Configurare il controllo dell'accesso basato sui ruoli per i dati per gli utenti

Questa pagina descrive come gli amministratori del controllo degli accessi basato su ruoli per i dati (RBAC per i dati) possono configurare RBAC per i dati in Google Security Operations. Tramite la creazione e l'assegnazione di ambiti di dati, definiti da etichette, puoi verificare che i dati siano accessibili solo agli utenti autorizzati.

Il controllo degli accessi basato sui ruoli per i dati si basa sui concetti di IAM, tra cui ruoli predefiniti, ruoli personalizzati e condizioni IAM.

Di seguito è riportata una panoramica generale della procedura di configurazione:

1. Pianifica l'implementazione:identifica i diversi tipi di dati a cui vuoi limitare l'accesso degli utenti. Identifica i diversi ruoli all'interno della tua organizzazione e determina i requisiti di accesso ai dati per ciascun ruolo.

2. (Facoltativo) Crea etichette personalizzate: crea etichette personalizzate (oltre alle etichette predefinite) per classificare i dati.

3. Crea ambiti di dati:definisci gli ambiti combinando le etichette pertinenti.

4. Assegna ambiti agli utenti:assegna ambiti ai ruoli utente in IAM in base alle loro responsabilità.

Quando il controllo dell'accesso basato sui ruoli per i dati viene attivato per la prima volta, a regole, elenchi di riferimento e tabelle di dati non vengono assegnati ambiti. Solo gli utenti con accesso globale hanno accesso ai dati. Per impostazione predefinita, gli utenti con ambito non hanno accesso ad alcun dato. In questo modo si impedisce l'accesso non intenzionale e si verifica un punto di partenza sicuro. Per concedere l'accesso, definisci gli ambiti e assegnali a utenti, regole ed elenchi di riferimento in base ai tuoi requisiti.

Prima di iniziare

• Per comprendere i concetti di base di RBAC per i dati, i diversi tipi di accesso e i ruoli utente corrispondenti, il funzionamento di etichette e ambiti e l'impatto di RBAC per i dati sulle funzionalità di Google SecOps, consulta la panoramica di RBAC per i dati.

• Esegui l'onboarding dell'istanza Google SecOps. Per saperne di più, vedi Eseguire l'onboarding o la migrazione di un'istanza Google SecOps.

• Assicurati di disporre dei ruoli richiesti.

• RBAC per i dati non è abilitato per impostazione predefinita. Per attivare RBAC dei dati, contatta l'assistenza di Google SecOps.

Creare e gestire etichette personalizzate

Le etichette personalizzate sono metadati che puoi aggiungere ai dati Google SecOps importati nel SIEM per classificarli e organizzarli in base ai valori normalizzati UDM.

Ad esempio, supponiamo che tu voglia monitorare l'attività di rete. Vuoi monitorare gli eventi DHCP (Dynamic Host Configuration Protocol) da un indirizzo IP specifico (10.0.0.1) che sospetti possa essere compromesso.

Per filtrare e identificare questi eventi specifici, puoi creare un'etichetta personalizzata con il nome Attività DHCP sospetta con la seguente definizione:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

L'etichetta personalizzata funziona nel seguente modo:

Google SecOps acquisisce continuamente log ed eventi di rete nel suo UDM. Quando viene inserito un evento DHCP, Google SecOps verifica se corrisponde ai criteri dell'etichetta personalizzata. Se il campo metadata.event_type è NETWORK_DHCP e se il campo principal.ip (l'indirizzo IP del dispositivo che richiede il lease DHCP) è 10.0.0.1, Google SecOps applica l'etichetta personalizzata all'evento.

Puoi utilizzare l'etichetta Attività DHCP sospetta per creare un ambito e assegnarlo agli utenti pertinenti. L'assegnazione dell'ambito ti consente di limitare l'accesso a questi eventi a utenti o ruoli specifici all'interno della tua organizzazione.

Requisiti ed limitazioni delle etichette

• I nomi delle etichette devono essere univoci e possono avere una lunghezza massima di 63 caratteri. Possono contenere solo lettere minuscole, caratteri numerici e trattini. Non possono essere riutilizzati dopo l'eliminazione.
• Le etichette non possono utilizzare elenchi di riferimento.
• Le etichette non possono utilizzare campi di arricchimento.
• Le etichette non supportano le espressioni regolari.

Crea etichetta personalizzata

Per creare un'etichetta personalizzata:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su Crea etichetta personalizzata.

4. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, vedi Inserire una ricerca UDM.

5. Fai clic su Crea etichetta.

6. Nella finestra Crea etichetta, seleziona Salva come nuova etichetta e inserisci il nome e la descrizione dell'etichetta.

7. Fai clic su Crea etichetta.

   Viene creata una nuova etichetta personalizzata. Durante l'importazione dati, questa etichetta viene applicata ai dati che corrispondono alla query UDM. L'etichetta non viene applicata ai dati già importati.

Modificare un'etichetta personalizzata

Puoi modificare solo la descrizione dell'etichetta e la query associata. I nomi delle etichette non possono essere aggiornati. Quando modifichi un'etichetta personalizzata, le modifiche vengono applicate solo ai nuovi dati e non a quelli già importati.

