmo papel não tem efeito.

7. Clique em Testar mudanças para conferir como as alterações afetam o acesso do usuário aos dados.

8. Clique em Salvar.

Agora os usuários podem acessar os dados associados aos escopos.