Configura el RBAC de datos para los usuarios

En esta página, se describe cómo los administradores del control de acceso basado en roles de datos (RBAC de datos) pueden configurar el RBAC de datos en Google Security Operations. A través de la creación y asignación de permisos de datos, que se definen por etiquetas, puedes verificar que solo los usuarios autorizados tengan acceso a los datos.

El RBAC de datos se basa en conceptos de IAM, incluidos los roles predefinidos, los roles personalizados y las condiciones de IAM.

A continuación, se presenta una descripción general del proceso de configuración:

1. Planifica tu implementación: Identifica los diferentes tipos de datos a los que deseas restringir el acceso de los usuarios. Identifica los diferentes roles dentro de tu organización y determina los requisitos de acceso a los datos para cada rol.

2. Opcional: Crea etiquetas personalizadas: Crea etiquetas personalizadas (además de las etiquetas predeterminadas) para categorizar tus datos.

3. Crea permisos de datos: Define permisos combinando etiquetas relevantes.

4. Asigna permisos a los usuarios: Asigna permisos a los roles de usuario en IAM según sus responsabilidades.

Cuando se habilita por primera vez el RBAC de datos, las reglas, las listas de referencia y las tablas de datos no tienen ningún alcance asignado. Solo los usuarios con acceso global tienen acceso a los datos. De forma predeterminada, los usuarios con alcance no tienen acceso a ningún dato. Esto evita el acceso no deseado y verifica un punto de partida seguro. Para otorgar acceso, define permisos y asígnalos a usuarios, reglas y listas de referencia según tus requisitos.

Antes de comenzar

• Para comprender los conceptos básicos del RBAC de datos, los diferentes tipos de acceso y los roles de usuario correspondientes, el funcionamiento de las etiquetas y los alcances, y el impacto del RBAC de datos en las funciones de SecOps de Google, consulta la Descripción general del RBAC de datos.

• Incorpora tu instancia de Google SecOps. Para obtener más información, consulta Cómo integrar o migrar una instancia de Google SecOps.

• Asegúrate de tener los roles necesarios.

• El RBAC de datos no está habilitado de forma predeterminada. Para habilitar el RBAC de datos, comunícate con el equipo de asistencia de Google SecOps.

Crea y administra etiquetas personalizadas

Las etiquetas personalizadas son metadatos que puedes agregar a los datos de SecOps de Google transferidos al SIEM para clasificarlos y organizarlos según los valores normalizados del UDM.

Por ejemplo, supongamos que deseas supervisar la actividad de la red. Deseas hacer un seguimiento de los eventos del Protocolo de configuración dinámica de host (DHCP) desde una dirección IP específica (10.0.0.1) que sospechas que podría estar comprometida.

Para filtrar e identificar estos eventos específicos, puedes crear una etiqueta personalizada con el nombre Actividad sospechosa de DHCP y la siguiente definición:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

La etiqueta personalizada funciona de la siguiente manera:

Google SecOps incorpora continuamente registros y eventos de red en su UDM. Cuando se procesa un evento de DHCP, Google SecOps verifica si coincide con los criterios de la etiqueta personalizada. Si el campo metadata.event_type es NETWORK_DHCP y el campo principal.ip (la dirección IP del dispositivo que solicita la concesión de DHCP) es 10.0.0.1, Google SecOps aplica la etiqueta personalizada al evento.

Puedes usar la etiqueta Actividad sospechosa de DHCP para crear un alcance y asignarlo a los usuarios pertinentes. La asignación de alcance te permite restringir el acceso a estos eventos a usuarios o roles específicos dentro de tu organización.

Requisitos y limitaciones de las etiquetas

• Los nombres de las etiquetas deben ser únicos y pueden tener una longitud máxima de 63 caracteres. Solo pueden contener letras en minúscula, números y guiones. No se pueden volver a usar después de borrarlos.
• Las etiquetas no pueden usar listas de referencia.
• Las etiquetas no pueden usar campos de enriquecimiento.
• Las etiquetas no admiten expresiones regulares.

Crea una etiqueta personalizada

Para crear una etiqueta personalizada, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

3. En la pestaña Etiquetas personalizadas, haz clic en Crear etiqueta personalizada.

4. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

   Puedes refinar la búsqueda y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda en el UDM.

5. Haz clic en Crear etiqueta.

6. En la ventana Crear etiqueta, selecciona Guardar como etiqueta nueva y, luego, ingresa el nombre y la descripción de la etiqueta.

7. Haz clic en Crear etiqueta.

   Se crea una nueva etiqueta personalizada. Durante la transferencia de datos, esta etiqueta se aplica a los datos que coinciden con la consulta del UDM. La etiqueta no se aplica a los datos que ya se transfirieron.

Modificar etiqueta personalizada

Solo puedes modificar la descripción de la etiqueta y la consulta asociada a ella. No se pueden actualizar los nombres de las etiquetas. Cuando modificas una etiqueta personalizada, los cambios se aplican solo a los datos nuevos y no a los datos que ya se hayan transferido.

