RBAC für Daten für Nutzer konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren der rollenbasierten Zugriffssteuerung für Daten (Data RBAC) die Data RBAC in Google Security Operations konfigurieren können. Durch das Erstellen und Zuweisen von Datenbereichen, die durch Labels definiert sind, können Sie dafür sorgen, dass nur autorisierte Nutzer auf Daten zugreifen können.

Die datenbasierte RBAC basiert auf IAM, einschließlich vordefinierter Rollen, benutzerdefinierter Rollen und IAM-Bedingungen.

Im Folgenden finden Sie eine allgemeine Übersicht über den Konfigurationsvorgang:

1. Implementierung planen:Ermitteln Sie die verschiedenen Datentypen, für die Sie den Nutzerzugriff einschränken möchten. Ermitteln Sie die verschiedenen Rollen in Ihrer Organisation und ermitteln Sie die Anforderungen an den Datenzugriff für jede Rolle.

2. Optional: Benutzerdefinierte Labels erstellen:Sie können zusätzlich zu den Standardlabels benutzerdefinierte Labels erstellen, um Ihre Daten zu kategorisieren.

3. Datenbereiche erstellen:Sie können Bereiche definieren, indem Sie relevante Labels kombinieren.

4. Nutzern Bereiche zuweisen:Weisen Sie Nutzerrollen in IAM Bereiche zu, die ihren Aufgaben entsprechen.

Hinweise

• Informationen zu den Grundkonzepten der datenbasierten RBAC, den verschiedenen Zugriffstypen und den entsprechenden Nutzerrollen, zur Funktionsweise von Labels und Bereichen sowie zu den Auswirkungen der datenbasierten RBAC auf die Google SecOps-Funktionen finden Sie unter Datenbasierte RBAC – Übersicht.

• Richten Sie Ihre Google SecOps-Instanz ein. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten oder migrieren.

• Prüfen Sie, ob Sie die erforderlichen Rollen haben.

Benutzerdefinierte Labels erstellen und verwalten

Benutzerdefinierte Labels sind Metadaten, die Sie den in SIEM aufgenommenen Google SecOps-Daten hinzufügen können, um sie anhand von UDM-normalisierten Werten zu kategorisieren und zu organisieren.

Angenommen, Sie möchten die Netzwerkaktivität überwachen. Sie möchten DHCP-Ereignisse (Dynamic Host Configuration Protocol) von einer bestimmten IP-Adresse (10.0.0.1) erfassen, die möglicherweise manipuliert wurde.

Um diese Ereignisse zu filtern und zu identifizieren, können Sie ein benutzerdefiniertes Label mit dem Namen „Verdächtige DHCP-Aktivität“ mit der folgenden Definition erstellen:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

Das benutzerdefinierte Label funktioniert so:

Google SecOps nimmt kontinuierlich Netzwerkprotokolle und ‑ereignisse in seine UDM auf. Wenn ein DHCP-Ereignis aufgenommen wird, prüft Google SecOps, ob es den Kriterien des benutzerdefinierten Labels entspricht. Wenn das Feld metadata.event_type NETWORK_DHCP und das Feld principal.ip (die IP-Adresse des Geräts, das die DHCP-Vermietung anfordert) 10.0.0.1 ist, wendet Google SecOps das benutzerdefinierte Label auf das Ereignis an.

Sie können das Label „Verdächtige DHCP-Aktivität“ verwenden, um einen Bereich zu erstellen und den entsprechenden Nutzern zuzuweisen. Mit der Bereichszuweisung können Sie den Zugriff auf diese Ereignisse auf bestimmte Nutzer oder Rollen in Ihrer Organisation beschränken.

Anforderungen und Einschränkungen für Labels

• Labelnamen müssen eindeutig sein und dürfen maximal 63 Zeichen lang sein. Sie dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie können nach dem Löschen nicht wiederverwendet werden.
• Für Labels können keine Referenzlisten verwendet werden.
• Für Labels können keine Anreicherungsfelder verwendet werden.
• Labels unterstützen keine regulären Ausdrücke.

Benutzerdefiniertes Label erstellen

So erstellen Sie ein benutzerdefiniertes Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf Benutzerdefiniertes Label erstellen.

4. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

5. Klicken Sie auf Label erstellen.

6. Wählen Sie im Fenster Label erstellen die Option Als neues Label speichern aus und geben Sie den Namen und die Beschreibung des Labels ein.

7. Klicken Sie auf Label erstellen.

   Ein neues benutzerdefiniertes Label wird erstellt. Bei der Datenaufnahme wird dieses Label auf Daten angewendet, die mit der UDM-Abfrage übereinstimmen. Das Label wird nicht auf Daten angewendet, die bereits aufgenommen wurden.

