RBAC für Daten für Nutzer konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren der rollenbasierten Zugriffssteuerung für Daten (Data RBAC) die Data RBAC in Google Security Operations konfigurieren können. Durch das Erstellen und Zuweisen von Datenbereichen, die durch Labels definiert sind, können Sie dafür sorgen, dass nur autorisierte Nutzer auf Daten zugreifen können.

Die datenbasierte RBAC basiert auf IAM-Konzepten, einschließlich vordefinierter Rollen, benutzerdefinierter Rollen und IAM-Bedingungen.

Im Folgenden finden Sie eine allgemeine Übersicht über den Konfigurationsvorgang:

1. Implementierung planen:Ermitteln Sie die verschiedenen Datentypen, für die Sie den Nutzerzugriff einschränken möchten. Ermitteln Sie die verschiedenen Rollen in Ihrer Organisation und ermitteln Sie die Anforderungen für den Datenzugriff für jede Rolle.

2. Optional: Benutzerdefinierte Labels erstellen:Sie können zusätzlich zu den Standardlabels benutzerdefinierte Labels erstellen, um Ihre Daten zu kategorisieren.

3. Datenbereiche erstellen:Sie können Bereiche definieren, indem Sie relevante Labels kombinieren.

4. Nutzern Bereiche zuweisen:Weisen Sie Nutzerrollen in IAM Bereiche zu, die ihren Aufgaben entsprechen.

Wenn die RBAC für Daten zum ersten Mal aktiviert wird, sind Regeln, Referenzlisten und Datentabellen nicht zugewiesen. Nur Nutzer mit globalem Zugriff haben Zugriff auf die Daten. Nutzer mit begrenztem Zugriff haben standardmäßig keinen Zugriff auf Daten. So wird unberechtigter Zugriff verhindert und ein sicherer Ausgangspunkt geschaffen. Wenn Sie Zugriff gewähren möchten, definieren Sie Bereiche und weisen Sie sie Nutzern, Regeln und Referenzlisten zu, je nach Ihren Anforderungen.

Hinweise

• Weitere Informationen zu den Grundkonzepten der datenbasierten RBAC, den verschiedenen Zugriffstypen und den entsprechenden Nutzerrollen, zur Funktionsweise von Labels und Bereichen sowie zu den Auswirkungen der datenbasierten RBAC auf die Google SecOps-Funktionen finden Sie unter Datenbasierte RBAC – Übersicht.

• Richten Sie Ihre Google SecOps-Instanz ein. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten oder migrieren.

• Prüfen Sie, ob Sie die erforderlichen Rollen haben.

• Die RBAC für Daten ist standardmäßig nicht aktiviert. Wenn Sie die RBAC für Daten aktivieren möchten, wenden Sie sich an den Google SecOps-Support.

Benutzerdefinierte Labels erstellen und verwalten

Benutzerdefinierte Labels sind Metadaten, die Sie den in SIEM aufgenommenen Google SecOps-Daten hinzufügen können, um sie anhand von UDM-normalisierten Werten zu kategorisieren und zu organisieren.

Angenommen, Sie möchten die Netzwerkaktivität überwachen. Sie möchten DHCP-Ereignisse (Dynamic Host Configuration Protocol) von einer bestimmten IP-Adresse (10.0.0.1) erfassen, die möglicherweise manipuliert wurde.

Um diese Ereignisse zu filtern und zu identifizieren, können Sie ein benutzerdefiniertes Label mit dem Namen „Verdächtige DHCP-Aktivität“ mit der folgenden Definition erstellen:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

Das benutzerdefinierte Label funktioniert so:

In Google SecOps werden kontinuierlich Netzwerkprotokolle und ‑ereignisse in die UDM aufgenommen. Wenn ein DHCP-Ereignis aufgenommen wird, prüft Google SecOps, ob es den Kriterien des benutzerdefinierten Labels entspricht. Wenn das Feld metadata.event_type NETWORK_DHCP und das Feld principal.ip (die IP-Adresse des Geräts, das die DHCP-Vermietung anfordert) 10.0.0.1 ist, wendet Google SecOps das benutzerdefinierte Label auf das Ereignis an.

