Esta página foi traduzida pela API Cloud Translation.

Configure o RBAC de dados para utilizadores

Compatível com:

Google secops SIEM

Esta página descreve como os administradores do controlo de acesso baseado em funções de dados (CABF de dados) podem configurar o CABF de dados no Google Security Operations. Através da criação e atribuição de âmbitos de dados, que são definidos por etiquetas, pode garantir que os dados só estão acessíveis a utilizadores autorizados.

O CABF de dados baseia-se em conceitos de IAM, incluindo funções predefinidas, funções personalizadas> e condições de IAM.

Segue-se uma vista geral de nível superior do processo de configuração:

Planeie a implementação: identifique os diferentes tipos de dados aos quais quer restringir o acesso dos utilizadores. Identifique as diferentes funções na sua organização e determine os requisitos de acesso aos dados para cada função.
Opcional: crie etiquetas personalizadas: crie etiquetas personalizadas (além das etiquetas predefinidas) para categorizar os seus dados.
Crie âmbitos de dados: defina âmbitos combinando etiquetas relevantes.
Atribua âmbitos aos utilizadores: atribua âmbitos às funções de utilizador na IAM com base nas respetivas responsabilidades.
Ative o RBAC de dados: ative o RBAC de dados para aplicar as atribuições de âmbito. Tem as seguintes duas opções para configurar o RBAC de dados:
- Ative o RBAC de dados antes de atribuir âmbitos: quando o RBAC de dados está ativado, as regras, as listas de referência e as tabelas de dados não têm âmbitos atribuídos. Apenas os utilizadores com acesso global têm acesso aos dados. Por predefinição, os utilizadores com âmbito não têm acesso a dados. Isto evita o acesso não intencional e garante um ponto de partida seguro. Para conceder acesso, defina âmbitos e atribua-os a utilizadores, regras e listas de referência com base no seu requisito.
- Ative o RBAC de dados depois de atribuir âmbitos: a configuração e a atribuição de âmbitos antecipadamente oferecem acesso imediato aos dados aos utilizadores quando o RBAC de dados é ativado. Além disso, uma vez que as regras têm âmbitos atribuídos, as deteções geradas são etiquetadas com âmbitos. Isto permite que os utilizadores vejam deteções geradas após as atribuições de âmbito.
Importante: antes de a RBAC de dados ser ativada, todos os utilizadores, independentemente dos âmbitos atribuídos, têm acesso global e podem ver todos os dados.

Antes de começar

Para compreender os conceitos essenciais do RBAC de dados, os diferentes tipos de acesso e as funções de utilizador correspondentes, o funcionamento das etiquetas e dos âmbitos, bem como o impacto do RBAC de dados nas funcionalidades do Google SecOps, consulte o artigo Vista geral do RBAC de dados.
Integre a sua instância do Google SecOps. Para mais informações, consulte o artigo Incorporação ou migração de uma instância do Google Security Operations.
Certifique-se de que tem as funções necessárias.

Crie e faça a gestão de etiquetas personalizadas

As etiquetas personalizadas são metadados que pode adicionar aos dados do Google SecOps carregados no SIEM para os categorizar e organizar com base em valores normalizados da UDM.

Por exemplo, considere que quer monitorizar a atividade de rede. Quer acompanhar os eventos do protocolo de configuração dinâmica de anfitrião (DHCP) de um endereço IP específico (10.0.0.1) que suspeita que possa estar comprometido.

Para filtrar e identificar estes eventos específicos, pode criar uma etiqueta personalizada com o nome Suspicious DHCP Activity com a seguinte definição:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

A etiqueta personalizada funciona da seguinte forma:

O Google SecOps introduz continuamente registos e eventos de rede no respetivo UDM. Quando um evento DHCP é carregado, o Google SecOps verifica se corresponde aos critérios da etiqueta personalizada. Se o campo metadata.event_type for NETWORK_DHCP e se o campo principal.ip (o endereço IP do dispositivo que pede a concessão de DHCP) for 10.0.0.1, o Google SecOps aplica a etiqueta personalizada ao evento.

Pode usar a etiqueta Atividade DHCP suspeita para criar um âmbito e atribuir o âmbito aos utilizadores relevantes. A atribuição de âmbito permite-lhe restringir o acesso a estes eventos a utilizadores ou funções específicos na sua organização.

