Daten-RBAC für Nutzer konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) in Google Security Operations konfigurieren können. Durch das Erstellen und Zuweisen von Datenbereichen, die durch Labels definiert werden, können Sie dafür sorgen, dass Daten nur für autorisierte Nutzer zugänglich sind.

Data RBAC basiert auf IAM-Konzepten, einschließlich vordefinierter Rollen, benutzerdefinierter Rollen und IAM-Bedingungen.

Im Folgenden finden Sie einen allgemeinen Überblick über den Konfigurationsprozess:

  1. Implementierung planen:Bestimme die verschiedenen Datentypen, auf die du den Nutzerzugriff beschränken möchtest. Identifizieren Sie die verschiedenen Rollen in Ihrer Organisation und legen Sie die Datenzugriffsanforderungen für jede Rolle fest.

  2. Optional: Benutzerdefinierte Labels erstellen: Erstellen Sie (zusätzlich zu den Standardlabels) benutzerdefinierte Labels, um Ihre Daten zu kategorisieren.

  3. Datenbereiche erstellen:Definieren Sie Bereiche durch Kombinieren relevanter Labels.

  4. Nutzern Bereiche zuweisen:Weisen Sie den Nutzerrollen in IAM Bereiche basierend auf ihren Verantwortlichkeiten zu.

Hinweise

  • Weitere Informationen zu den Kernkonzepten der RBAC für Daten, zu den verschiedenen Zugriffstypen und den entsprechenden Nutzerrollen, zur Funktionsweise von Labels und Bereichen sowie zu den Auswirkungen von RBAC auf Daten in Google SecOps-Funktionen finden Sie unter Daten-RBAC.

  • Richten Sie Ihre Google SecOps-Instanz ein. Weitere Informationen finden Sie unter Google Security Operations-Instanz einrichten oder migrieren.

  • Prüfen Sie, ob Sie die erforderlichen Rollen haben.

Benutzerdefinierte Labels erstellen und verwalten

Benutzerdefinierte Labels sind Metadaten, die Sie den in SIEM aufgenommenen Google SecOps-Daten hinzufügen können, um sie anhand von UDM-normalisierten Werten zu kategorisieren und zu organisieren.

Angenommen, Sie möchten die Netzwerkaktivität überwachen. Sie möchten DHCP-Ereignisse (Dynamic Host Configuration Protocol) von einer bestimmten IP-Adresse (10.0.0.1) erfassen, die Ihrer Meinung nach manipuliert sein könnte.

Um diese bestimmten Ereignisse zu filtern und zu identifizieren, können Sie ein benutzerdefiniertes Label mit dem Namen „Verdächtige DHCP-Aktivität“ mit der folgenden Definition erstellen:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

So funktioniert das benutzerdefinierte Label:

Google SecOps nimmt kontinuierlich Netzwerklogs und -ereignisse in seine UDM auf. Wenn ein DHCP-Ereignis aufgenommen wird, prüft Google SecOps, ob es die Kriterien des benutzerdefinierten Labels erfüllt. Wenn das Feld metadata.event\_type den Wert NETWORK\_DHCP und das Feld principal.ip (die IP-Adresse des Geräts, das die DHCP-Freigabe anfordert) den Wert 10.0.0.1 hat, wendet Google SecOps das benutzerdefinierte Label auf das Ereignis an.

Sie können das Label „Verdächtige DHCP-Aktivität“ verwenden, um einen Bereich zu erstellen und ihn den entsprechenden Nutzern zuzuweisen. Durch die Zuweisung von Bereichen können Sie den Zugriff auf diese Ereignisse auf bestimmte Nutzer oder Rollen innerhalb Ihrer Organisation beschränken.

Anforderungen und Einschränkungen für Labels

  • Labelnamen müssen eindeutig sein und dürfen maximal 63 Zeichen lang sein. Sie dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie können nach dem Löschen nicht wiederverwendet werden.
  • Labels können keine Referenzlisten verwenden.
  • Labels können keine Anreicherungsfelder verwenden.

Benutzerdefiniertes Label erstellen

So erstellen Sie ein benutzerdefiniertes Label:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf Benutzerdefiniertes Label erstellen.

  4. Geben Sie im Fenster UDM-Suche Ihre Abfrage ein und klicken Sie auf Suche ausführen.

    Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

  5. Klicken Sie auf Label erstellen.

  6. Wählen Sie im Fenster Label erstellen die Option Als neues Label speichern aus und geben Sie den Namen und die Beschreibung des Labels ein.

  7. Klicken Sie auf Label erstellen.

    Ein neues benutzerdefiniertes Label wird erstellt. Während der Datenaufnahme wird dieses Label auf Daten angewendet, die mit der UDM-Abfrage übereinstimmen. Das Label wird nicht auf Daten angewendet, die bereits aufgenommen wurden.

Benutzerdefiniertes Label ändern

Sie können nur die Labelbeschreibung und die mit einem Label verknüpfte Abfrage ändern. Labelnamen können nicht aktualisiert werden. Wenn Sie ein benutzerdefiniertes Label ändern, werden die Änderungen nur auf neue Daten angewendet und nicht auf die Daten, die bereits aufgenommen wurden.

So ändern Sie ein Label:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf Menü und wählen Sie Bearbeiten aus.

  4. Aktualisieren Sie im Fenster UDM-Suche Ihre Abfrage und klicken Sie auf Suche ausführen.

    Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

  5. Klicken Sie auf Änderungen speichern.

Das benutzerdefinierte Label wird geändert.

Benutzerdefiniertes Label löschen

Durch das Löschen eines Labels wird verhindert, dass ihm neue Daten zugeordnet werden. Daten, die bereits mit dem Label verknüpft sind, bleiben diesem zugeordnet. Nach dem Löschen können Sie das benutzerdefinierte Label nicht wiederherstellen und den Labelnamen nicht wiederverwenden, um neue Labels zu erstellen.

  1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  2. Klicken Sie auf dem Tab Benutzerdefinierte Labels für das Label, das Sie löschen möchten, auf das Menü und wählen Sie Löschen aus.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Das benutzerdefinierte Label wurde gelöscht.

Benutzerdefiniertes Label ansehen

So rufen Sie Details zu einem benutzerdefinierten Label auf:

  1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  2. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf Menü und wählen Sie Ansicht aus.

    Die Labeldetails werden angezeigt.

Bereiche erstellen und verwalten

Sie können Datenbereiche in der Google SecOps-Benutzeroberfläche erstellen und verwalten und diese Bereiche dann über IAM Nutzern oder Gruppen zuweisen. Sie können einen Bereich erstellen, indem Sie Labels anwenden, um die Daten zu definieren, auf die ein Nutzer mit diesem Bereich Zugriff hat.

Bereiche erstellen

So erstellen Sie einen Bereich:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Bereiche auf Bereich erstellen.

  4. Führen Sie im Fenster Neuen Bereich erstellen die folgenden Schritte aus:

    1. Geben Sie Bereichsname und Beschreibung ein.

    2. Führen Sie unter Bereichszugriff mit Labels definieren > Zugriff zulassen die folgenden Schritte aus:

      • Klicken Sie auf Bestimmte Labels zulassen, um die Labels und die zugehörigen Werte auszuwählen, auf die Sie Nutzern Zugriff gewähren möchten.

        In einer Bereichsdefinition werden Labels desselben Typs (z. B. Logtyp) mit dem Operator ODER kombiniert, während Labels unterschiedlicher Typen (z. B. Logtyp und Namespace) mit dem Operator AND kombiniert werden. Weitere Informationen dazu, wie Labels den Datenzugriff in Bereichen definieren, finden Sie unter Datensichtbarkeit mit Labels zum Zulassen und Ablehnen.

      • Wenn Sie Zugriff auf alle Daten gewähren möchten, wählen Sie Zugriff auf alles erlauben aus.

    3. Wenn Sie den Zugriff auf einige Labels ausschließen möchten, wählen Sie Bestimmte Labels ausschließen und dann den Labeltyp und die entsprechenden Werte aus, auf die Nutzer keinen Zugriff haben sollen.

      Wenn innerhalb eines Bereichs mehrere Labels zum Ablehnen des Zugriffs angewendet werden, wird der Zugriff verweigert, wenn sie mit einem beliebigen dieser Labels übereinstimmen.

    4. Klicken Sie auf Testbereich, um zu prüfen, wie die Labels auf den Bereich angewendet werden.

    5. Geben Sie im Fenster UDM-Suche Ihre Abfrage ein und klicken Sie auf Suche ausführen.

      Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

    6. Klicken Sie auf Bereich erstellen.

    7. Bestätigen Sie im Fenster Bereich erstellen den Namen und die Beschreibung des Bereichs und klicken Sie auf Bereich erstellen.

Der Bereich wird erstellt. Sie müssen Nutzern den Bereich zuweisen, damit sie Zugriff auf die Daten im Bereich haben.

Bereich ändern

Sie können nur die Bereichsbeschreibung und die zugehörigen Labels ändern. Bereichsnamen können nicht aktualisiert werden. Nachdem Sie einen Bereich aktualisiert haben, werden die mit dem Bereich verknüpften Nutzer gemäß den neuen Labels eingeschränkt. Die Regeln, die an den Bereich gebunden sind, werden nicht noch einmal mit der aktualisierten Regel abgeglichen.

So ändern Sie einen Bereich:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Bereiche auf Menü für den Bereich, den Sie bearbeiten möchten, und wählen Sie Bearbeiten aus.

  4. Klicken Sie auf Bearbeiten, um die Bereichsbeschreibung zu bearbeiten.

  5. Aktualisieren Sie im Bereich Bereichszugriff mit Labels definieren die Labels und die zugehörigen Werte nach Bedarf.

  6. Klicken Sie auf Testbereich, um zu prüfen, wie die neuen Labels auf den Bereich angewendet werden.

  7. Geben Sie im Fenster UDM-Suche Ihre Abfrage ein und klicken Sie auf Suche ausführen.

    Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie mit einem Label versehen möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

  8. Klicken Sie auf Änderungen speichern.

Der Bereich wird geändert.

