Configurer RBAC pour les données pour les utilisateurs

Cette page explique comment les administrateurs du contrôle des accès basé sur les rôles (RBAC) des données peuvent configurer le RBAC des données dans Google Security Operations. En créant et en attribuant des champs d'application de données, définis par des libellés, vous pouvez vous assurer que les données ne sont accessibles qu'aux utilisateurs autorisés.

Le RBAC des données s'appuie sur des concepts IAM, y compris les rôles prédéfinis, les rôles personnalisés et les conditions IAM.

Voici un aperçu général du processus de configuration:

1. Planifiez votre implémentation:identifiez les différents types de données auxquels vous souhaitez limiter l'accès des utilisateurs. Identifiez les différents rôles au sein de votre organisation et déterminez les exigences d'accès aux données pour chaque rôle.

2. Facultatif: Créer des libellés personnalisés:créez des libellés personnalisés (en plus des libellés par défaut) pour classer vos données.

3. Créez des champs d'application de données:définissez des champs d'application en combinant des libellés pertinents.

4. Attribuer des portées aux utilisateurs:attribuez des portées aux rôles utilisateur dans IAM en fonction de leurs responsabilités.

Avant de commencer

• Pour comprendre les concepts de base du RBAC des données, les différents types d'accès et les rôles utilisateur correspondants, le fonctionnement des libellés et des champs d'application, et l'impact du RBAC des données sur les fonctionnalités Google SecOps, consultez la page Présentation du RBAC des données.

• Intégrez votre instance Google SecOps. Pour en savoir plus, consultez Intégrer ou migrer une instance Google Security Operations.

• Assurez-vous de disposer des rôles requis.

Créer et gérer des libellés personnalisés

Les libellés personnalisés sont des métadonnées que vous pouvez ajouter aux données Google SecOps ingérées par le SIEM pour les classer et les organiser en fonction des valeurs normalisées par UDM.

Imaginons que vous souhaitiez surveiller l'activité réseau. Vous souhaitez suivre les événements DHCP (Dynamic Host Configuration Protocol) à partir d'une adresse IP spécifique (10.0.0.1) que vous pensez être compromise.

Pour filtrer et identifier ces événements spécifiques, vous pouvez créer un libellé personnalisé nommé "Activité DHCP suspecte" avec la définition suivante:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

L'étiquette personnalisée fonctionne comme suit:

Google SecOps ingère en permanence les journaux et les événements réseau dans son UDM. Lorsqu'un événement DHCP est ingéré, Google SecOps vérifie s'il correspond aux critères de la balise personnalisée. Si le champ metadata.event_type est NETWORK_DHCP et si le champ principal.ip (l'adresse IP de l'appareil qui demande le bail DHCP) est 10.0.0.1, Google SecOps applique la balise personnalisée à l'événement.

Vous pouvez utiliser le libellé "Activité DHCP suspecte" pour créer un champ d'application et l'attribuer aux utilisateurs concernés. L'attribution de la portée vous permet de limiter l'accès à ces événements à des utilisateurs ou à des rôles spécifiques de votre organisation.

Exigences et limites concernant les libellés

• Les noms d'étiquette doivent être uniques et comporter au maximum 63 caractères. Elles ne peuvent contenir que des lettres minuscules, des chiffres et des traits d'union. Une fois supprimés, ils ne peuvent plus être réutilisés.
• Les libellés ne peuvent pas utiliser de listes de référence.
• Les libellés ne peuvent pas utiliser de champs d'enrichissement.
• Les libellés n'acceptent pas les expressions régulières.

Créer une étiquette personnalisée

Pour créer une étiquette personnalisée, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Étiquettes personnalisées, cliquez sur Créer une étiquette personnalisée.

4. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Créer un libellé.

6. Dans la fenêtre Créer un libellé, sélectionnez Enregistrer en tant que nouveau libellé, puis saisissez le nom et la description du libellé.

7. Cliquez sur Créer un libellé.

   Un nouveau libellé personnalisé est créé. Lors de l'ingestion des données, ce libellé est appliqué aux données correspondant à la requête UDM. Le libellé n'est pas appliqué aux données déjà ingérées.

Modifier une étiquette personnalisée

Vous ne pouvez modifier que la description et la requête associées à un libellé. Les noms des libellés ne peuvent pas être modifiés. Lorsque vous modifiez un libellé personnalisé, les modifications ne s'appliquent qu'aux nouvelles données et non aux données déjà ingérées.

Pour modifier un libellé, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Libellés personnalisés, cliquez sur more_vert Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Modifier.

4. Dans la fenêtre Recherche UDM, modifiez votre requête, puis cliquez sur Lancer la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

5. Cliquez sur Enregistrer les modifications.

Le libellé personnalisé est modifié.