Requisitos e limitações das etiquetas

Os nomes das etiquetas têm de ser únicos e podem ter um comprimento máximo de 63 carateres. Só podem conter letras minúsculas, carateres numéricos e hífenes. Não podem ser reutilizados após a eliminação.
As etiquetas não podem usar listas de referência.
As etiquetas não podem usar campos de enriquecimento.
As etiquetas não suportam expressões regulares.

Crie uma etiqueta personalizada

Para criar uma etiqueta personalizada, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Etiquetas personalizadas, clique em Criar etiqueta personalizada.
Na janela Pesquisa de UDM, escreva a sua consulta e clique em Executar pesquisa.

Pode refinar a consulta e clicar em Executar pesquisa até os resultados apresentarem os dados que quer etiquetar. Para mais informações sobre a execução de uma consulta, consulte o artigo Introduza uma pesquisa de UDM.
Clique em Criar etiqueta.
Na janela Criar etiqueta, selecione Guardar como nova etiqueta e introduza o nome e a descrição da etiqueta.
Clique em Criar etiqueta.

É criada uma nova etiqueta personalizada. Durante a carregamento de dados, esta etiqueta é aplicada aos dados que correspondem à consulta de UDM. A etiqueta não é aplicada aos dados já carregados.

Modifique a etiqueta personalizada

Só pode modificar a descrição da etiqueta e a consulta associada a uma etiqueta. Não é possível atualizar os nomes das etiquetas. Quando modifica uma etiqueta personalizada, as alterações são aplicadas apenas aos novos dados e não aos dados já carregados.

Para modificar uma etiqueta, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Etiquetas personalizadas, clique em Menu junto à etiqueta que quer editar e selecione Editar.
Na janela Pesquisa de UDM, atualize a sua consulta e clique em Executar pesquisa.

Pode refinar a consulta e clicar em Executar pesquisa até os resultados apresentarem os dados que quer etiquetar. Para mais informações sobre a execução de uma consulta, consulte o artigo Introduza uma pesquisa de UDM.
Clique em Guardar alterações.

A etiqueta personalizada é modificada.

Elimine a etiqueta personalizada

A eliminação de uma etiqueta impede que novos dados sejam associados à mesma. Os dados já associados à etiqueta permanecem associados à etiqueta. Após a eliminação, não pode recuperar o marcador personalizado nem reutilizar o nome do marcador para criar novos marcadores.

Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Etiquetas personalizadas, clique no Menu da etiqueta que quer eliminar e selecione Eliminar.
Clique em Eliminar.
Na janela de confirmação, clique em Confirmar.

A etiqueta personalizada é eliminada.

Veja a etiqueta personalizada

Para ver os detalhes de uma etiqueta personalizada, faça o seguinte:

Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Etiquetas personalizadas, clique no Menu junto à etiqueta que quer editar e selecione Ver.

São apresentados os detalhes da etiqueta.

Crie e faça a gestão de âmbitos

Pode criar e gerir âmbitos de dados na interface do utilizador do Google SecOps e, em seguida, atribuir esses âmbitos a utilizadores ou grupos através do IAM. Pode criar um âmbito aplicando etiquetas que definem os dados aos quais um utilizador com o âmbito tem acesso.

Crie âmbitos

Para criar um âmbito, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Âmbitos, clique em Criar âmbito.
Na janela Criar novo âmbito, faça o seguinte:
1. Introduza o Nome do âmbito e a Descrição.
2. Em Definir acesso ao âmbito com etiquetas > Permitir acesso, faça o seguinte:
  - Para selecionar as etiquetas e os respetivos valores aos quais quer conceder acesso aos utilizadores, clique em Permitir determinadas etiquetas.
    
    Numa definição de âmbito, as etiquetas do mesmo tipo (por exemplo, tipo de registo) são combinadas através do operador OR, enquanto as etiquetas de tipos diferentes (por exemplo, tipo de registo e espaço de nomes) são combinadas através do operador AND. Para mais informações sobre como as etiquetas definem o acesso aos dados nos âmbitos, consulte o artigo Visibilidade dos dados com etiquetas de permissão e negação.
  - Para conceder acesso a todos os dados, selecione Permitir acesso a tudo.
3. Para excluir o acesso a algumas etiquetas, selecione Excluir determinadas etiquetas e, de seguida, selecione o tipo de etiqueta e os valores correspondentes aos quais quer negar o acesso aos utilizadores.
  