Para modificar una etiqueta, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

3. En la pestaña Etiquetas personalizadas, haz clic en more_vert Menú junto a la etiqueta que quieras editar y selecciona Editar.

4. En la ventana UDM Search, actualiza tu búsqueda y haz clic en Run Search.

   Puedes refinar la búsqueda y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda en el UDM.

5. Haz clic en Guardar cambios.

Se modificó la etiqueta personalizada.

Borra una etiqueta personalizada

Si borras una etiqueta, se evitará que se asocien datos nuevos con ella. Los datos que ya están asociados con la etiqueta permanecen asociados a ella. Después de borrarla, no podrás recuperarla ni volver a usar su nombre para crear etiquetas nuevas.

1. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

2. En la pestaña Etiquetas personalizadas, haz clic en el more_vert Menú de la etiqueta que deseas borrar y selecciona Borrar.

3. Haz clic en Borrar.

4. En la ventana de confirmación, haz clic en Confirmar.

Se borra la etiqueta personalizada.

Ver etiqueta personalizada

Para ver los detalles de una etiqueta personalizada, haz lo siguiente:

1. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

2. En la pestaña Etiquetas personalizadas, haz clic en el more_vert menú junto a la etiqueta que deseas editar y selecciona Ver.

   Se muestran los detalles de la etiqueta.

Crea y administra permisos

Puedes crear y administrar permisos de datos en la interfaz de usuario de Google SecOps y, luego, asignar esos permisos a usuarios o grupos a través de IAM. Puedes crear un alcance aplicando etiquetas que definan los datos a los que tiene acceso un usuario con el alcance.

Crea permisos

Para crear un alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en Crear permiso.

4. En la ventana Crear alcance nuevo, haz lo siguiente:

   1. Ingresa el Nombre del alcance y la Descripción.

   2. En Define scope access with labels > Allow access, haz lo siguiente:

      • Para seleccionar las etiquetas y sus valores correspondientes a los que quieres otorgar acceso a los usuarios, haz clic en Permitir ciertas etiquetas.

        En una definición de alcance, las etiquetas del mismo tipo (por ejemplo, el tipo de registro) se combinan con el operador OR, mientras que las etiquetas de diferentes tipos (por ejemplo, el tipo de registro y el espacio de nombres) se combinan con el operador AND. Para obtener más información sobre cómo las etiquetas definen el acceso a los datos en los permisos, consulta Visibilidad de los datos con etiquetas de permiso y denegación.

      • Para otorgar acceso a todos los datos, selecciona Permitir el acceso a todas las etiquetas.

   3. Para excluir el acceso a algunas etiquetas, selecciona Excluir ciertas etiquetas y, luego, elige el tipo de etiqueta y los valores correspondientes a los que deseas denegar el acceso a los usuarios.

      Cuando se aplican varias etiquetas de rechazo de acceso dentro de un alcance, se rechaza el acceso si coinciden con alguna de esas etiquetas.

   4. Haz clic en Probar permiso para verificar cómo se aplican las etiquetas al permiso.

   5. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

      Puedes refinar la búsqueda y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda en el UDM.

   6. Haz clic en Crear alcance.

   7. En la ventana Crear alcance, confirma el nombre y la descripción del alcance, y haz clic en Crear alcance.

Se creó el permiso. Debes asignar el alcance a los usuarios para darles acceso a los datos incluidos en él.

Modificar el alcance

Solo puedes modificar la descripción del alcance y las etiquetas asociadas. No se pueden actualizar los nombres de los ámbitos. Después de actualizar un alcance, los usuarios asociados a él se restringirán según las etiquetas nuevas. Las reglas vinculadas al alcance no se vuelven a correlacionar con la regla actualizada.

Para modificar un alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en more_vert Menú correspondiente al permiso que deseas editar y selecciona Editar.

4. Haz clic en edit Editar para editar la descripción del alcance.

5. En la sección Define scope access with labels, actualiza las etiquetas y sus valores correspondientes según sea necesario.

6. Haz clic en Probar permiso para verificar cómo se aplican las etiquetas nuevas al permiso.

7. En la ventana UDM Search, escribe tu consulta y haz clic en Run Search.

   Puedes refinar la búsqueda y hacer clic en Ejecutar búsqueda hasta que los resultados muestren los datos que deseas etiquetar. Para obtener más información sobre cómo ejecutar una consulta, consulta Cómo ingresar una búsqueda en el UDM.

8. Haz clic en Guardar cambios.

Se modificó el permiso.

Borra el permiso

Cuando se borra un alcance, los usuarios no tienen acceso a los datos asociados con él. Después de la eliminación, el nombre del permiso no se puede volver a usar para crear permisos nuevos.

Para borrar un alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Configuración del SIEM > Acceso a los datos.

