Configurar o RBAC de dados para usuários

Compatível com:

Nesta página, descrevemos como os administradores do controle de acesso baseado em papéis de dados (RBAC de dados) podem configurar o RBAC de dados no Google Security Operations. Ao criar e atribuir escopos de dados, que são definidos por rótulos, é possível verificar se os dados só estão acessíveis a usuários autorizados.

O RBAC de dados depende de conceitos do IAM, incluindo papéis predefinidos, papéis personalizados e condições do IAM.

Confira a seguir uma visão geral do processo de configuração:

  1. Planeje sua implementação:identifique os diferentes tipos de dados que você quer restringir o acesso do usuário. Identifique as diferentes funções na sua organização e determine os requisitos de acesso a dados para cada uma delas.

  2. Opcional: crie rótulos personalizados (além dos rótulos padrão) para categorizar seus dados.

  3. Criar escopos de dados:defina escopos combinando rótulos relevantes.

  4. Atribua escopos aos usuários:atribua escopos às funções de usuário no IAM com base nas responsabilidades deles.

Quando o RBAC de dados é ativado pela primeira vez, as regras, as listas de referência e as tabelas de dados não têm escopos atribuídos. Somente usuários com acesso global podem acessar os dados. Por padrão, os usuários com escopo não têm acesso a nenhum dado. Isso evita o acesso não intencional e verifica um ponto de partida seguro. Para conceder acesso, defina escopos e atribua-os a usuários, regras e listas de referência com base no seu requisito.

Antes de começar

  • Para entender os conceitos básicos do RBAC de dados, os diferentes tipos de acesso e as funções de usuário correspondentes, o funcionamento de rótulos e escopos e o impacto do RBAC de dados nos recursos do Google SecOps, consulte Visão geral do RBAC de dados.

  • Faça a integração da sua instância do Google SecOps. Para mais informações, consulte Integrar ou migrar uma instância do Google SecOps.

  • Verifique se você tem os papéis necessários.

  • O RBAC de dados não está ativado por padrão. Para ativar o RBAC de dados, entre em contato com o suporte do Google SecOps .

Criar e gerenciar rótulos personalizados

Os marcadores personalizados são metadados que podem ser adicionados aos dados do Google SecOps ingeridos pelo SIEM para categorizar e organizar com base em valores normalizados do UDM.

Por exemplo, suponha que você queira monitorar a atividade da rede. Você quer rastrear eventos do protocolo de configuração de host dinâmico (DHCP) de um endereço IP específico (10.0.0.1) que você suspeita estar comprometido.

Para filtrar e identificar esses eventos específicos, crie um rótulo personalizado com o nome "Atividade suspeita de DHCP" e a seguinte definição:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

O rótulo personalizado funciona da seguinte maneira:

O Google SecOps ingere continuamente registros e eventos de rede no UDM. Quando um evento DHCP é ingerido, o Google SecOps verifica se ele corresponde aos critérios do rótulo personalizado. Se o campo metadata.event_type for NETWORK_DHCP e o campo principal.ip (o endereço IP do dispositivo que solicita a concessão de DHCP) for 10.0.0.1, o Google SecOps vai aplicar o rótulo personalizado ao evento.

Você pode usar o rótulo "Atividade suspeita de DHCP" para criar um escopo e atribuir o escopo aos usuários relevantes. Com a atribuição de escopo, é possível restringir o acesso a esses eventos para usuários ou funções específicas na organização.

Requisitos e limitações de rótulo

  • Os nomes dos rótulos precisam ser exclusivos e podem ter um tamanho máximo de 63 caracteres. Eles só podem conter letras minúsculas, caracteres numéricos e hífens. Eles não podem ser reutilizados após a exclusão.
  • Os rótulos não podem usar listas de referência.
  • Os marcadores não podem usar campos de enriquecimento.
  • Os identificadores não são compatíveis com expressões regulares.

Criar rótulo personalizado

Para criar um rótulo personalizado, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  3. Na guia Rótulos personalizados, clique em Criar rótulo personalizado.

  4. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

    Refine a consulta e clique em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa da UDM.

  5. Clique em Criar marcador.

  6. Na janela Criar marcador, selecione Salvar como novo marcador e insira o nome e a descrição.

  7. Clique em Criar marcador.

    Um novo rótulo personalizado é criado. Durante a ingestão de dados, esse rótulo é aplicado a dados que correspondem à consulta da UDM. O rótulo não é aplicado a dados já ingeridos.

