Configurar el control de acceso basado en roles de datos para los usuarios

Disponible en:

En esta página se describe cómo pueden configurar los administradores el control de acceso basado en roles de datos (RBAC de datos) en Google Security Operations. Al crear y asignar ámbitos de datos, que se definen mediante etiquetas, puede asegurarse de que solo los usuarios autorizados puedan acceder a los datos.

El control de acceso basado en roles de datos se basa en conceptos de gestión de identidades y accesos, como los roles predefinidos, los roles personalizados y las condiciones de gestión de identidades y accesos.

A continuación, se muestra una descripción general del proceso de configuración:

  1. Planifica tu implementación: identifica los diferentes tipos de datos a los que quieres restringir el acceso de los usuarios. Identifica los distintos roles de tu organización y determina los requisitos de acceso a los datos de cada rol.

  2. Opcional: Crea etiquetas personalizadas: crea etiquetas personalizadas (además de las etiquetas predeterminadas) para categorizar tus datos.

  3. Crea ámbitos de datos: define ámbitos combinando etiquetas relevantes.

  4. Asigna ámbitos a los usuarios: asigna ámbitos a las funciones de usuario en IAM en función de sus responsabilidades.

  5. Habilita el RBAC de datos: habilita el RBAC de datos para aplicar las asignaciones de ámbito. Tiene dos opciones para configurar el control de acceso basado en roles de datos:

    • Habilita el RBAC de datos antes de asignar ámbitos: cuando el RBAC de datos está habilitado, las reglas, las listas de referencia y las tablas de datos no tienen ningún ámbito asignado. Solo los usuarios con acceso global pueden acceder a los datos. Los usuarios con ámbito no tienen acceso a ningún dato de forma predeterminada. De esta forma, se evita el acceso no intencionado y se garantiza un punto de partida seguro. Para conceder acceso, define ámbitos y asígnalos a usuarios, reglas y listas de referencia según tus necesidades.

    • Habilita el RBAC de datos después de asignar los permisos: si configuras y asignas permisos con antelación, los usuarios podrán acceder a los datos inmediatamente cuando se habilite el RBAC de datos. Además, como las reglas tienen ámbitos asignados, las detecciones generadas se etiquetan con ámbitos. De esta forma, los usuarios pueden ver las detecciones que se generaron después de las asignaciones de ámbito.

Antes de empezar

Crear y gestionar etiquetas personalizadas

Las etiquetas personalizadas son metadatos que puede añadir a los datos de Google SecOps ingeridos en el SIEM para clasificarlos y organizarlos en función de los valores normalizados del UDM.

Por ejemplo, supongamos que quieres monitorizar la actividad de la red. Quieres monitorizar los eventos del protocolo de configuración dinámica de host (DHCP) de una dirección IP específica (10.0.0.1) que sospechas que puede estar en peligro.

Para filtrar e identificar estos eventos específicos, puede crear una etiqueta personalizada con el nombre "Actividad DHCP sospechosa" y la siguiente definición:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

La etiqueta personalizada funciona de la siguiente manera:

Google SecOps ingiere continuamente registros y eventos de red en su UDM. Cuando se ingiere un evento DHCP, Google SecOps comprueba si cumple los criterios de la etiqueta personalizada. Si el campo metadata.event_type es NETWORK_DHCP y el campo principal.ip (la dirección IP del dispositivo que solicita la concesión de DHCP) es 10.0.0.1, Google SecOps aplica la etiqueta personalizada al evento.

Puedes usar la etiqueta Actividad DHCP sospechosa para crear un ámbito y asignarlo a los usuarios correspondientes. La asignación de ámbito te permite restringir el acceso a estos eventos a usuarios o roles específicos de tu organización.

Requisitos y limitaciones de las etiquetas

  • Los nombres de las etiquetas deben ser únicos y pueden tener una longitud máxima de 63 caracteres. Solo pueden contener letras en minúscula, caracteres numéricos y guiones. No se pueden reutilizar después de eliminarlos.
  • Las etiquetas no pueden usar listas de referencias.
  • Las etiquetas no pueden usar campos de enriquecimiento.
  • Las etiquetas no admiten expresiones regulares.

Crear etiqueta personalizada

Para crear una etiqueta personalizada, sigue estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. En la pestaña Etiquetas personalizadas, haga clic en Crear etiqueta personalizada.

  4. En la ventana Búsqueda de UDM, escribe tu consulta y haz clic en Ejecutar búsqueda.

    Puedes acotar la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que quieras etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Introducir una búsqueda de UDM.

  5. Haz clic en Crear etiqueta.

  6. En la ventana Crear etiqueta, selecciona Guardar como nueva etiqueta e introduce el nombre y la descripción de la etiqueta.

  7. Haz clic en Crear etiqueta.

    Se crea una etiqueta personalizada. Durante la ingestión de datos, esta etiqueta se aplica a los datos que coinciden con la consulta de UDM. La etiqueta no se aplica a los datos que ya se han insertado.

Modificar una etiqueta personalizada

Solo puede modificar la descripción de la etiqueta y la consulta asociada a ella. Los nombres de las etiquetas no se pueden actualizar. Cuando modifica una etiqueta personalizada, los cambios solo se aplican a los datos nuevos y no a los datos que ya se han insertado.

Para modificar una etiqueta, siga estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. En la pestaña Etiquetas personalizadas, haga clic en Menú junto a la etiqueta que quiera editar y seleccione Editar.

  4. En la ventana Búsqueda de UDM, actualiza la consulta y haz clic en Ejecutar búsqueda.

    Puedes acotar la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que quieras etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Introducir una búsqueda de UDM.

  5. Haz clic en Guardar cambios.

La etiqueta personalizada se modifica.

Eliminar etiqueta personalizada

Si elimina una etiqueta, los datos nuevos no se asociarán a ella. Los datos que ya estén asociados a la etiqueta seguirán asociados a ella. Una vez eliminada, no podrás recuperar la etiqueta personalizada ni reutilizar su nombre para crear otras etiquetas.

  1. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  2. En la pestaña Etiquetas personalizadas, haz clic en el Menú de la etiqueta que quieras eliminar y selecciona Eliminar.

  3. Haz clic en Eliminar.

  4. En la ventana de confirmación, haz clic en Confirmar.

Se elimina la etiqueta personalizada.

Ver etiqueta personalizada

Para ver los detalles de una etiqueta personalizada, siga estos pasos:

  1. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  2. En la pestaña Etiquetas personalizadas, haz clic en Menú junto a la etiqueta que quieras editar y selecciona Ver.

    Se muestran los detalles de la etiqueta.

Crear y gestionar ámbitos

Puedes crear y gestionar ámbitos de datos en la interfaz de usuario de Google SecOps y, a continuación, asignar esos ámbitos a usuarios o grupos a través de IAM. Para crear un ámbito, aplique etiquetas que definan los datos a los que puede acceder un usuario con ese ámbito.

Crear permisos

Para crear un ámbito, sigue estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. En la pestaña Scopes (Ámbitos), haz clic en Create scope (Crear ámbito).

  4. En la ventana Crear nuevo ámbito, haga lo siguiente:

    1. Escriba el nombre del ámbito y la descripción.

    2. En Define scope access with labels > Allow access (Definir acceso al ámbito con etiquetas > Permitir acceso), haz lo siguiente:

      • Para seleccionar las etiquetas y sus valores correspondientes a los que quieres dar acceso a los usuarios, haz clic en Permitir ciertas etiquetas.

        En una definición de ámbito, las etiquetas del mismo tipo (por ejemplo, el tipo de registro) se combinan mediante el operador OR, mientras que las etiquetas de diferentes tipos (por ejemplo, el tipo de registro y el espacio de nombres) se combinan mediante el operador AND. Para obtener más información sobre cómo definen las etiquetas el acceso a los datos en los permisos, consulta el artículo Visibilidad de los datos con etiquetas de permitir y denegar.

      • Para dar acceso a todos los datos, selecciona Permitir acceso a todo.

    3. Para excluir el acceso a algunas etiquetas, selecciona Excluir determinadas etiquetas y, a continuación, selecciona el tipo de etiqueta y los valores correspondientes a los que quieras denegar el acceso a los usuarios.