3. En la pestaña Permisos, haz clic en more_vert Menú junto al permiso que deseas borrar.

4. Haz clic en Borrar.

5. En la ventana de confirmación, haz clic en Confirmar.

Se borró el permiso.

Permiso de visualización

Para ver los detalles del alcance, haz lo siguiente:

1. Accede a Google SecOps.

2. Haz clic en Configuración > Acceso a los datos.

3. En la pestaña Permisos, haz clic en more_vert Menú junto al permiso que deseas ver y selecciona Ver.

Se muestran los detalles del alcance.

Cómo asignar permisos a los usuarios

La asignación de alcance es necesaria para controlar el acceso a los datos de los usuarios con permisos restringidos. Asignar permisos específicos a los usuarios determina los datos que pueden ver y con los que pueden interactuar. Cuando a un usuario se le asignan varios permisos, obtiene acceso a los datos combinados de todos esos permisos. Puedes asignar los permisos adecuados a los usuarios que requieran acceso global para que puedan ver todos los datos y, también, interactuar con ellos.

Para asignar un alcance a un usuario, haz lo siguiente:

1. En la consola de Google Cloud , ve a la página IAM.

   Ir a IAM

2. Selecciona el proyecto vinculado a Google SecOps.

3. Haz clic en person_addGrant access.

4. En el campo Principales nuevas, haz lo siguiente:

   1. Si usas la federación de identidades de personal o cualquier otra autenticación de terceros, agrega tu identificador principal de la siguiente manera:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Reemplaza lo siguiente:

      • POOL_ID: Es el identificador del grupo creado para tu proveedor de identidad.
      • USER_EMAIL: la dirección de correo electrónico del usuario.

   2. Si usas Cloud Identity o Google Workspace, agrega tu identificador principal de la siguiente manera:

      user:USER_EMAIL

      Reemplaza lo siguiente:

      • USER_EMAIL: la dirección de correo electrónico del usuario.

5. En el menú Asignar roles > Seleccionar un rol, selecciona el rol requerido. Haz clic en Agregar otro rol para agregar varios roles. Para comprender qué roles se deben agregar, consulta Roles del usuario.

6. Para asignar un alcance al usuario, agrega condiciones al rol de acceso restringido a los datos de Chronicle que se le asignó (no se aplica a los roles de acceso global).

   1. Haz clic en Agregar condición de IAM en el rol Acceso restringido a datos de Chronicle. Aparecerá la ventana Agregar condición.

   2. Ingresa el título de la condición y la descripción opcional.

   3. Agrega la expresión de condición.

      Puedes agregar una expresión de condición con el Creador de condiciones o el Editor de condiciones.

      El creador de condiciones proporciona una interfaz interactiva para seleccionar el tipo de condición, el operador y otros detalles aplicables sobre la expresión. Los siguientes operadores te permiten crear reglas precisas para controlar el acceso a varios permisos con una sola condición de IAM:

   • ENDS_WITH: Verifica si el nombre del alcance termina con una palabra específica. Para que coincida con la palabra exacta, agrega un / antes de la palabra.

     Considera un ejemplo de permiso de acceso a datos llamado projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename coincide con el nombre exacto y se evalúa como true para el alcance del ejemplo.

     • ENDS_WITH scopename coincide con cualquier nombre que termine con "scopename" y se evalúa como true para el alcance de ejemplo y también para projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

   • STARTS_WITH: Verifica si el nombre del alcance comienza con una palabra específica. Por ejemplo, STARTS_WITH projects/project1 otorga acceso a todos los permisos dentro de "project1".

   • EQUALS_TO: Verifica si el nombre coincide exactamente con una palabra o frase específica. Esto otorga acceso a un solo permiso. Por ejemplo, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename se evalúa como true para el alcance del ejemplo.

   Para agregar permisos al rol, te recomendamos que hagas lo siguiente:

   1. Selecciona Nombre en Tipo de condición, el operador en Operador y, luego, ingresa el nombre del alcance en Valor.

      /<scopename>

   2. Para asignar varios permisos, agrega más condiciones con el operador OR. Puedes agregar hasta 12 condiciones para cada vinculación de rol. Para agregar más de 12 condiciones, crea varias vinculaciones de roles y agrega hasta 12 condiciones a cada una de ellas.

      Para obtener más información sobre las condiciones, consulta Descripción general de las condiciones de IAM.

   3. Haz clic en Guardar.

      El editor de condiciones proporciona una interfaz basada en texto en la que puedes ingresar de forma manual una expresión con la sintaxis CEL.

   4. Ingresa la siguiente expresión:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Haz clic en Ejecutar lint para validar la sintaxis de CEL.

   6. Haz clic en Guardar.

7. Haz clic en Probar cambios para ver cómo afectan tus cambios al acceso de los usuarios a los datos.

8. Haz clic en Guardar.

Ahora los usuarios pueden acceder a los datos asociados con los alcances.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.