Bereich löschen

Wenn ein Bereich gelöscht wird, haben Nutzer keinen Zugriff auf die damit verknüpften Daten. Nach dem Löschen kann der Bereichsname nicht noch einmal verwendet werden, um neue Bereiche zu erstellen.

So löschen Sie einen Bereich:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Bereiche auf Menü für den Bereich, den Sie löschen möchten.

  4. Klicken Sie auf Löschen.

  5. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Der Bereich wird gelöscht.

Bereich ansehen

So rufen Sie Details zum Umfang auf:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf Einstellungen > Datenzugriff.

  3. Klicken Sie auf dem Tab Bereiche auf das Menü für den Bereich, den Sie ansehen möchten, und wählen Sie Ansehen aus.

Die Bereichsdetails werden angezeigt.

Nutzern Bereich zuweisen

Die Bereichszuweisung ist erforderlich, um den Datenzugriff für Nutzer mit eingeschränkten Berechtigungen zu steuern. Durch das Zuweisen bestimmter Bereiche zu Nutzern wird festgelegt, welche Daten diese anzeigen und mit denen sie interagieren können. Wenn einem Nutzer mehrere Bereiche zugewiesen sind, erhält er Zugriff auf die kombinierten Daten aus allen diesen Bereichen. Sie können Nutzern, die globalen Zugriff benötigen, die entsprechenden Bereiche zuweisen, damit sie alle Daten ansehen und mit ihnen interagieren können. So weisen Sie einem Nutzer Bereiche zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.

  3. Klicken Sie auf Zugriff erlauben.

  4. Fügen Sie im Feld Neue Hauptkonten die Haupt-ID so hinzu:

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

  5. Wählen Sie im Menü Rollen zuweisen > Rolle auswählen die erforderliche Rolle aus. Klicken Sie auf Weitere Rolle hinzufügen, um mehrere Rollen hinzuzufügen. Informationen dazu, welche Rollen hinzugefügt werden müssen, finden Sie unter Nutzerrollen.

  6. Um dem Nutzer einen Bereich zuzuweisen, fügen Sie der Chronicle-Rolle „Eingeschränkter Datenzugriff“, die dem Nutzer zugewiesen ist, Bedingungen hinzu. Dies gilt nicht für globale Zugriffsrollen.

    1. Klicken Sie für die Rolle Chronicle Eingeschränkter Datenzugriff auf IAM-Bedingung hinzufügen. Das Fenster Bedingung hinzufügen wird angezeigt.

    2. Geben Sie den Titel der Bedingung und optional eine Beschreibung ein.

    3. Fügen Sie den Bedingungsausdruck hinzu.

      Sie können einen Bedingungsausdruck entweder mit dem Tool zur Bedingungserstellung oder dem Bedingungseditor hinzufügen.

      Das Tool zur Bedingungserstellung bietet eine interaktive Oberfläche zur Auswahl des Bedingungstyps, des Operators und anderer anwendbarer Details zum Ausdruck. Fügen Sie die gewünschten Bedingungen mithilfe der ODER-Operatoren hinzu. Wir empfehlen Folgendes, um der Rolle Bereiche hinzuzufügen:

      1. Wählen Sie unter Bedingungstyp die Option Name, unter Operator Endet mit aus und geben Sie für Wert /<scopename> ein.

      2. Wenn Sie mehrere Bereiche zuweisen möchten, fügen Sie mit dem ODER-Operator weitere Bedingungen hinzu. Sie können für jede Rollenbindung bis zu 12 Bedingungen hinzufügen. Wenn Sie mehr als 12 Bedingungen hinzufügen möchten, erstellen Sie mehrere Rollenbindungen und fügen Sie jeder dieser Bindungen bis zu 12 Bedingungen hinzu.

      Weitere Informationen zu Bedingungen finden Sie unter Übersicht über IAM-Bedingungen.

    4. Klicken Sie auf Speichern.

    Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax.

    1. Geben Sie den folgenden Ausdruck ein:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

    2. Klicken Sie auf Linter ausführen, um die CEL-Syntax zu validieren.

    3. Klicken Sie auf Speichern.

      Hinweis:Bedingte Rollenbindungen überschreiben keine Rollenbindungen ohne Bedingungen. Wenn ein Hauptkonto an eine Rolle gebunden ist und die Rollenbindung keine Bedingung hat, hat das Hauptkonto immer diese Rolle. Das Hinzufügen des Hauptkontos zu einer bedingten Bindung für dieselbe Rolle hat keine Auswirkungen.

  7. Klicken Sie auf Änderungen testen, um zu sehen, wie sich Ihre Änderungen auf den Nutzerzugriff auf die Daten auswirken.

  8. Klicken Sie auf Speichern.

Die Nutzer können jetzt auf die Daten zugreifen, die mit den Bereichen verknüpft sind.