Per modificare un'etichetta:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Etichette personalizzate, fai clic su more_vert Menu in corrispondenza dell'etichetta da modificare e seleziona Modifica.

4. Nella finestra Ricerca UDM, aggiorna la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, vedi Inserire una ricerca UDM.

5. Fai clic su Salva modifiche.

L'etichetta personalizzata viene modificata.

Elimina etichetta personalizzata

L'eliminazione di un'etichetta impedisce l'associazione di nuovi dati. I dati già associati all'etichetta rimangono associati all'etichetta. Dopo l'eliminazione, non puoi recuperare l'etichetta personalizzata o riutilizzare il nome dell'etichetta per creare nuove etichette.

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic sul more_vert menu dell'etichetta che vuoi eliminare e seleziona Elimina.

3. Fai clic su Elimina.

4. Nella finestra di conferma, fai clic su Conferma.

L'etichetta personalizzata viene eliminata.

Visualizza etichetta personalizzata

Per visualizzare i dettagli di un'etichetta personalizzata:

1. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

2. Nella scheda Etichette personalizzate, fai clic su more_vert Menu accanto all'etichetta che vuoi modificare e seleziona Visualizza.

   Vengono visualizzati i dettagli dell'etichetta.

Creare e gestire ambiti

Puoi creare e gestire gli ambiti dei dati all'interno dell'interfaccia utente di Google SecOps e poi assegnarli a utenti o gruppi tramite IAM. Puoi creare un ambito applicando etichette che definiscono i dati a cui un utente con l'ambito ha accesso.

Creare ambiti

Per creare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su Crea ambito.

4. Nella finestra Crea nuovo ambito:

   1. Inserisci Nome ambito e Descrizione.

   2. In Definisci l'accesso all'ambito con le etichette > Consenti l'accesso, procedi nel seguente modo:

      • Per selezionare le etichette e i relativi valori a cui vuoi concedere l'accesso agli utenti, fai clic su Consenti determinate etichette.

        In una definizione di ambito, le etichette dello stesso tipo (ad esempio, tipo di log) vengono combinate utilizzando l'operatore OR, mentre le etichette di tipi diversi (ad esempio, tipo di log e spazio dei nomi) vengono combinate utilizzando l'operatore AND. Per saperne di più su come le etichette definiscono l'accesso ai dati negli ambiti, consulta Visibilità dei dati con le etichette di autorizzazione e negazione.

      • Per concedere l'accesso a tutti i dati, seleziona Consenti l'accesso a tutto.

   3. Per escludere l'accesso ad alcune etichette, seleziona Escludi determinate etichette, quindi seleziona il tipo di etichetta e i valori corrispondenti a cui vuoi negare l'accesso agli utenti.

      Quando vengono applicate più etichette di negazione dell'accesso in un ambito, l'accesso viene negato se corrispondono a una qualsiasi di queste etichette.

   4. Fai clic su Testa ambito per verificare in che modo le etichette vengono applicate all'ambito.

   5. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

      Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, vedi Inserire una ricerca UDM.

   6. Fai clic su Crea ambito.

   7. Nella finestra Crea ambito, conferma il nome e la descrizione dell'ambito e fai clic su Crea ambito.

L'ambito è stato creato. Devi assegnare l'ambito agli utenti per concedere loro l'accesso ai dati nell'ambito.

Modifica ambito

Puoi modificare solo la descrizione dell'ambito e le etichette associate. I nomi degli ambiti non possono essere aggiornati. Dopo aver aggiornato un ambito, gli utenti associati all'ambito vengono limitati in base alle nuove etichette. Le regole associate all'ambito non vengono corrispondenti a quelle aggiornate.

Per modificare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic sul more_vert menu corrispondente all'ambito da modificare e seleziona Modifica.

4. Fai clic su edit Modifica per modificare la descrizione dell'ambito.

5. Nella sezione Definisci l'accesso all'ambito con le etichette, aggiorna le etichette e i valori corrispondenti in base alle esigenze.

6. Fai clic su Testa ambito per verificare in che modo le nuove etichette vengono applicate all'ambito.

7. Nella finestra Ricerca UDM, digita la query e fai clic su Esegui ricerca.

   Puoi perfezionare la query e fare clic su Esegui ricerca finché i risultati non mostrano i dati che vuoi etichettare. Per maggiori informazioni sull'esecuzione di una query, vedi Inserire una ricerca UDM.

8. Fai clic su Salva modifiche.

L'ambito viene modificato.

Elimina ambito

Quando un ambito viene eliminato, gli utenti non hanno accesso ai dati associati all'ambito. Dopo l'eliminazione, il nome dell'ambito non può essere riutilizzato per creare nuovi ambiti.

Per eliminare un ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Impostazioni SIEM > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert Menu in corrispondenza dell'ambito che vuoi eliminare.

4. Fai clic su Elimina.

5. Nella finestra di conferma, fai clic su Conferma.

L'ambito viene eliminato.

