RBAC für Daten für Nutzer konfigurieren

Auf dieser Seite wird die rollenbasierte Zugriffssteuerung für Daten (RBAC für Daten) beschrieben. Administratoren können eine RBAC für Daten in Google Security Operations konfigurieren. Durch das Erstellen und Zuweisen von Datenbereichen, die durch Labels definiert sind, können Sie dafür sorgen, dass nur autorisierte Nutzer auf Daten zugreifen können.

RBAC für Daten basiert auf IAM einschließlich vordefinierter Rollen, benutzerdefinierter Rollen, und IAM-Bedingungen.

Im Folgenden finden Sie eine allgemeine Übersicht über den Konfigurationsvorgang:

1. Implementierung planen:Ermitteln Sie die verschiedenen Datentypen, die Sie benötigen. auf die der Nutzerzugriff beschränkt werden soll. Ermitteln Sie die verschiedenen Rollen in Ihrer Organisation und ermitteln Sie die Anforderungen für den Datenzugriff für jede Rolle.

2. Optional: Benutzerdefinierte Labels erstellen: Sie können zusätzlich zu den Standardlabels benutzerdefinierte Labels erstellen, um Ihre Daten zu kategorisieren.

3. Datenbereiche erstellen: Sie können Bereiche definieren, indem Sie relevante Labels kombinieren.

4. Nutzern Bereiche zuweisen: Weisen Sie Nutzerrollen in IAM Bereiche zu, die ihren Aufgaben entsprechen.

Hinweise

• Weitere Informationen zu den Grundkonzepten der datenbasierten RBAC, den verschiedenen Zugriffstypen und den entsprechenden Nutzerrollen, zur Funktionsweise von Labels und Bereichen sowie zu den Auswirkungen der datenbasierten RBAC auf die Google SecOps-Funktionen finden Sie unter Datenbasierte RBAC – Übersicht.

• Richten Sie Ihre Google SecOps-Instanz ein. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten oder migrieren.

• Prüfen Sie, ob Sie die erforderlichen Rollen haben.

Benutzerdefinierte Labels erstellen und verwalten

Benutzerdefinierte Labels sind Metadaten, die Sie dem aufgenommenen SIEM hinzufügen können Google SecOps-Daten zum Kategorisieren und Organisieren auf UDM-normalisierten Werten basiert.

Angenommen, Sie möchten die Netzwerkaktivität überwachen. Sie möchten Folgendes erfassen: DHCP-Ereignisse (Dynamic Host Configuration Protocol) von einer bestimmten IP-Adresse (10.0.0.1), die Ihrer Meinung nach kompromittiert sein könnten.

Um diese Ereignisse zu filtern und zu identifizieren, können Sie ein benutzerdefiniertes Label mit den Namen „Verdächtige DHCP-Aktivität“ mit der folgenden Definition:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

Das benutzerdefinierte Label funktioniert so:

Google SecOps nimmt kontinuierlich Netzwerkprotokolle und ‑ereignisse in seine UDM auf. Wenn ein DHCP-Ereignis aufgenommen wird, prüft Google SecOps, ob es den Kriterien des benutzerdefinierten Labels entspricht. Wenn das Feld metadata.event\_type NETWORK\_DHCP und wenn das Feld principal.ip (die IP-Adresse des Geräts) 10.0.0.1 lautet, wendet Google SecOps benutzerdefiniertes Label hinzufügen.

Sie können das Label „Verdächtige DHCP-Aktivität“ verwenden, um einen Bereich zu erstellen und den entsprechenden Nutzern zuzuweisen. Mit der Bereichszuweisung können Sie den Zugriff auf diese Ereignisse auf bestimmte Nutzer oder Rollen in Ihrer Organisation beschränken.

Anforderungen und Einschränkungen für Labels

• Labelnamen müssen eindeutig sein und dürfen maximal 63 Zeichen lang sein. Sie dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie können nach dem Löschen nicht wiederverwendet werden.
• Labels können keine Referenzlisten verwenden.
• Labels können keine Anreicherungsfelder verwenden.
• Labels unterstützen keine regulären Ausdrücke.

Benutzerdefiniertes Label erstellen

So erstellen Sie ein benutzerdefiniertes Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff:

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf Benutzerdefiniertes Label erstellen.

4. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse angezeigt werden. die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

5. Klicken Sie auf Label erstellen.

6. Wählen Sie im Fenster Label erstellen die Option Als neues Label speichern aus und geben Sie den Namen und die Beschreibung des Labels ein.

7. Klicken Sie auf Label erstellen.

   Ein neues benutzerdefiniertes Label wird erstellt. Bei der Datenaufnahme wird dieses Label auf Daten angewendet, die mit der UDM-Abfrage übereinstimmen. Das Label wird nicht auf Daten angewendet, bereits aufgenommen.

Benutzerdefiniertes Label ändern

Sie können nur die Labelbeschreibung und die mit einem Label verknüpfte Abfrage ändern. Labelnamen können nicht aktualisiert werden. Wenn Sie ein benutzerdefiniertes Label ändern, werden die Änderungen nur auf neue Daten angewendet, nicht auf bereits aufgenommene Daten.

So ändern Sie ein Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf more_vert. Menü neben dem Label, das Sie bearbeiten möchten, und wählen Sie Bearbeiten aus.

4. Aktualisieren Sie die Abfrage im Fenster UDM-Suchanfrage und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage Siehe Geben Sie eine UDM-Suche ein.

5. Klicken Sie auf Änderungen speichern.

Das benutzerdefinierte Label wird geändert.

Benutzerdefiniertes Label löschen

Wenn Sie ein Label löschen, können keine neuen Daten mehr damit verknüpft werden. Daten, die bereits mit dem Label verknüpft ist, bleibt diesem zugeordnet. Nach dem Löschen können Sie das benutzerdefinierte Label nicht wiederherstellen und den Labelnamen nicht zum Erstellen neuer Labels wiederverwenden.

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf more_vert. Menü für das Label, das Sie löschen möchten, und wählen Sie Löschen aus.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Das benutzerdefinierte Label wird gelöscht.

Benutzerdefiniertes Label ansehen

So rufen Sie Details zu einem benutzerdefinierten Label auf:

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff:

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf more_vert. Menü neben dem Label, das Sie bearbeiten möchten, und wählen Sie Ansicht aus.

   Die Labeldetails werden angezeigt.

Bereiche erstellen und verwalten

Sie können Datenbereiche innerhalb des Google SecOps-Nutzers erstellen und verwalten und weisen Sie diese Bereiche dann über IAM Nutzern oder Gruppen zu. Sie können einen Bereich erstellen, indem Sie Labels anwenden, um die Daten zu definieren, auf die der Bereich Zugriff hat.

Bereiche erstellen

So erstellen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff:

3. Klicken Sie auf dem Tab Bereiche auf Bereich erstellen.

4. Führen Sie im Fenster Neuen Bereich erstellen die folgenden Schritte aus:

   1. Geben Sie Bereichsname und Beschreibung ein.

   2. Gehen Sie zu Bereichszugriff mit Labels definieren > Zugriff erlauben:

      • Um die Labels und die zugehörigen Werte auszuwählen, Klicken Sie auf Bestimmte Labels zulassen, um Nutzern den Zugriff zu gewähren.

        In einer Bereichsdefinition Labels desselben Typs (z. B. Logtyp) werden mit dem ODER-Operator kombiniert, während Labels verschiedener Typen (z. B. Logtyp und Namespace) werden mithilfe von AND kombiniert. . Weitere Informationen zur Definition des Datenzugriffs durch Labels finden Sie in finden Sie unter Datensichtbarkeit mit Zulassungs- und Sperrlabels.

      • Wenn Sie Zugriff auf alle Daten gewähren möchten, wählen Sie Zugriff auf alles gewähren aus.

   3. Wenn Sie den Zugriff auf bestimmte Labels ausschließen möchten, wählen Sie Bestimmte Labels ausschließen und dann den Labeltyp und die entsprechenden Werte aus, für die Sie den Zugriff für Nutzer verweigern möchten.

      Wenn innerhalb eines Bereichs mehrere Labels zum Ablehnen des Zugriffs angewendet werden, ist der Zugriff abgelehnt, wenn sie mit einem dieser Labels übereinstimmen.

   4. Klicken Sie auf Testbereich, um zu prüfen, wie die Labels auf den Bereich angewendet werden.

   5. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

      Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

   6. Klicken Sie auf Umfang erstellen.

   7. Bestätigen Sie im Fenster Bereich erstellen den Namen und die Beschreibung des Bereichs und klicken Sie auf Bereich erstellen.

Der Bereich wird erstellt. Sie müssen den Nutzern den Umfang zuweisen, um ihnen Zugriff auf die Daten im Umfang zu gewähren.

Bereich ändern

Sie können nur die Bereichsbeschreibung und die zugehörigen Labels ändern. Bereichsnamen kann nicht aktualisiert werden. Nachdem Sie einen Bereich aktualisiert haben, werden die zugehörigen Nutzer unterliegen den neuen Labels. Folgende Regeln sind an den Geltungsbereich gebunden: nicht noch einmal mit der aktualisierten.

So ändern Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff:

3. Klicken Sie auf dem Tab Bereiche auf das more_vertMenü für den Bereich, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus.

4. Klicken Sie auf edit Bearbeiten, um die Beschreibung des Gültigkeitsbereichs zu bearbeiten.

5. Aktualisieren Sie im Bereich Bereichszugriff mit Labels definieren die Labels und bei Bedarf die entsprechenden Werte an.

6. Klicken Sie auf Umfang testen, um zu prüfen, wie die neuen Labels auf den Umfang angewendet werden.

7. Geben Sie im Fenster UDM-Suche Ihre Abfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse angezeigt werden. die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

8. Klicken Sie auf Änderungen speichern.

Der Umfang wird geändert.

Bereich löschen

Wenn ein Umfang gelöscht wird, haben Nutzer keinen Zugriff mehr auf die zugehörigen Daten. Nach dem Löschen kann der Bereichsname nicht wiederverwendet werden, um neue Bereiche zu erstellen.

So löschen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche auf more_vert. Menu (Menü) für den Bereich, den Sie löschen möchten.

4. Klicken Sie auf Löschen.

5. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Der Bereich wird gelöscht.

Bereich ansehen

So rufen Sie Details zum Umfang auf:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie aufrufen möchten, auf more_vert Menü und wählen Sie Anzeigen aus.

Die Bereichsdetails werden angezeigt.

Nutzern Bereich zuweisen

Die Bereichszuweisung ist erforderlich, um den Datenzugriff für Nutzer mit eingeschränkten Berechtigungen zu steuern. Durch die Zuweisung bestimmter Bereiche an Nutzer wird festgelegt, welche Daten sie aufrufen und mit denen sie interagieren können. Wenn einem Nutzer mehrere Zugriffsbereiche zugewiesen sind, erhalten sie Zugriff auf die kombinierten Daten aus all diesen Bereichen. Sie können die die globalen Zugriff benötigen, damit die Nutzer und mit allen Daten interagieren. So weisen Sie einem Nutzer Bereiche zu:

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen

2. Wählen Sie das Projekt aus, das mit Google SecOps verknüpft ist.

3. Klicken Sie auf person_add Zugriff erlauben.

4. Fügen Sie im Feld Neue Hauptkonten die Haupt-ID hinzu wie folgt:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Wählen Sie im Menü Rollen zuweisen > Rolle auswählen die erforderliche Rolle aus. Klicken Sie auf Weitere Rolle hinzufügen, um mehrere Rollen hinzuzufügen. Um zu verstehen, welche Rollen finden Sie unter Nutzerrollen.

6. Wenn Sie dem Nutzer einen Bereich zuweisen möchten, fügen Sie Bedingungen zu „Chroonicle (eingeschränkt)“ hinzu Rolle für den Datenzugriff, die dem Nutzer zugewiesen ist (gilt nicht für den globalen Zugriff) Rollen).

   1. Klicken Sie auf IAM-Bedingung hinzufügen Chronicle Eingeschränkter Datenzugriff. Das Fenster Bedingung hinzufügen wird angezeigt.

   2. Geben Sie den Titel der Bedingung und optional eine Beschreibung ein.

   3. Fügen Sie den Bedingungsausdruck hinzu.

      Sie können einen Bedingungsausdruck entweder mit dem Tool zur Bedingungserstellung hinzufügen. oder den Bedingungseditor.

      Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere Details zum Ausdruck auswählen können. Fügen Sie die Bedingungen gemäß Ihren Anforderungen mithilfe der OR-Operatoren hinzu. So fügen Sie der Rolle Bereiche hinzu:

      1. Wählen Sie unter Bedingungstyp die Option Name und unter Operator die Option Endet mit aus. Geben Sie dann /<scopename> unter Wert ein.

      2. Wenn Sie mehrere Bereiche zuweisen möchten, fügen Sie mit dem ODER-Operator weitere Bedingungen hinzu. Sie können für jede Rollenbindung bis zu 12 Bedingungen hinzufügen. Wenn Sie mehr als zwölf Bedingungen hinzufügen möchten, erstellen Sie mehrere Rollenbindungen und fügen Sie jeder dieser Bindungen bis zu zwölf Bedingungen hinzu.

      Weitere Informationen zu Bedingungen finden Sie in der Übersicht über IAM-Bedingungen.

   4. Klicken Sie auf Speichern.

   Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax.

   1. Geben Sie den folgenden Ausdruck ein:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Klicken Sie auf Linter ausführen, um die CEL-Syntax zu validieren.

   3. Klicken Sie auf Speichern.

      Hinweis:Bedingte Rollenbindungen überschreiben keine Rollenbindungen, wenn . Wenn ein Hauptkonto an eine Rolle gebunden ist und die Rollenbindung keine Bedingung hat, hat das Hauptkonto immer diese Rolle. Wird hinzugefügt Das Hauptkonto zu einer bedingten Bindung für dieselbe Rolle hat keine Auswirkungen.

7. Klicken Sie auf Änderungen testen, um zu sehen, wie sich Ihre Änderungen auf den Nutzerzugriff auf die Daten auswirken.

8. Klicken Sie auf Speichern.

Die Nutzer können jetzt auf die Daten zugreifen, die mit den Bereichen verknüpft sind.