Sie können das Label „Verdächtige DHCP-Aktivität“ verwenden, um einen Bereich zu erstellen und den entsprechenden Nutzern zuzuweisen. Mit der Bereichszuweisung können Sie den Zugriff auf diese Ereignisse auf bestimmte Nutzer oder Rollen in Ihrer Organisation beschränken.

Anforderungen und Einschränkungen für Labels

• Labelnamen müssen eindeutig sein und dürfen maximal 63 Zeichen lang sein. Sie dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie können nach dem Löschen nicht wiederverwendet werden.
• Für Labels können keine Referenzlisten verwendet werden.
• Für Labels können keine Anreicherungsfelder verwendet werden.
• Labels unterstützen keine regulären Ausdrücke.

Benutzerdefiniertes Label erstellen

So erstellen Sie ein benutzerdefiniertes Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf Benutzerdefiniertes Label erstellen.

4. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

5. Klicken Sie auf Label erstellen.

6. Wählen Sie im Fenster Label erstellen die Option Als neues Label speichern aus und geben Sie den Namen und die Beschreibung des Labels ein.

7. Klicken Sie auf Label erstellen.

   Ein neues benutzerdefiniertes Label wird erstellt. Bei der Datenaufnahme wird dieses Label auf Daten angewendet, die mit der UDM-Abfrage übereinstimmen. Das Label wird nicht auf Daten angewendet, die bereits aufgenommen wurden.

Benutzerdefiniertes Label ändern

Sie können nur die Labelbeschreibung und die mit einem Label verknüpfte Abfrage ändern. Labelnamen können nicht aktualisiert werden. Wenn Sie ein benutzerdefiniertes Label ändern, werden die Änderungen nur auf neue Daten angewendet, nicht auf bereits aufgenommene Daten.

So ändern Sie ein Label:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf das Dreipunkt-Menü more_vert und wählen Sie Bearbeiten aus.

4. Aktualisieren Sie die Abfrage im Fenster UDM-Suchanfrage und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

5. Klicken Sie auf Änderungen speichern.

Das benutzerdefinierte Label wird geändert.

Benutzerdefiniertes Label löschen

Wenn Sie ein Label löschen, können keine neuen Daten mehr damit verknüpft werden. Daten, die bereits mit dem Label verknüpft sind, bleiben mit dem Label verknüpft. Nach dem Löschen können Sie das benutzerdefinierte Label nicht wiederherstellen und den Labelnamen nicht zum Erstellen neuer Labels verwenden.

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf das more_vert Menü für das Label, das Sie löschen möchten, und wählen Sie Löschen aus.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Das benutzerdefinierte Label wird gelöscht.

Benutzerdefiniertes Label ansehen

So rufen Sie die Details eines benutzerdefinierten Labels auf:

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf das more_vert Dreistrich-Menü und wählen Sie Anzeigen aus.

   Die Labeldetails werden angezeigt.

Bereiche erstellen und verwalten

Sie können Datenbereiche in der Benutzeroberfläche von Google SecOps erstellen und verwalten und sie dann Nutzern oder Gruppen über IAM zuweisen. Sie können einen Bereich erstellen, indem Sie Labels anwenden, die die Daten definieren, auf die ein Nutzer mit dem Bereich Zugriff hat.

Bereiche erstellen

So erstellen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche auf Bereich erstellen.

4. Führen Sie im Fenster Neuen Umfang erstellen die folgenden Schritte aus:

   1. Geben Sie Scope name (Umfangsname) und Description (Beschreibung) ein.

   2. Gehen Sie unter Zugriffsbereich mit Labels definieren > Zugriff erlauben so vor:

      • Klicken Sie auf Bestimmte Labels zulassen, um die Labels und die zugehörigen Werte auszuwählen, für die Sie den Zugriff gewähren möchten.

        In einer Bereichsdefinition werden Labels desselben Typs (z. B. Protokolltyp) mit dem OR-Operator kombiniert, während Labels verschiedener Typen (z. B. Protokolltyp und Namespace) mit dem AND-Operator kombiniert werden. Weitere Informationen dazu, wie Labels den Datenzugriff in Bereichen definieren, finden Sie unter Datensichtbarkeit mit Labels für Zulassen und Verbieten.

