Cette page a été traduite par l'API Cloud Translation.

Configurer le RBAC des données pour les utilisateurs

Compatible avec :

Google SecOps SIEM

Cette page explique comment les administrateurs du contrôle des accès basé sur les rôles pour les données (RBAC pour les données) peuvent configurer le RBAC pour les données dans Google Security Operations. En créant et en attribuant des niveaux d'accès aux données, définis par des libellés, vous pouvez vérifier que les données ne sont accessibles qu'aux utilisateurs autorisés.

Le RBAC des données s'appuie sur des concepts IAM, y compris les rôles prédéfinis, les rôles personnalisés et les conditions IAM.

Voici un aperçu général du processus de configuration :

Planifiez votre implémentation : identifiez les différents types de données auxquels vous souhaitez limiter l'accès des utilisateurs. Identifiez les différents rôles au sein de votre organisation et déterminez les exigences d'accès aux données pour chacun d'eux.
Facultatif : Créez des libellés personnalisés : créez des libellés personnalisés (en plus des libellés par défaut) pour classer vos données.
Créez des portées de données : définissez des portées en combinant des libellés pertinents.
Attribuez des niveaux d'accès aux utilisateurs : attribuez des niveaux d'accès aux rôles utilisateur dans IAM en fonction de leurs responsabilités.

Lorsque le RBAC des données est activé pour la première fois, aucune portée n'est attribuée aux règles, aux listes de référence et aux tables de données. Seuls les utilisateurs disposant d'un accès global ont accès aux données. Par défaut, les utilisateurs à accès limité n'ont accès à aucune donnée. Cela permet d'éviter tout accès non souhaité et de vérifier que le point de départ est sécurisé. Pour accorder l'accès, définissez des niveaux d'accès et attribuez-les aux utilisateurs, aux règles et aux listes de référence en fonction de vos besoins.

Avant de commencer

Pour comprendre les concepts de base du RBAC des données, les différents types d'accès et les rôles utilisateur correspondants, le fonctionnement des libellés et des portées, ainsi que l'impact du RBAC des données sur les fonctionnalités Google SecOps, consultez Présentation du RBAC des données.
Intégrez votre instance Google SecOps. Pour en savoir plus, consultez Intégrer ou migrer une instance Google SecOps.
Assurez-vous de disposer des rôles requis.
Le contrôle RBAC des données n'est pas activé par défaut. Pour activer le RBAC des données, contactez l'assistance Google SecOps.

Créer et gérer des libellés personnalisés

Les libellés personnalisés sont des métadonnées que vous pouvez ajouter aux données Google SecOps ingérées dans le SIEM pour les catégoriser et les organiser en fonction des valeurs normalisées de l'UDM.

Par exemple, supposons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre les événements DHCP (Dynamic Host Configuration Protocol) d'une adresse IP spécifique (10.0.0.1) que vous soupçonnez d'avoir été piratée.

Pour filtrer et identifier ces événements spécifiques, vous pouvez créer un libellé personnalisé nommé "Activité DHCP suspecte" avec la définition suivante :

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

L'étiquette personnalisée fonctionne de la manière suivante :

Google SecOps ingère en continu les journaux et événements réseau dans son UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères du libellé personnalisé. Si le champ metadata.event_type est défini sur NETWORK_DHCP et si le champ principal.ip (adresse IP de l'appareil demandant le bail DHCP) est défini sur 10.0.0.1, Google SecOps applique le libellé personnalisé à l'événement.

Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer un champ d'application et l'attribuer aux utilisateurs concernés. L'attribution de champ d'application vous permet de restreindre l'accès à ces événements à des utilisateurs ou rôles spécifiques de votre organisation.

Exigences et limites concernant les libellés

Les noms des libellés doivent être uniques et ne peuvent pas comporter plus de 63 caractères. Ils ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Ils ne peuvent pas être réutilisés après suppression.
Les libellés ne peuvent pas utiliser de listes de référence.
Les libellés ne peuvent pas utiliser de champs d'enrichissement.
Les libellés ne sont pas compatibles avec les expressions régulières.

Créer une étiquette personnalisée

Pour créer un libellé personnalisé :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.
Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.

Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Créer un libellé.
Dans la fenêtre Créer un libellé, sélectionnez Enregistrer comme nouveau libellé, puis saisissez le nom et la description du libellé.
Cliquez sur Créer un libellé.

Un libellé personnalisé est créé. Lors de l'ingestion des données, ce libellé est appliqué aux données qui correspondent à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.

Modifier une étiquette personnalisée

Vous ne pouvez modifier que la description et la requête associées à un libellé. Les noms des libellés ne peuvent pas être modifiés. Lorsque vous modifiez un libellé personnalisé, les modifications ne s'appliquent qu'aux nouvelles données et non à celles qui ont déjà été ingérées.

Pour modifier un libellé, procédez comme suit :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Libellés personnalisés, cliquez sur le menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.
Dans la fenêtre Recherche UDM, modifiez votre requête, puis cliquez sur Exécuter la recherche.

Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Enregistrer les modifications.

L'étiquette personnalisée est modifiée.

Supprimer une étiquette personnalisée

La suppression d'un libellé empêche l'association de nouvelles données à celui-ci. Les données déjà associées au libellé le restent. Une fois le libellé personnalisé supprimé, vous ne pouvez pas le récupérer ni réutiliser son nom pour créer d'autres libellés.

Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Libellés personnalisés, cliquez sur le menu du libellé que vous souhaitez supprimer, puis sélectionnez Supprimer.
Cliquez sur Supprimer.
Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le libellé personnalisé est supprimé.

Afficher une étiquette personnalisée

Pour afficher les détails d'un libellé personnalisé :

Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Libellés personnalisés, cliquez sur Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.

Les détails du libellé s'affichent.

Créer et gérer des niveaux d'accès

Vous pouvez créer et gérer des étendues de données dans l'interface utilisateur Google SecOps, puis les attribuer à des utilisateurs ou à des groupes via IAM. Vous pouvez créer un champ d'application en appliquant des libellés qui définissent les données auxquelles un utilisateur ayant ce champ d'application a accès.

Créer des niveaux d'accès

Pour créer un champ d'application, procédez comme suit :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Niveaux d'accès, cliquez sur Créer un niveau d'accès.
Dans la fenêtre Créer un champ d'application, procédez comme suit :
1. Saisissez le nom du champ d'application et la description.
2. Dans Définir l'accès au champ d'application avec des libellés > Autoriser l'accès, procédez comme suit :
  - Pour sélectionner les libellés et les valeurs correspondantes auxquels vous souhaitez accorder l'accès aux utilisateurs, cliquez sur Autoriser certains libellés.
    
    Dans une définition de champ d'application, les libellés du même type (par exemple, le type de journal) sont combinés à l'aide de l'opérateur OR, tandis que les libellés de types différents (par exemple, le type de journal et l'espace de noms) sont combinés à l'aide de l'opérateur AND. Pour en savoir plus sur la façon dont les libellés définissent l'accès aux données dans les niveaux d'accès, consultez Visibilité des données avec les libellés "Autoriser" et "Refuser".
  - Pour autoriser l'accès à toutes les données, sélectionnez Autoriser l'accès à tout.
3. Pour exclure l'accès à certains libellés, sélectionnez Exclure certains libellés, puis sélectionnez le type de libellé et les valeurs correspondantes auxquelles vous souhaitez refuser l'accès aux utilisateurs.
  
  Lorsque plusieurs étiquettes d'accès refusé sont appliquées dans un champ d'application, l'accès est refusé si elles correspondent à l'une de ces étiquettes.
4. Cliquez sur Tester le champ d'application pour vérifier comment les libellés sont appliqués au champ d'application.
5. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.
  
  Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
6. Cliquez sur Créer un champ d'application.
7. Dans la fenêtre Créer un champ d'application, confirmez le nom et la description du champ d'application, puis cliquez sur Créer un champ d'application.

Le champ d'application est créé. Vous devez attribuer le champ d'application aux utilisateurs pour leur donner accès aux données qu'il contient.

Modifier le champ d'application

Vous ne pouvez modifier que la description du champ d'application et les libellés associés. Les noms des champs d'application ne peuvent pas être modifiés. Une fois que vous avez mis à jour un champ d'application, les utilisateurs associés à ce champ sont soumis aux nouvelles restrictions. Les règles associées au champ d'application ne sont pas remises en correspondance avec celui mis à jour.

Pour modifier un champ d'application :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Scopes, cliquez sur Menu correspondant au scope que vous souhaitez modifier, puis sélectionnez Modifier.
Cliquez sur Modifier pour modifier la description du champ d'application.
Dans la section Définir l'accès au champ d'application avec des libellés, mettez à jour les libellés et leurs valeurs correspondantes si nécessaire.
Cliquez sur Tester le champ d'application pour vérifier comment les nouveaux libellés sont appliqués au champ d'application.
Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Exécuter la recherche.

Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez étiqueter. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.
Cliquez sur Enregistrer les modifications.

Le champ d'application est modifié.

Supprimer le champ d'application

Lorsqu'un champ d'application est supprimé, les utilisateurs n'ont plus accès aux données qui y sont associées. Une fois supprimé, le nom du champ d'application ne peut pas être réutilisé pour créer d'autres champs d'application.

Pour supprimer un champ d'application :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Paramètres du SIEM > Accès aux données.
Dans l'onglet Scopes (Portées), cliquez sur Menu à côté de la portée que vous souhaitez supprimer.
Cliquez sur Supprimer.

Remarque : Une fois que vous avez supprimé un champ d'application, vous ne pouvez plus réutiliser son nom.
Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le champ d'application est supprimé.

Afficher le champ d'application

Pour afficher les détails d'un champ d'application, procédez comme suit :

Connectez-vous à Google SecOps.
Cliquez sur Paramètres > Accès aux données.
Dans l'onglet Scopes (Portées), cliquez sur Menu à côté de la portée que vous souhaitez afficher, puis sélectionnez View (Afficher).