Modificar rótulo personalizado

Só é possível modificar a descrição e a consulta associadas a um rótulo. Não é possível atualizar os nomes dos rótulos. Quando você modifica um rótulo personalizado, as mudanças são aplicadas apenas aos novos dados, não aos que já foram ingeridos.

Para modificar um rótulo, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  3. Na guia Rótulos personalizados, clique em Menu ao lado do rótulo que você quer editar e selecione Editar.

  4. Na janela Pesquisa do UDM, atualize a consulta e clique em Executar pesquisa.

    Refine a consulta e clique em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa da UDM.

  5. Clique em Salvar alterações.

O rótulo personalizado é modificado.

Excluir rótulo personalizado

A exclusão de um rótulo impede que novos dados sejam associados a ele. Os dados que já estão associados ao rótulo permanecem associados a ele. Depois da exclusão, não é possível recuperar o rótulo personalizado nem reutilizar o nome dele para criar novos rótulos.

  1. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  2. Na guia Marcadores personalizados, clique no Menu do marcador que você quer excluir e selecione Excluir.

  3. Clique em Excluir.

  4. Na janela de confirmação, clique em Confirmar.

O rótulo personalizado é excluído.

Ver rótulo personalizado

Para conferir os detalhes de um rótulo personalizado, faça o seguinte:

  1. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  2. Na guia Rótulos personalizados, clique em Menu ao lado do rótulo que você quer editar e selecione Visualizar.

    Os detalhes do rótulo são exibidos.

Criar e gerenciar escopos

É possível criar e gerenciar escopos de dados na interface do usuário do Google SecOps e atribuir esses escopos a usuários ou grupos pelo IAM. É possível criar um escopo aplicando rótulos que definem os dados a que um usuário com o escopo tem acesso.

Criar escopos

Para criar um escopo, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  3. Na guia Escopos, clique em Criar escopo.

  4. Na janela Criar novo escopo, faça o seguinte:

    1. Insira o Nome do escopo e a Descrição.

    2. Em Definir acesso ao escopo com rótulos > Permitir acesso, faça o seguinte:

      • Para selecionar os rótulos e os valores correspondentes a que você quer dar acesso aos usuários, clique em Permitir determinados rótulos.

        Em uma definição de escopo, os rótulos do mesmo tipo (por exemplo, tipo de registro) são combinados usando o operador OR, enquanto os rótulos de tipos diferentes (por exemplo, tipo de registro e namespace) são combinados usando o operador AND. Para mais informações sobre como os rótulos definem o acesso a dados em escopos, consulte Visibilidade de dados com rótulos de permissão e negação.

      • Para dar acesso a todos os dados, selecione Permitir acesso a tudo.

    3. Para excluir o acesso a alguns rótulos, selecione Excluir determinados rótulos e escolha o tipo de rótulo e os valores correspondentes que você quer negar aos usuários.

      Quando vários rótulos de negação de acesso são aplicados em um escopo, o acesso é negado se eles corresponderem a qualquer um desses rótulos.

    4. Clique em Testar escopo para verificar como os rótulos são aplicados ao escopo.

    5. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

      Refine a consulta e clique em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa da UDM.

    6. Clique em Criar escopo.

    7. Na janela Criar escopo, confirme o nome e a descrição do escopo e clique em Criar escopo.

O escopo é criado. É preciso atribuir o escopo aos usuários para dar acesso aos dados nele.

Modificar escopo

Só é possível modificar a descrição do escopo e os rótulos associados. Os nomes de escopo não podem ser atualizados. Depois de atualizar um escopo, os usuários associados a ele são restritos de acordo com os novos rótulos. As regras vinculadas ao escopo não são correspondidas novamente com o escopo atualizado.

Para modificar um escopo, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  3. Na guia Escopos, clique em Menu correspondente ao escopo que você quer editar e selecione Editar.

  4. Clique em Editar para mudar a descrição do escopo.

  5. Na seção Definir acesso ao escopo com rótulos, atualize os rótulos e os valores correspondentes conforme necessário.

  6. Clique em Testar escopo para verificar como os novos rótulos são aplicados ao escopo.

  7. Na janela Pesquisa de UDM, digite sua consulta e clique em Executar pesquisa.

    Refine a consulta e clique em Executar pesquisa até que os resultados mostrem os dados que você quer rotular. Para mais informações sobre como executar uma consulta, consulte Inserir uma pesquisa da UDM.

  8. Clique em Salvar alterações.

O escopo é modificado.

Excluir escopo

Quando um escopo é excluído, os usuários não têm acesso aos dados associados a ele. Depois da exclusão, o nome do escopo não pode ser reutilizado para criar novos escopos.