  Quando são aplicadas várias etiquetas de negação de acesso num âmbito, o acesso é negado se corresponderem a qualquer uma dessas etiquetas.
4. Clique em Testar âmbito para verificar como as etiquetas são aplicadas ao âmbito.
5. Na janela Pesquisa de UDM, escreva a sua consulta e clique em Executar pesquisa.
  
  Pode refinar a consulta e clicar em Executar pesquisa até os resultados apresentarem os dados que quer etiquetar. Para mais informações sobre a execução de uma consulta, consulte o artigo Introduza uma pesquisa de UDM.
6. Clique em Criar âmbito.
7. Na janela Criar âmbito, confirme o nome e a descrição do âmbito e clique em Criar âmbito.

O âmbito é criado. Tem de atribuir o âmbito aos utilizadores para lhes dar acesso aos dados no âmbito.

Modifique o âmbito

Só pode modificar a descrição do âmbito e as etiquetas associadas. Não é possível atualizar os nomes dos âmbitos. Depois de atualizar um âmbito, os utilizadores associados ao âmbito são restritos de acordo com as novas etiquetas. As regras associadas ao âmbito não são novamente correspondidas com a regra atualizada.

Para modificar um âmbito, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Âmbitos, clique no Menu correspondente ao âmbito que quer editar e selecione Editar.
Clique em Editar para editar a descrição do âmbito.
Na secção Defina o acesso ao âmbito com etiquetas, atualize as etiquetas e os respetivos valores conforme necessário.
Clique em Âmbito de teste para verificar como as novas etiquetas são aplicadas ao âmbito.
Na janela Pesquisa de UDM, escreva a sua consulta e clique em Executar pesquisa.

Pode refinar a consulta e clicar em Executar pesquisa até os resultados apresentarem os dados que quer etiquetar. Para mais informações sobre a execução de uma consulta, consulte o artigo Introduza uma pesquisa de UDM.
Clique em Guardar alterações.

O âmbito é modificado.

Eliminar âmbito

Quando um âmbito é eliminado, os utilizadores não têm acesso aos dados associados ao âmbito. Após a eliminação, não é possível reutilizar o nome do âmbito para criar novos âmbitos.

Para eliminar um âmbito, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
No separador Âmbitos, clique em Menu junto ao âmbito que quer eliminar.
Clique em Eliminar.

Nota: depois de eliminar um âmbito, não pode reutilizar o nome do âmbito.
Na janela de confirmação, clique em Confirmar.

O âmbito é eliminado.

Âmbito da visualização

Para ver os detalhes do âmbito, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Acesso aos dados.
No separador Âmbitos, clique em Menu junto ao âmbito que quer ver e selecione Ver.

São apresentados os detalhes do âmbito.

Atribua âmbito aos utilizadores

A atribuição de âmbito é necessária para controlar o acesso aos dados para utilizadores com autorizações restritas. A atribuição de âmbitos específicos aos utilizadores determina os dados com os quais podem interagir e que podem ver. Quando um utilizador tem vários âmbitos atribuídos, obtém acesso aos dados combinados de todos esses âmbitos. Pode atribuir os âmbitos adequados aos utilizadores que requerem acesso global para que possam ver e interagir com todos os dados. Para atribuir âmbitos a um utilizador, faça o seguinte:

Na Google Cloud consola, aceda à página IAM.

Aceda ao IAM
Selecione o projeto associado ao Google SecOps.
Clique em Conceder acesso.
No campo Novos responsáveis, faça o seguinte:
1. Se estiver a usar a federação de identidades do pessoal ou qualquer outra autenticação de terceiros, adicione o identificador principal da seguinte forma:
```
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
```
  Substitua o seguinte:
  - POOL_ID: o identificador do conjunto criado para o seu fornecedor de identidade.
  - USER_EMAIL: o endereço de email do utilizador.
2. Se estiver a usar o Cloud ID ou o Google Workspace, adicione o identificador principal da seguinte forma:
```
user:USER_EMAIL
```
  Substitua o seguinte:
  - USER_EMAIL: o endereço de email do utilizador.
No menu Atribuir funções > Selecionar uma função, selecione a função necessária. Clique em Adicionar outra função para adicionar várias funções. Para saber que funções têm de ser adicionadas, consulte o artigo Funções de utilizador.
Para atribuir um âmbito ao utilizador, adicione condições à função de acesso restrito aos dados do Chronicle atribuída ao utilizador (não se aplica às funções de acesso global).
1. Clique em Adicionar condição de IAM junto à função Chronicle Restricted Data Access. É apresentada a janela Adicionar condição.
2. Introduza o título da condição e a descrição opcional.
3. Adicione a expressão de condição.
  
  Pode adicionar uma expressão de condição através do criador de condições ou do editor de condições.
  
  O criador de condições oferece uma interface interativa para selecionar o tipo de condição, o operador e outros detalhes aplicáveis sobre a expressão. Os seguintes operadores permitem-lhe criar regras precisas para controlar o acesso a vários âmbitos com uma única condição de IAM:
- ENDS_WITH: verifica se o nome do âmbito termina com uma palavra específica. Para corresponder à palavra exata, adicione um / antes da palavra.
  
  Considere um exemplo de âmbito de acesso aos dados denominado projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.
  - ENDS_WITH /scopename corresponde ao nome exato e é avaliado como true para o âmbito de exemplo.
  - ENDS_WITH scopename corresponde a qualquer nome que termine com "scopename" e é avaliado como true para o âmbito de exemplo e também para projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.
- STARTS_WITH: verifica se o nome do âmbito começa com uma palavra específica. Por exemplo, STARTS_WITH projects/project1 concede acesso a todos os âmbitos em "project1".
- EQUALS_TO: verifica se o nome corresponde exatamente a uma palavra ou expressão específica. Isto dá acesso apenas a um âmbito. Por exemplo, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename é avaliado como true para o âmbito do exemplo.
Para adicionar âmbitos à função, recomendamos o seguinte:
1. Selecione Nome em Tipo de condição, o operador em Operador e introduza o nome do âmbito em Valor.
  
  /<scopename>
2. Para atribuir vários âmbitos, adicione mais condições através do operador OU. Pode adicionar até 12 condições para cada associação de função. Para adicionar mais de 12 condições, crie várias associações de funções e adicione até 12 condições a cada uma destas associações.
  
  Para mais informações sobre as condições, consulte o artigo Vista geral das condições da IAM.
3. Clique em Guardar.
  
  O editor de condições oferece uma interface baseada em texto para introduzir manualmente uma expressão através da sintaxe do IEC.
4. Introduza a seguinte expressão:
```
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
```
5. Clique em Executar Linter para validar a sintaxe CEL.
6. Clique em Guardar.
  
  Nota: as associações de funções condicionais não substituem as associações de funções sem condições. Se um principal estiver associado a uma função e a associação de funções não tiver uma condição, o principal tem sempre essa função. Adicionar o principal a uma associação condicional para a mesma função não tem efeito.
Clique em Testar alterações para ver como as alterações afetam o acesso dos utilizadores aos dados.
Clique em Guardar.

Os utilizadores podem agora aceder aos dados associados aos âmbitos.

Ative o RBAC de dados

Depois de ativar o RBAC de dados, todos os âmbitos atribuídos são aplicados às regras e às listas de referência, e os utilizadores veem apenas os dados relevantes para os respetivos âmbitos. Para ativar o RBAC de dados, faça o seguinte:

Inicie sessão no Google SecOps.
Clique em Definições > Definições de SIEM > Acesso aos dados.
Navegue para o separador Atribuições e reveja as atribuições de âmbito das regras e das listas de referência. Para encontrar itens específicos, use as funcionalidades de filtro ou pesquisa.
Clique em Aplicar acesso aos dados. A janela Aplicar acesso a dados apresenta o número de regras e listas de referência que vão ser incluídas no âmbito após a aplicação do CABF de dados.
Clique em Sim, aplicar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.