      Cuando se aplican varias etiquetas de denegación de acceso en un mismo ámbito, el acceso se deniega si coinciden con alguna de esas etiquetas.

    4. Haga clic en Probar permiso para verificar cómo se aplican las etiquetas al permiso.

    5. En la ventana Búsqueda de UDM, escribe tu consulta y haz clic en Ejecutar búsqueda.

      Puedes acotar la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que quieras etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Introducir una búsqueda de UDM.

    6. Haz clic en Crear ámbito.

    7. En la ventana Crear ámbito, confirma el nombre y la descripción del ámbito y haz clic en Crear ámbito.

Se crea el ámbito. Debes asignar el ámbito a los usuarios para darles acceso a los datos del ámbito.

Modificar el permiso

Solo puedes modificar la descripción del ámbito y las etiquetas asociadas. No se pueden actualizar los nombres de los ámbitos. Después de actualizar un ámbito, los usuarios asociados a él se restringirán según las nuevas etiquetas. Las reglas vinculadas al ámbito no se vuelven a comparar con la actualizada.

Para modificar un ámbito, siga estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. En la pestaña Ámbitos, haz clic en el menú correspondiente al ámbito que quieras editar y selecciona Editar.

  4. Haz clic en Editar para editar la descripción del ámbito.

  5. En la sección Define el acceso al ámbito con etiquetas, actualiza las etiquetas y sus valores correspondientes según sea necesario.

  6. Haz clic en Probar permiso para verificar cómo se aplican las nuevas etiquetas al permiso.

  7. En la ventana Búsqueda de UDM, escribe tu consulta y haz clic en Ejecutar búsqueda.

    Puedes acotar la consulta y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que quieras etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Introducir una búsqueda de UDM.

  8. Haz clic en Guardar cambios.

Se modifica el ámbito.

Eliminar permiso

Cuando se elimina un ámbito, los usuarios no tienen acceso a los datos asociados a él. Una vez eliminado, el nombre del ámbito no se puede volver a usar para crear otros ámbitos.

Para eliminar un ámbito, sigue estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. En la pestaña Scopes (Ámbitos), haz clic en Menu (Menú) junto al ámbito que quieras eliminar.

  4. Haz clic en Eliminar.

  5. En la ventana de confirmación, haz clic en Confirmar.

El ámbito se ha eliminado.

Ver ámbito

Para ver los detalles de un ámbito, haz lo siguiente:

  1. Inicia sesión en Google SecOps.

  2. Haga clic en Configuración > Acceso a datos.

  3. En la pestaña Ámbitos, haga clic en Menú junto al ámbito que quiera ver y seleccione Ver.

Se muestran los detalles del ámbito.

Asignar un ámbito a los usuarios

Es necesario asignar permisos para controlar el acceso a los datos de los usuarios con permisos restringidos. Al asignar ámbitos específicos a los usuarios, se determina con qué datos pueden interactuar y cuáles pueden ver. Cuando se asignan varios ámbitos a un usuario, este obtiene acceso a los datos combinados de todos esos ámbitos. Puede asignar los permisos adecuados a los usuarios que necesiten acceso global para que puedan ver e interactuar con todos los datos. Para asignar ámbitos a un usuario, haz lo siguiente:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Selecciona el proyecto vinculado a Google SecOps.

  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, haz lo siguiente:

    1. Si utilizas Workforce Identity Federation o cualquier otro método de autenticación de terceros, añade tu identificador principal de la siguiente manera: 

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Haz los cambios siguientes:

      • POOL_ID: el identificador del grupo creado para tu proveedor de identidades.
      • USER_EMAIL: la dirección de correo del usuario.

    2. Si usas Cloud Identity o Google Workspace, añade tu identificador principal de la siguiente manera: 

      user:USER_EMAIL

      Haz los cambios siguientes:

      • USER_EMAIL: la dirección de correo del usuario.

  5. En el menú Asignar roles > Seleccionar un rol, elige el rol que necesites. Haz clic en Añadir otro rol para añadir varios roles. Para saber qué roles debes añadir, consulta Roles de usuario.

  6. Para asignar un ámbito al usuario, añade condiciones al rol de acceso a datos restringidos de Chronicle que se le haya asignado (no se aplica a los roles de acceso global).

    1. Haz clic en Añadir condición de IAM en el rol Acceso a datos restringidos de Chronicle. Aparecerá la ventana Añadir condición.

    2. Introduce el título de la condición y la descripción opcional.

    3. Añade la expresión de la condición.

      Puedes añadir una expresión de condición con el Creador de condiciones o el Editor de condiciones.

      El creador de condiciones proporciona una interfaz interactiva para seleccionar el tipo de condición, el operador y otros detalles aplicables sobre la expresión. Los siguientes operadores te permiten crear reglas precisas para controlar el acceso a varios ámbitos con una sola condición de gestión de identidades y accesos:

    • ENDS_WITH comprueba si el nombre del ámbito termina con una palabra específica. Para que coincida con la palabra exacta, añade un / antes de la palabra.

      Supongamos que tienes un ámbito de acceso a datos llamado projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

      • ENDS_WITH /scopename coincide con el nombre exacto y se evalúa como true en el ámbito de ejemplo.

      • ENDS_WITH scopename coincide con cualquier nombre que termine en "scopename" y se evalúa como true en el ámbito de ejemplo y también en projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

    • STARTS_WITH comprueba si el nombre del ámbito empieza por una palabra específica. Por ejemplo, STARTS_WITH projects/project1 concede acceso a todos los ámbitos de "project1".

    • EQUALS_TO comprueba si el nombre coincide exactamente con una palabra o una frase específicas. De esta forma, solo se concede acceso a un permiso. Por ejemplo, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename se evalúa como true en el ámbito del ejemplo.

    Para añadir ámbitos al rol, te recomendamos que hagas lo siguiente:

    1. Seleccione Nombre en Tipo de condición, el operador en Operador y escriba el nombre del ámbito en Valor.

      /<scopename>

    2. Para asignar varios ámbitos, añade más condiciones con el operador OR. Puedes añadir hasta 12 condiciones por cada enlace de rol. Para añadir más de 12 condiciones, crea varias vinculaciones de roles y añade hasta 12 condiciones a cada una de ellas.

      Para obtener más información sobre las condiciones, consulta Descripción general de las condiciones de gestión de identidades y accesos.

    3. Haz clic en Guardar.

      El editor de condiciones proporciona una interfaz basada en texto para introducir manualmente una expresión mediante la sintaxis de CEL.

    4. Introduce la siguiente expresión:

      (scope-name: resource.name.endsWith('/SCOPENAME1') || resource.name.endsWith('/SCOPENAME2') || … || resource.name.endsWith('/SCOPENAME'))

    5. Haz clic en Ejecutar Linter para validar la sintaxis de CEL.

    6. Haz clic en Guardar.

  7. Haga clic en Probar cambios para ver cómo afectan los cambios al acceso de los usuarios a los datos.

  8. Haz clic en Guardar.

Los usuarios ahora pueden acceder a los datos asociados a los ámbitos.

Habilitar el control de acceso basado en roles de datos

Una vez que hayas habilitado el RBAC a los datos, todos los ámbitos asignados se aplicarán a las reglas y a las listas de referencia, y los usuarios solo verán los datos relevantes para sus ámbitos. Para habilitar el control de acceso basado en roles de datos, sigue estos pasos:

  1. Inicia sesión en Google SecOps.

  2. Haz clic en Configuración > Configuración de SIEM > Acceso a datos.

  3. Ve a la pestaña Asignaciones y revisa las asignaciones de ámbito de las reglas y las listas de referencia. Para encontrar elementos concretos, usa las funciones de filtro o de búsqueda.

  4. Haz clic en Implementar acceso a datos obligatoriamente. En la ventana Implementar acceso a datos se muestra el número de reglas y listas de referencia que se incluirán en el ámbito después de implementar el control de acceso basado en funciones de datos.

  5. Haz clic en Sí, implementar obligatoriamente.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.