      • Wenn Sie Zugriff auf alle Daten gewähren möchten, wählen Sie Zugriff auf alle Daten zulassen aus.

   3. Wenn Sie den Zugriff auf bestimmte Labels ausschließen möchten, wählen Sie Bestimmte Labels ausschließen und dann den Labeltyp und die entsprechenden Werte aus, für die Sie den Zugriff für Nutzer verweigern möchten.

      Wenn in einem Bereich mehrere Labels zum Deaktivieren des Zugriffs angewendet werden, wird der Zugriff verweigert, wenn eines dieser Labels übereinstimmt.

   4. Klicken Sie auf Testbereich, um zu prüfen, wie die Labels auf den Bereich angewendet werden.

   5. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

      Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

   6. Klicken Sie auf Umfang erstellen.

   7. Bestätigen Sie im Fenster Umfang erstellen den Namen und die Beschreibung des Umfangs und klicken Sie auf Umfang erstellen.

Der Bereich wird erstellt. Sie müssen den Nutzern den Umfang zuweisen, um ihnen Zugriff auf die Daten im Umfang zu gewähren.

Umfang ändern

Sie können nur die Beschreibung des Geltungsbereichs und die zugehörigen Labels ändern. Bereichsnamen können nicht aktualisiert werden. Nachdem Sie einen Umfang aktualisiert haben, werden die mit dem Umfang verknüpften Nutzer gemäß den neuen Labels eingeschränkt. Die Regeln, die an den Umfang gebunden sind, werden nicht noch einmal mit dem aktualisierten Umfang abgeglichen.

So ändern Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Umfang auf das more_vert Menü für den Umfang, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus.

4. Klicken Sie auf edit Bearbeiten, um die Beschreibung des Gültigkeitsbereichs zu bearbeiten.

5. Aktualisieren Sie im Bereich Zugriffsbereich mit Labels definieren die Labels und die entsprechenden Werte nach Bedarf.

6. Klicken Sie auf Umfang testen, um zu prüfen, wie die neuen Labels auf den Umfang angewendet werden.

7. Geben Sie im Fenster UDM-Suche Ihre Suchanfrage ein und klicken Sie auf Suche ausführen.

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis die Ergebnisse die Daten enthalten, die Sie beschriften möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suchanfrage eingeben.

8. Klicken Sie auf Änderungen speichern.

Der Umfang wird geändert.

Bereich löschen

Wenn ein Umfang gelöscht wird, haben Nutzer keinen Zugriff mehr auf die mit dem Umfang verknüpften Daten. Nach dem Löschen kann der Bereichsname nicht wiederverwendet werden, um neue Bereiche zu erstellen.

So löschen Sie einen Bereich:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie löschen möchten, auf das Dreipunkt-Menü more_vert.

4. Klicken Sie auf Löschen.

5. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Der Bereich wird gelöscht.

Umfang der Datenleihe

So rufen Sie Details zum Umfang auf:

1. Melden Sie sich in Google SecOps an.

2. Klicken Sie auf Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie aufrufen möchten, auf more_vert Menü und wählen Sie Anzeigen aus.

Die Details zum Umfang werden angezeigt.

Nutzern Zugriff gewähren

Die Bereichszuweisung ist erforderlich, um den Datenzugriff für Nutzer mit eingeschränkten Berechtigungen zu steuern. Durch die Zuweisung bestimmter Bereiche an Nutzer wird festgelegt, welche Daten sie aufrufen und mit denen sie interagieren können. Wenn einem Nutzer mehrere Bereiche zugewiesen sind, erhält er Zugriff auf die kombinierten Daten aus allen diesen Bereichen. Sie können Nutzern, die globalen Zugriff benötigen, die entsprechenden Berechtigungen zuweisen, damit sie alle Daten aufrufen und damit interagieren können. So weisen Sie einem Nutzer Bereiche zu:

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen

2. Wählen Sie das Projekt aus, das mit Google SecOps verknüpft ist.

3. Klicken Sie auf person_add Zugriff erlauben.

4. Gehen Sie im Feld Neue Hauptkonten so vor:

   1. Wenn Sie die Workforce Identity-Föderation oder eine andere Authentifizierung von Drittanbietern verwenden, fügen Sie Ihre Haupt-ID hinzu:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Ersetzen Sie Folgendes:

      • POOL_ID: die Kennung für den Pool, der für Ihren Identitätsanbieter erstellt wurde.
      • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

   2. Wenn Sie Cloud Identity oder Google Workspace verwenden, fügen Sie Ihre Haupt-ID hinzu:

      user:USER_EMAIL

      Ersetzen Sie Folgendes:

      • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

5. Wählen Sie im Menü Rollen zuweisen > Rolle auswählen die erforderliche Rolle aus. Klicken Sie auf Weitere Rolle hinzufügen, um mehrere Rollen hinzuzufügen. Informationen dazu, welche Rollen hinzugefügt werden müssen, finden Sie unter Nutzerrollen.

6. Wenn Sie dem Nutzer einen Bereich zuweisen möchten, fügen Sie der Rolle „Eingeschränkter Datenzugriff für Chronicle“, die dem Nutzer zugewiesen ist, Bedingungen hinzu. Dies gilt nicht für Rollen mit globalem Zugriff.

   1. Klicken Sie bei der Rolle Eingeschränkter Zugriff auf Chronicle-Daten auf IAM-Bedingung hinzufügen. Das Fenster Bedingung hinzufügen wird angezeigt.

   2. Geben Sie den Titel und eine optionale Beschreibung für die Bedingung ein.

   3. Fügen Sie den Bedingungsausdruck hinzu.

      Sie können einen Bedingungsausdruck entweder mit dem Builder für IAM-Bedingungen oder dem Bedingungseditor hinzufügen.

      Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Mit den folgenden Operatoren können Sie genaue Regeln zum Steuern des Zugriffs auf mehrere Bereiche mit einer einzigen IAM-Bedingung erstellen:

   • ENDS_WITH: Prüft, ob der Bereichsname mit einem bestimmten Wort endet. Wenn Sie eine genaue Übereinstimmung anstreben, fügen Sie vor dem Wort ein / ein.

     Betrachten wir ein Beispiel für einen Datenzugriffsbereich mit dem Namen projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename stimmt genau mit dem Namen überein und wird für den Beispielbereich als true ausgewertet.

     • ENDS_WITH scopename stimmt mit jedem Namen überein, der auf „scopename“ endet, und wird für den Beispielbereich und auch für projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename als true ausgewertet.

   • STARTS_WITH: Prüft, ob der Bereichsname mit einem bestimmten Wort beginnt. Beispiel: STARTS_WITH projects/project1 gewährt Zugriff auf alle Bereiche innerhalb von „project1“.

   • EQUALS_TO: Prüft, ob der Name genau mit einem bestimmten Wort oder einer bestimmten Wortgruppe übereinstimmt. Dadurch erhalten Sie Zugriff auf nur einen Bereich. Beispiel: EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename wird für den Beispielumfang als true ausgewertet.

   So fügen Sie der Rolle Bereiche hinzu:

   1. Wählen Sie unter Bedingungstyp die Option Name und unter Operator den Operator aus. Geben Sie dann unter Wert den Namen des Gültigkeitsbereichs ein.

      /<scopename>

   2. Wenn Sie mehrere Bereiche zuweisen möchten, fügen Sie mit dem ODER-Operator weitere Bedingungen hinzu. Sie können für jede Rollenbindung bis zu zwölf Bedingungen hinzufügen. Wenn Sie mehr als zwölf Bedingungen hinzufügen möchten, erstellen Sie mehrere Rollenbindungen und fügen Sie jeder dieser Bindungen bis zu zwölf Bedingungen hinzu.

      Weitere Informationen zu Bedingungen finden Sie in der Übersicht über IAM-Bedingungen.

   3. Klicken Sie auf Speichern.

      Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax.

   4. Geben Sie den folgenden Ausdruck ein:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Klicken Sie auf Linter ausführen, um die CEL-Syntax zu validieren.

   6. Klicken Sie auf Speichern.

7. Klicken Sie auf Änderungen testen, um zu sehen, wie sich Ihre Änderungen auf den Nutzerzugriff auf die Daten auswirken.

8. Klicken Sie auf Speichern.

Die Nutzer können jetzt auf die Daten zugreifen, die mit den Bereichen verknüpft sind.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten