为用户配置数据 RBAC

本页面介绍了如何基于数据角色的访问权限控制 (数据 RBAC) 管理员可以在 Google Security Operations 中配置数据 RBAC。通过创建和分配数据范围(由标签定义),您可以确保只有获授权的用户才能访问数据。

数据 RBAC 依赖于 IAM 这些概念包括预定义角色自定义角色IAM Conditions

下面简要介绍了配置过程:

  1. 规划实现方式:确定您需要的不同类型的数据 来限制用户访问权限明确公司内的各个不同角色 确定每个角色的数据访问要求。

  2. 可选:创建自定义标签:除了默认标签之外,您还可以创建自定义标签来对数据进行分类。

  3. 创建数据范围:通过组合相关标签来定义范围。

  4. 为用户分配范围:在 IAM 中为用户角色分配范围 根据其职责确定。

准备工作

创建和管理自定义标签

自定义标签是可以添加到 SIEM 注入的元数据 用于分类和整理的 Google SecOps 数据 根据 UDM 标准化值进行预测。

例如,假设您想要监控网络活动。您怀疑某个 IP 地址 (10.0.0.1) 可能已遭到入侵,因此想要跟踪该 IP 地址的动态主机配置协议 (DHCP) 事件。

如需过滤和识别这些特定事件,您可以创建一个名为“可疑 DHCP 活动”的自定义标签,并使用以下定义:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

自定义标签的运作方式如下:

Google SecOps 会持续将网络日志和事件注入 UDM。注入 DHCP 事件时,Google SecOps 会检查它是否 与自定义标签的条件匹配。如果 metadata.event\_type 字段为 NETWORK\_DHCP;如果 principal.ip 字段(设备的 IP 地址) 请求 DHCP 租约)为 10.0.0.1,则 Google SecOps 会将 为事件添加自定义标签

您可以使用“可疑的 DHCP 活动”标签来创建范围并分配 将范围限定至相关用户通过范围分配,您可以限制访问权限 向组织中的特定用户或角色授予这些事件。

标签要求和限制

  • 标签名称必须是唯一的,且长度不得超过 63 个字符。 它们只能包含小写字母、数字字符和连字符。他们 删除后不能重新使用。
  • 标签不能使用参考列表。
  • 标签不能使用扩充字段。

创建自定义标签

要创建自定义标签,请执行以下操作:

  1. 登录 Google SecOps

  2. 点击设置 >SIEM 设置 >数据访问权限

  3. 自定义标签标签页中,点击创建自定义标签

  4. UDM Search 窗口中,输入您的查询,然后点击 Run Search

    您可以优化查询,然后点击运行搜索,直到结果显示为止 您想要加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索查询

  5. 点击创建标签

  6. 创建标签窗口中,选择另存为新标签,然后输入 标签名称和说明。

  7. 点击创建标签

    系统会创建一个新的自定义标签。在数据注入期间,此标签会应用 与 UDM 查询匹配的数据该标签不会应用于 已提取。

修改自定义标签

您只能修改与标签关联的标签说明和查询。 标签名称无法更新。修改自定义标签后,更改只会应用于新数据,而不会应用于已提取的数据。

如需修改标签,请执行以下操作:

  1. 登录 Google SecOps

  2. 依次点击设置 > SIEM 设置 > 数据访问

  3. 自定义标签标签页上,点击 针对您要修改的标签选择菜单,然后选择修改

  4. UDM Search 窗口中,更新您的查询,然后点击 Run Search

    您可以优化查询,然后点击运行搜索,直到结果中显示您要标记的数据。如需详细了解如何运行查询 请参阅输入 UDM 搜索

  5. 点击保存更改

自定义标签已修改。

删除自定义标签

删除标签会阻止将新数据与此标签关联。已与标签关联的数据仍会与该标签相关联。更新后 您无法恢复该自定义标签,也无法重复使用该标签名称来创建 新标签。

  1. 点击设置 >SIEM 设置 >数据访问权限

  2. 自定义标签标签页中,点击 菜单,然后选择要删除的标签并选择删除

  3. 点击删除

  4. 在确认窗口中,点击确认

该自定义标签会被删除。

查看自定义标签

如需查看自定义标签的详细信息,请执行以下操作:

  1. 点击设置 >SIEM 设置 >数据访问权限

  2. 自定义标签标签页中,点击 找到您要修改的标签,然后选择菜单并选择查看

    系统会显示标签详细信息。

创建和管理镜重

您可以在 Google SecOps 用户账号内创建和管理数据范围 接口,然后通过 IAM 将这些范围分配给用户或群组。 您可以通过应用标签来指定用户要访问的数据, 该范围有权访问的所有资源

创建范围

如需创建范围,请执行以下操作:

  1. 登录 Google SecOps

  2. 点击设置 >SIEM 设置 >数据访问权限

  3. 范围标签页上,点击创建范围

  4. Create new scope 窗口中,执行以下操作:

    1. 输入范围名称说明

    2. 使用标签定义范围访问权限中 >Allow access,请执行以下操作:

      • 选择标签及其对应的值, 要授予用户访问权限,请点击允许访问特定标签

        在范围定义中,同一类型(例如日志类型)的标签 使用 OR 运算符合并,而不同类型的标签 (例如日志类型和命名空间)通过 AND 运算符。如需详细了解标签如何在 范围,请参阅使用允许和拒绝标签的数据可见性

      • 如需授予对所有数据的访问权限,请选择允许访问所有标签

    3. 如要排除对某些标签的访问权限,请选择排除某些标签,然后选择您要拒绝用户访问的标签类型和相应值。

      如果在一个范围内应用多个拒绝访问标签,则访问权限将 如果与上述任一标签匹配,则会被拒绝。

    4. 点击测试范围,验证标签如何应用于范围。

    5. UDM Search 窗口中,输入您的查询,然后点击 Run Search

      您可以优化查询,然后点击运行搜索,直到结果显示为止 您想要加标签的数据。如需详细了解如何运行查询 请参阅输入 UDM 搜索

    6. 点击创建范围

    7. Create scope 窗口中,确认范围名称和说明 然后点击创建范围

范围已创建。您必须将范围分配给用户,以便他们能够访问 范围内的数据。

修改范围

您只能修改范围说明和关联的标签。范围名称 无法更新。更新范围后,与该范围相关联的用户 将根据新标签限制绑定到该范围的规则为 不会与更新后的值重新匹配。

如需修改镜重,请执行以下操作:

  1. 登录 Google SecOps

  2. 依次点击设置 > SIEM 设置 > 数据访问

  3. 范围标签页上,点击 菜单,然后选择修改

  4. 点击 修改以修改范围 说明。

  5. 使用标签定义范围访问权限部分中,根据需要更新标签及其对应的值。

  6. 点击测试范围以验证新标签如何应用于范围。

  7. UDM Search 窗口中,输入您的查询,然后点击 Run Search

    您可以优化查询,然后点击运行搜索,直到结果显示为止 您想要加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索查询

  8. 点击保存更改

范围已修改。

删除范围

删除镜重后,用户将无法访问与该镜重关联的数据。删除后,范围名称将无法重新用于创建新范围。

如需删除范围,请执行以下操作:

  1. 登录 Google SecOps

  2. 点击设置 >SIEM 设置 >数据访问权限

  3. 范围标签页中,点击要删除的范围对应的 菜单

  4. 点击删除

  5. 在确认窗口中,点击确认

该镜重已删除。

查看范围

如需查看范围详细信息,请执行以下操作:

  1. 登录 Google SecOps

  2. 依次点击设置 > 数据访问

  3. Scopes(范围)标签页中,点击 菜单找到您要查看的范围,然后选择查看

系统将显示范围详细信息。

为用户分配范围

必须分配范围,才能控制具有如下特征的用户的数据访问权限: 受限权限。为用户分配特定范围决定了数据 用户可以查看和互动的平台为用户分配多个范围后, 他们将有权访问所有这些范围内的合并数据。您可以将 为需要全局访问权限的用户授予适当的范围 并与所有数据互动如需向用户分配范围,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到 IAM 页面。

    转到 IAM

  2. 选择绑定到 Google SecOps 的项目。

  3. 点击 授予访问权限

  4. 新的主账号字段中,添加您的主账号标识符 如下所示:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
  5. 分配角色中 >选择角色菜单中,选择所需的角色。 点击添加其他角色以添加多个角色。了解需要哪些角色 请参见用户角色

  6. 如需为用户分配范围,请将条件添加到 Chronicle Restricted 分配给用户的数据访问角色(不适用于全局访问权限) 角色)。

    1. 点击添加 IAM 条件 Chronicle Restricted Data Access 角色。系统会显示添加条件窗口。

    2. 输入条件标题和可选的说明。

    3. 添加条件表达式。

      您可以使用条件构建器添加条件表达式 或条件编辑器

      条件构建器提供一个交互式界面 条件类型、运算符以及有关表达式的其他适用详细信息。 根据需要,使用 OR 运算符添加条件。添加 权限,我们建议您执行以下操作:

      1. 条件类型中选择名称,在运算符中选择结尾为, 并在中输入 /<scopename>

      2. 如需分配多个镜重,请使用 OR 运算符添加更多条件。您最多可以为每个角色绑定添加 12 个条件。要添加超过 12 个 条件,创建多个角色绑定,并最多添加 12 个条件 每个绑定

      如需详细了解条件,请参阅 IAM 条件概览

    4. 点击保存

    条件编辑器提供基于文本的界面,可使用 CEL 语法手动输入表达式。

    1. 输入以下表达式:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
    2. 点击运行 Linter 以验证 CEL 语法。

    3. 点击保存

      注意:条件角色绑定不会替换没有 条件。如果某主账号已绑定到角色,且角色绑定不包含条件,则此主账号始终具有该角色。将主账号添加到同一角色的条件绑定将不起作用。

  7. 点击测试更改,了解您所做的更改对用户的访问权限 数据。

  8. 点击保存

用户现在可以访问与范围关联的数据。