Supprimer une étiquette personnalisée

Si vous supprimez un libellé, vous ne pourrez plus lui associer de nouvelles données. Les données déjà associées au libellé restent associées au libellé. Une fois le libellé personnalisé supprimé, vous ne pouvez plus le récupérer ni réutiliser son nom pour créer d'autres libellés.

1. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

2. Dans l'onglet Libellés personnalisés, cliquez sur le Menu more_vert du libellé que vous souhaitez supprimer, puis sélectionnez Supprimer.

3. Cliquez sur Supprimer.

4. Dans la fenêtre de confirmation, cliquez sur Confirmer.

L'étiquette personnalisée est supprimée.

Afficher l'étiquette personnalisée

Pour afficher les détails d'un libellé personnalisé, procédez comme suit:

1. Cliquez sur Settings > SIEM Settings > Data Access (Paramètres > Paramètres du SIEM > Accès aux données).

2. Dans l'onglet Libellés personnalisés, cliquez sur more_vert Menu à côté du libellé que vous souhaitez modifier, puis sélectionnez Afficher.

   Les détails de l'étiquette s'affichent.

Créer et gérer des portées

Vous pouvez créer et gérer des champs d'application de données dans l'interface utilisateur Google SecOps, puis les attribuer à des utilisateurs ou à des groupes via IAM. Vous pouvez créer une portée en appliquant des libellés qui définissent les données auxquelles un utilisateur disposant de la portée a accès.

Créer des champs d'application

Pour créer un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Champs d'application, cliquez sur Créer un champ d'application.

4. Dans la fenêtre Créer un champ d'application, procédez comme suit:

   1. Saisissez Nom de la portée et Description.

   2. Dans Définir l'accès au champ d'application avec des libellés > Autoriser l'accès, procédez comme suit:

      • Pour sélectionner les libellés et les valeurs correspondantes auxquels vous souhaitez accorder l'accès aux utilisateurs, cliquez sur Autoriser certains libellés.

        Dans une définition de champ d'application, les libellés du même type (par exemple, le type de journal) sont combinés à l'aide de l'opérateur OU, tandis que les libellés de différents types (par exemple, le type de journal et l'espace de noms) sont combinés à l'aide de l'opérateur ET. Pour en savoir plus sur la façon dont les libellés définissent l'accès aux données dans les portées, consultez la section Visibilité des données avec les libellés d'autorisation et de refus.

      • Pour autoriser l'accès à toutes les données, sélectionnez Tout autoriser.

   3. Pour exclure l'accès à certains libellés, sélectionnez Exclure certains libellés, puis sélectionnez le type de libellé et les valeurs correspondantes auxquelles vous souhaitez refuser l'accès aux utilisateurs.

      Lorsque plusieurs étiquettes d'accès refusé sont appliquées dans un champ d'application, l'accès est refusé si elles correspondent à l'une de ces étiquettes.

   4. Cliquez sur Tester le champ d'application pour vérifier comment les libellés sont appliqués au champ d'application.

   5. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

      Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

   6. Cliquez sur Créer un champ d'application.

   7. Dans la fenêtre Créer un champ d'application, confirmez le nom et la description du champ d'application, puis cliquez sur Créer un champ d'application.

Le champ d'application est créé. Vous devez attribuer la portée aux utilisateurs pour leur donner accès aux données de la portée.

Modifier le champ d'application

Vous ne pouvez modifier que la description du champ d'action et les libellés associés. Les noms de portée ne peuvent pas être modifiés. Une fois que vous avez modifié une portée, les utilisateurs qui y sont associés sont limités conformément aux nouveaux libellés. Les règles liées au champ d'application ne sont pas remises en correspondance avec la version mise à jour.

Pour modifier un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Champ d'application, cliquez sur more_vert Menu correspondant au champ d'application que vous souhaitez modifier, puis sélectionnez Modifier.

4. Cliquez sur edit Modifier pour modifier la description de la portée.

5. Dans la section Définir l'accès au champ d'application avec des libellés, mettez à jour les libellés et leurs valeurs correspondantes si nécessaire.

6. Cliquez sur Tester le champ d'application pour vérifier comment les nouveaux libellés sont appliqués au champ d'application.

7. Dans la fenêtre Recherche UDM, saisissez votre requête, puis cliquez sur Lancer la recherche.

   Vous pouvez affiner la requête et cliquer sur Exécuter la recherche jusqu'à ce que les résultats affichent les données que vous souhaitez libeller. Pour en savoir plus sur l'exécution d'une requête, consultez Saisir une recherche UDM.

8. Cliquez sur Enregistrer les modifications.

Le champ d'application est modifié.