Benutzerdefiniertes Label ändern

Sie können nur die Labelbeschreibung und die mit einem Label verknüpfte Abfrage ändern. Labelnamen können nicht aktualisiert werden. Wenn Sie ein benutzerdefiniertes Label ändern, werden die Änderungen nur auf neue Daten angewendet, nicht auf bereits aufgenommene Daten.

So ändern Sie ein Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf das Dreipunkt-Menü more_vert und wählen Sie Bearbeiten aus.

4. Aktualisieren Sie die Abfrage im Fenster UDM-Suchanfrage und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

5. Klicken Sie auf Änderungen speichern.

Das benutzerdefinierte Label wird geändert.

Benutzerdefiniertes Label löschen

Wenn Sie ein Label löschen, können keine neuen Daten mehr damit verknüpft werden. Daten, die bereits mit dem Label verknüpft sind, bleiben mit dem Label verknüpft. Nach dem Löschen können Sie das benutzerdefinierte Label nicht wiederherstellen und den Labelnamen nicht zum Erstellen neuer Labels wiederverwenden.

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf das more_vert Menü für das Label, das Sie löschen möchten, und wählen Sie Löschen aus.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Das benutzerdefinierte Label wird gelöscht.

Benutzerdefiniertes Label ansehen

So rufen Sie die Details eines benutzerdefinierten Labels auf:

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf das more_vert Dreistrich-Menü und wählen Sie Anzeigen aus.

   Die Labeldetails werden angezeigt.

Bereiche erstellen und verwalten

Sie können Datenbereiche in der Benutzeroberfläche von Google SecOps erstellen und verwalten und sie dann Nutzern oder Gruppen über IAM zuweisen. Sie können einen Bereich erstellen, indem Sie Labels anwenden, die die Daten definieren, auf die ein Nutzer mit dem Bereich Zugriff hat.

Bereiche erstellen

So erstellen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche auf Bereich erstellen.

4. Führen Sie im Fenster Neuen Umfang erstellen die folgenden Schritte aus:

   1. Geben Sie einen Namen und eine Beschreibung für den Bereich ein.

   2. Gehen Sie unter Zugriffsbereich mit Labels definieren > Zugriff erlauben so vor:

      • Klicken Sie auf Bestimmte Labels zulassen, um die Labels und die entsprechenden Werte auszuwählen, für die Sie den Zugriff gewähren möchten.

        In einer Bereichsdefinition werden Labels desselben Typs (z. B. Protokolltyp) mit dem OR-Operator kombiniert, während Labels verschiedener Typen (z. B. Protokolltyp und Namespace) mit dem AND-Operator kombiniert werden. Weitere Informationen dazu, wie Labels den Datenzugriff in Bereichen definieren, finden Sie unter Datensichtbarkeit mit Labels für Zulassen und Verbieten.

      • Wenn Sie Zugriff auf alle Daten gewähren möchten, wählen Sie Zugriff auf alle Daten zulassen aus.

   3. Wenn Sie den Zugriff auf bestimmte Labels ausschließen möchten, wählen Sie Bestimmte Labels ausschließen und dann den Labeltyp und die entsprechenden Werte aus, für die Sie den Zugriff für Nutzer verweigern möchten.

      Wenn in einem Bereich mehrere Labels zum Deaktivieren des Zugriffs angewendet werden, wird der Zugriff verweigert, wenn eines dieser Labels übereinstimmt.

   4. Klicken Sie auf Testbereich, um zu prüfen, wie die Labels auf den Bereich angewendet werden.

   5. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

      Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

   6. Klicken Sie auf Umfang erstellen.

   7. Bestätigen Sie im Fenster Umfang erstellen den Namen und die Beschreibung des Umfangs und klicken Sie auf Umfang erstellen.

Der Bereich wird erstellt. Sie müssen Nutzern den Umfang zuweisen, um ihnen Zugriff auf die Daten im Umfang zu gewähren.

Umfang ändern

Sie können nur die Beschreibung des Geltungsbereichs und die zugehörigen Labels ändern. Bereichsnamen können nicht aktualisiert werden. Nachdem Sie einen Umfang aktualisiert haben, werden die mit dem Umfang verknüpften Nutzer gemäß den neuen Labels eingeschränkt. Die Regeln, die an den Umfang gebunden sind, werden nicht noch einmal mit dem aktualisierten Umfang abgeglichen.

So ändern Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche auf das more_vert Menü für den Bereich, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus.

4. Klicken Sie auf edit Bearbeiten, um die Beschreibung des Gültigkeitsbereichs zu bearbeiten.

5. Aktualisieren Sie im Bereich Zugriffsbereich mit Labels definieren die Labels und die entsprechenden Werte nach Bedarf.