Les détails du champ d'application s'affichent.

Attribuer un champ d'application aux utilisateurs

L'attribution de champ d'application est nécessaire pour contrôler l'accès aux données des utilisateurs disposant d'autorisations restreintes. L'attribution de niveaux d'accès spécifiques aux utilisateurs détermine les données qu'ils peuvent consulter et avec lesquelles ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs niveaux d'accès, il a accès aux données combinées de tous ces niveaux. Vous pouvez attribuer les champs d'application appropriés aux utilisateurs qui ont besoin d'un accès global pour qu'ils puissent afficher toutes les données et interagir avec elles.

Pour attribuer un champ d'application à un utilisateur, procédez comme suit :

Dans la console Google Cloud , accédez à la page IAM.

Accéder à IAM
Sélectionnez le projet lié à Google SecOps.
Cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux, procédez comme suit :
1. Si vous utilisez la fédération d'identité de personnel ou toute autre authentification tierce, ajoutez votre identifiant principal comme suit :
```
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
```
  Remplacez les éléments suivants :
  - POOL_ID : identifiant du pool créé pour votre fournisseur d'identité.
  - USER_EMAIL : Adresse e-mail de l'utilisateur.
2. Si vous utilisez Cloud Identity ou Google Workspace, ajoutez votre identifiant principal comme suit :
```
user:USER_EMAIL
```
  Remplacez les éléments suivants :
  - USER_EMAIL : Adresse e-mail de l'utilisateur.
Dans le menu Attribuer des rôles > Sélectionner un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour savoir quels rôles doivent être ajoutés, consultez Rôles utilisateur.
Pour attribuer un champ d'application à l'utilisateur, ajoutez des conditions au rôle "Accès restreint aux données Chronicle" qui lui est attribué (ne s'applique pas aux rôles d'accès global).
1. Cliquez sur Ajouter une condition IAM en face du rôle Accès restreint aux données Chronicle. La fenêtre Ajouter une condition s'affiche.
2. Saisissez le titre de la condition et la description facultative.
3. Ajoutez l'expression de condition.
  
  Vous pouvez ajouter une expression de condition à l'aide du Générateur de conditions ou de l'Éditeur de conditions.
  
  L'outil Créateur de conditions fournit une interface interactive permettant de sélectionner le type de condition, l'opérateur et d'autres informations applicables concernant l'expression. Les opérateurs suivants vous permettent de créer des règles précises pour contrôler l'accès à plusieurs niveaux d'accès avec une seule condition IAM :
- ENDS_WITH : vérifie si le nom du champ d'application se termine par un mot spécifique. Pour trouver le mot exact, ajoutez / devant le mot.
  
  Prenons l'exemple d'un niveau d'accès aux données nommé projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.
  - ENDS_WITH /scopename correspond exactement au nom et est évalué comme true pour l'exemple de portée.
  - ENDS_WITH scopename correspond à tout nom se terminant par "scopename" et est évalué comme true pour l'exemple de portée et également pour projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.
- STARTS_WITH : vérifie si le nom du champ d'application commence par un mot spécifique. Par exemple, STARTS_WITH projects/project1 accorde l'accès à tous les niveaux d'accès dans "project1".
- EQUALS_TO : vérifie si le nom correspond exactement à un mot ou une expression spécifiques. Cela ne donne accès qu'à un seul champ d'application. Par exemple, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename est évalué comme true pour l'exemple de portée.
Pour ajouter des niveaux d'accès au rôle, nous vous recommandons de procéder comme suit :
1. Sélectionnez Nom dans Type de condition, l'opérateur dans Opérateur, puis saisissez le nom du champ d'application dans Valeur.
  
  /<scopename>
2. Pour attribuer plusieurs portées, ajoutez d'autres conditions à l'aide de l'opérateur OR. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour ajouter plus de 12 conditions, créez plusieurs liaisons de rôle et ajoutez jusqu'à 12 conditions à chacune d'elles.
  
  Pour en savoir plus sur les conditions, consultez la présentation des conditions IAM.
3. Cliquez sur Enregistrer.
  
  L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement une expression à l'aide de la syntaxe CEL.
4. Saisissez l'expression suivante :
```
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
```
5. Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.
6. Cliquez sur Enregistrer.
  
  Remarque : Les liaisons de rôle conditionnelles ne remplacent pas les liaisons de rôle sans condition. Si un compte principal est lié à un rôle et que la liaison de rôle n'a pas de condition, le compte principal dispose toujours de ce rôle. L'ajout du compte principal à une liaison conditionnelle pour le même rôle n'a aucun effet.
Cliquez sur Tester les modifications pour voir comment vos modifications affectent l'accès des utilisateurs aux données.
Cliquez sur Enregistrer.

Les utilisateurs peuvent désormais accéder aux données associées aux niveaux d'accès.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.