Supprimer le champ d'application

Lorsqu'un champ d'application est supprimé, les utilisateurs n'ont plus accès aux données qui lui sont associées. Une fois supprimé, le nom du champ d'application ne peut plus être réutilisé pour créer d'autres champs d'application.

Pour supprimer un champ d'application, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings (Paramètres) > SIEM Settings (Paramètres du SIEM) > Data Access (Accès aux données).

3. Dans l'onglet Champ d'application, cliquez sur more_vert Menu à côté du champ d'application que vous souhaitez supprimer.

4. Cliquez sur Supprimer.

5. Dans la fenêtre de confirmation, cliquez sur Confirmer.

Le champ d'application est supprimé.

Champ d'application de la vue

Pour afficher les détails de la portée, procédez comme suit:

1. Connectez-vous à Google SecOps.

2. Cliquez sur Settings > Data Access (Paramètres > Accès aux données).

3. Dans l'onglet Champ d'application, cliquez sur more_vert Menu à côté du champ d'application que vous souhaitez afficher, puis sélectionnez Afficher.

Les détails de la portée s'affichent.

Attribuer un champ d'application aux utilisateurs

L'attribution de champ d'application est requise pour contrôler l'accès aux données des utilisateurs disposant d'autorisations limitées. L'attribution de champs d'application spécifiques aux utilisateurs détermine les données qu'ils peuvent consulter et avec lesquelles ils peuvent interagir. Lorsqu'un utilisateur se voit attribuer plusieurs portées, il a accès aux données combinées de toutes ces portées. Vous pouvez attribuer les champs d'application appropriés aux utilisateurs qui ont besoin d'un accès global afin qu'ils puissent consulter et interagir avec toutes les données. Pour attribuer des portées à un utilisateur, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM

2. Sélectionnez le projet associé à Google SecOps.

3. Cliquez sur person_add Accorder l'accès.

4. Dans le champ Nouveaux comptes principaux, ajoutez votre identifiant de compte principal comme suit:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Dans le menu Attribuer des rôles > Sélectionner un rôle, sélectionnez le rôle requis. Cliquez sur Ajouter un autre rôle pour ajouter plusieurs rôles. Pour savoir quels rôles doivent être ajoutés, consultez la section Rôles utilisateur.

6. Pour attribuer un champ d'application à l'utilisateur, ajoutez des conditions au rôle d'accès aux données Chronicle restreint qui lui est attribué (ne s'applique pas aux rôles d'accès global).

   1. Cliquez sur Ajouter une condition IAM pour le rôle Chronicle Restricted Data Access. La fenêtre Ajouter une condition s'affiche.

   2. Saisissez le titre de la condition et une description facultative.

   3. Ajoutez l'expression de condition.

      Vous pouvez ajouter une expression de condition à l'aide du Générateur de conditions ou de l'Éditeur de conditions.

      L'outil Créateur de conditions fournit une interface interactive permettant de sélectionner le type de condition, l'opérateur et d'autres informations applicables concernant l'expression. Ajoutez les conditions selon vos besoins à l'aide des opérateurs OU. Pour ajouter des champs d'application au rôle, nous vous recommandons de procéder comme suit:

      1. Sélectionnez Nom dans Type de condition, Se termine par dans Opérateur, puis saisissez /<scopename> dans Valeur.

      2. Pour attribuer plusieurs portées, ajoutez d'autres conditions à l'aide de l'opérateur OU. Vous pouvez ajouter jusqu'à 12 conditions pour chaque liaison de rôle. Pour ajouter plus de 12 conditions, créez plusieurs liaisons de rôle et ajoutez jusqu'à 12 conditions à chacune d'elles.

      Pour en savoir plus sur les conditions, consultez la page Présentation des conditions IAM.

   4. Cliquez sur Enregistrer.

   L'éditeur de conditions fournit une interface textuelle permettant de saisir manuellement une expression à l'aide de la syntaxe CEL.

   1. Saisissez l'expression suivante:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Cliquez sur Exécuter l'outil lint pour valider la syntaxe CEL.

   3. Cliquez sur Enregistrer.

      Remarque:Les liaisons de rôle conditionnelles ne remplacent pas les liaisons de rôle sans condition. Si un compte principal est lié à un rôle et que la liaison de rôle n'a pas de condition, le compte principal dispose toujours de ce rôle. L'ajout du compte principal à une liaison conditionnelle pour le même rôle n'a aucun effet.

7. Cliquez sur Tester les modifications pour voir l'impact de vos modifications sur l'accès des utilisateurs aux données.

8. Cliquez sur Enregistrer.

Les utilisateurs peuvent désormais accéder aux données associées aux champs d'application.