6. Klicken Sie auf Umfang testen, um zu prüfen, wie die neuen Labels auf den Umfang angewendet werden.

7. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

8. Klicken Sie auf Änderungen speichern.

Der Umfang wird geändert.

Bereich löschen

Wenn ein Umfang gelöscht wird, haben Nutzer keinen Zugriff mehr auf die zugehörigen Daten. Nach dem Löschen kann der Bereichsname nicht wiederverwendet werden, um neue Bereiche zu erstellen.

So löschen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie löschen möchten, auf das Dreipunkt-Menü more_vert.

4. Klicken Sie auf Löschen.

5. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Der Bereich wird gelöscht.

Umfang der Datenleihe

So rufen Sie Details zum Umfang auf:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie aufrufen möchten, auf more_vert Menü und wählen Sie Anzeigen aus.

Die Details zum Umfang werden angezeigt.

Nutzern Zugriff gewähren

Die Bereichszuweisung ist erforderlich, um den Datenzugriff für Nutzer mit eingeschränkten Berechtigungen zu steuern. Durch die Zuweisung bestimmter Bereiche an Nutzer wird festgelegt, welche Daten sie aufrufen und mit denen sie interagieren können. Wenn einem Nutzer mehrere Bereiche zugewiesen sind, erhält er Zugriff auf die kombinierten Daten aus allen diesen Bereichen. Sie können Nutzern, die globalen Zugriff benötigen, die entsprechenden Berechtigungen zuweisen, damit sie alle Daten aufrufen und damit interagieren können. So weisen Sie einem Nutzer Bereiche zu:

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen

2. Wählen Sie das Projekt aus, das mit Google SecOps verknüpft ist.

3. Klicken Sie auf person_add Zugriff erlauben.

4. Fügen Sie im Feld Neue Hauptkonten Ihre Hauptkonto-ID so hinzu:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Wählen Sie im Menü Rollen zuweisen > Rolle auswählen die erforderliche Rolle aus. Klicken Sie auf Weitere Rolle hinzufügen, um mehrere Rollen hinzuzufügen. Informationen dazu, welche Rollen hinzugefügt werden müssen, finden Sie unter Nutzerrollen.

6. Wenn Sie dem Nutzer einen Bereich zuweisen möchten, fügen Sie der Rolle „Eingeschränkter Datenzugriff für Chronicle“, die dem Nutzer zugewiesen ist, Bedingungen hinzu. Dies gilt nicht für Rollen mit globalem Zugriff.

   1. Klicken Sie bei der Rolle Eingeschränkter Zugriff auf Chronicle-Daten auf IAM-Bedingung hinzufügen. Das Fenster Bedingung hinzufügen wird angezeigt.

   2. Geben Sie den Titel und eine optionale Beschreibung für die Bedingung ein.

   3. Fügen Sie den Bedingungsausdruck hinzu.

      Sie können einen Bedingungsausdruck entweder mit dem Builder für IAM-Bedingungen oder dem Bedingungseditor hinzufügen.

      Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Fügen Sie die Bedingungen gemäß Ihren Anforderungen mithilfe der OR-Operatoren hinzu. So fügen Sie der Rolle Bereiche hinzu:

      1. Wählen Sie unter Bedingungstyp die Option Name und unter Operator die Option Endet mit aus. Geben Sie dann /<scopename> unter Wert ein.

      2. Wenn Sie mehrere Bereiche zuweisen möchten, fügen Sie mit dem ODER-Operator weitere Bedingungen hinzu. Sie können für jede Rollenbindung bis zu zwölf Bedingungen hinzufügen. Wenn Sie mehr als zwölf Bedingungen hinzufügen möchten, erstellen Sie mehrere Rollenbindungen und fügen Sie jeder dieser Bindungen bis zu zwölf Bedingungen hinzu.

      Weitere Informationen zu Bedingungen finden Sie in der Übersicht über IAM-Bedingungen.

   4. Klicken Sie auf Speichern.

   Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax.

   1. Geben Sie den folgenden Ausdruck ein:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Klicken Sie auf Linter ausführen, um die CEL-Syntax zu validieren.

   3. Klicken Sie auf Speichern.

      Hinweis: Bedingte Rollenbindungen überschreiben keine Rollenbindungen ohne Bedingungen. Wenn ein Hauptkonto an eine Rolle gebunden ist und die Rollenbindung keine Bedingung hat, hat das Hauptkonto immer diese Rolle. Das Hinzufügen des Hauptkontos zu einer bedingten Bindung für dieselbe Rolle hat keine Auswirkungen.

7. Klicken Sie auf Änderungen testen, um zu sehen, wie sich Ihre Änderungen auf den Nutzerzugriff auf die Daten auswirken.

8. Klicken Sie auf Speichern.

Die Nutzer können jetzt auf die Daten zugreifen, die mit den Bereichen verknüpft sind.