Para excluir um escopo, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Configurações do SIEM > Acesso a dados.

  3. Na guia Escopos, clique em Menu ao lado do escopo que você quer excluir.

  4. Clique em Excluir.

  5. Na janela de confirmação, clique em Confirmar.

O escopo é excluído.

Ver escopo

Para ver os detalhes do escopo, faça o seguinte:

  1. Faça login no Google SecOps.

  2. Clique em Configurações > Acesso a dados.

  3. Na guia Escopos, clique em Menu no escopo que você quer visualizar e selecione Visualizar.

Os detalhes do escopo são exibidos.

Atribuir escopo aos usuários

A atribuição de escopo é necessária para controlar o acesso a dados de usuários com permissões restritas. A atribuição de escopos específicos aos usuários determina os dados que eles podem visualizar e com que podem interagir. Quando um usuário recebe vários escopos, ele tem acesso aos dados combinados de todos eles. Você pode atribuir os escopos adequados aos usuários que precisam de acesso global para que possam ver e interagir com todos os dados.

Para atribuir um escopo a um usuário, faça o seguinte:

  1. No console Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Selecione o projeto vinculado ao Google SecOps.

  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, faça o seguinte:

    1. Se você estiver usando a federação de identidade de colaboradores ou qualquer outra autenticação de terceiros, adicione seu identificador principal da seguinte maneira: 

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Substitua:

      • POOL_ID: o identificador do pool criado para seu provedor de identidade.
      • USER_EMAIL: o endereço de e-mail do usuário.

    2. Se você estiver usando o Cloud Identity ou o Google Workspace, adicione seu identificador principal da seguinte maneira: 

      user:USER_EMAIL

      Substitua:

      • USER_EMAIL: o endereço de e-mail do usuário.

  5. No menu Atribuir papéis > Selecionar um papel, escolha o papel necessário. Clique em Adicionar outro papel para adicionar vários papéis. Para entender quais papéis precisam ser adicionados, consulte Funções do usuário.

  6. Para atribuir um escopo ao usuário, adicione condições à função de acesso a dados restritos do Chronicle atribuída a ele (não se aplica a funções de acesso global).

    1. Clique em Adicionar condição do IAM no papel Acesso restrito a dados do Chronicle. A janela Adicionar condição será exibida.

    2. Insira o título e a descrição opcional da condição.

    3. Adicione a expressão de condição.

      É possível adicionar uma expressão de condição usando o Criador de condições ou o Editor de condições.

      O criador de condições fornece uma interface interativa para selecionar o tipo de condição, o operador e outros detalhes aplicáveis sobre a expressão. Os operadores a seguir permitem criar regras precisas para controlar o acesso a vários escopos com uma única condição do IAM:

    • ENDS_WITH: verifica se o nome do escopo termina com uma palavra específica. Para corresponder à palavra exata, adicione um / antes dela.

      Considere um exemplo de escopo de acesso a dados chamado projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

      • ENDS_WITH /scopename corresponde ao nome exato e é avaliado como true para o escopo de exemplo.

      • ENDS_WITH scopename corresponde a qualquer nome que termine com "scopename" e é avaliado como true para o escopo de exemplo e também para projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

    • STARTS_WITH: verifica se o nome do escopo começa com uma palavra específica. Por exemplo, STARTS_WITH projects/project1 concede acesso a todos os escopos em "project1".

    • EQUALS_TO: verifica se o nome corresponde exatamente a uma palavra ou frase específica. Isso dá acesso a apenas um escopo. Por exemplo, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename é avaliado como true para o escopo de exemplo.

    Para adicionar escopos à função, recomendamos o seguinte:

    1. Selecione Nome em Tipo de condição, o operador em Operador e insira o nome do escopo em Valor.

      /<scopename>

    2. Para atribuir vários escopos, adicione mais condições usando o operador OR. É possível adicionar até 12 condições para cada vinculação de função. Para adicionar mais de 12 condições, crie várias vinculações de papéis e adicione até 12 condições a cada uma delas.

      Para mais informações sobre as condições, consulte a Visão geral das condições do IAM.

    3. Clique em Salvar.

      O editor de condições fornece uma interface baseada em texto para inserir manualmente uma expressão usando a sintaxe CEL.

    4. Insira a seguinte expressão:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

    5. Clique em Executar lint para validar a sintaxe CEL.

    6. Clique em Salvar.

  7. Clique em Testar mudanças para ver como elas afetam o acesso dos usuários aos dados.

  8. Clique em Salvar.

Agora os usuários podem acessar os dados associados aos escopos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.