Visualizza ambito

Per visualizzare i dettagli dell'ambito:

1. Accedi a Google SecOps.

2. Fai clic su Impostazioni > Accesso ai dati.

3. Nella scheda Ambiti, fai clic su more_vert Menu in corrispondenza dell'ambito che vuoi visualizzare e seleziona Visualizza.

Vengono visualizzati i dettagli dell'ambito.

Assegnare l'ambito agli utenti

L'assegnazione dell'ambito è necessaria per controllare l'accesso ai dati per gli utenti con autorizzazioni limitate. L'assegnazione di ambiti specifici agli utenti determina i dati che possono visualizzare e con cui possono interagire. Quando a un utente vengono assegnati più ambiti, questi ottiene l'accesso ai dati combinati di tutti gli ambiti. Puoi assegnare gli ambiti appropriati agli utenti che richiedono l'accesso globale in modo che possano visualizzare e interagire con tutti i dati.

Per assegnare un ambito a un utente:

1. Nella console Google Cloud vai alla pagina IAM.

   Vai a IAM

2. Seleziona il progetto associato a Google SecOps.

3. Fai clic su person_add Concedi l'accesso.

4. Nel campo Nuove entità:

   1. Se utilizzi la federazione delle identità per i carichi di lavoro o qualsiasi altra autenticazione di terze parti, aggiungi l'identificatore principale nel seguente modo:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Sostituisci quanto segue:

      • POOL_ID: l'identificatore del pool creato per il tuo identity provider.
      • USER_EMAIL: l'indirizzo email dell'utente.

   2. Se utilizzi Cloud Identity o Google Workspace, aggiungi l'identificatore principale nel seguente modo:

      user:USER_EMAIL

      Sostituisci quanto segue:

      • USER_EMAIL: l'indirizzo email dell'utente.

5. Nei menu Assegna i ruoli > Seleziona un ruolo, seleziona il ruolo richiesto. Fai clic su Aggiungi un altro ruolo per aggiungere più ruoli. Per capire quali ruoli devono essere aggiunti, consulta Ruoli utente.

6. Per assegnare un ambito all'utente, aggiungi condizioni al ruolo Accesso ai dati con limitazioni di Chronicle assegnato all'utente (non si applica ai ruoli di accesso globale).

   1. Fai clic su Aggiungi condizione IAM in corrispondenza del ruolo Accesso ai dati con limitazioni di Chronicle. Viene visualizzata la finestra Aggiungi condizione.

   2. Inserisci il titolo della condizione e la descrizione facoltativa.

   3. Aggiungi l'espressione della condizione.

      Puoi aggiungere un'espressione di condizione utilizzando il generatore di condizioni o l'editor delle condizioni.

      Il generatore di condizioni fornisce un'interfaccia interattiva per selezionare il tipo di condizione, l'operatore e altri dettagli applicabili relativi all'espressione. I seguenti operatori consentono di creare regole precise per controllare l'accesso a più ambiti con una singola condizione IAM:

   • ENDS_WITH: controlla se il nome dell'ambito termina con una parola specifica. Per trovare la parola esatta, aggiungi / prima della parola.

     Prendi in considerazione un ambito di accesso ai dati di esempio denominato projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename corrisponde al nome esatto e viene valutato come true per l'ambito di esempio.

     • ENDS_WITH scopename corrisponde a qualsiasi nome che termina con "scopename" e viene valutato come true per l'ambito di esempio e anche per projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

   • STARTS_WITH: verifica se il nome dell'ambito inizia con una parola specifica. Ad esempio, STARTS_WITH projects/project1 concede l'accesso a tutti gli ambiti all'interno di "project1".

   • EQUALS_TO: verifica se il nome corrisponde esattamente a una parola o una frase specifica. In questo modo, viene concesso l'accesso a un solo ambito. Ad esempio, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename viene valutato come true per l'ambito di esempio.

   Per aggiungere ambiti al ruolo, ti consigliamo di:

   1. Seleziona Nome in Tipo di condizione, l'operatore in Operatore e inserisci il nome dell'ambito in Valore.

      /<scopename>

   2. Per assegnare più ambiti, aggiungi altre condizioni utilizzando l'operatore OR. Puoi aggiungere fino a 12 condizioni per ogni associazione di ruoli. Per aggiungere più di 12 condizioni, crea più associazioni di ruoli e aggiungi fino a 12 condizioni a ciascuna di queste associazioni.

      Per saperne di più sulle condizioni, consulta la panoramica delle condizioni IAM.

   3. Fai clic su Salva.

      L'editor delle condizioni fornisce un'interfaccia basata su testo per inserire manualmente un'espressione utilizzando la sintassi CEL.

   4. Inserisci la seguente espressione:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Fai clic su Esegui Linter per convalidare la sintassi CEL.

   6. Fai clic su Salva.

7. Fai clic su Testa modifiche per vedere in che modo le modifiche influiscono sull'accesso degli utenti ai dati.

8. Fai clic su Salva.

Ora gli utenti possono accedere ai dati associati agli ambiti.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.