Mengonfigurasi RBAC data untuk pengguna

Halaman ini menjelaskan cara data role-based access control (data RBAC) administrator dapat mengonfigurasi RBAC data dalam Google Security Operations. Sampai pembuatan dan penetapan cakupan data, yang ditentukan dengan label, Anda dapat memastikan bahwa data hanya dapat diakses oleh pengguna yang diotorisasi.

Data RBAC mengandalkan IAM termasuk peran bawaan, peran khusus, dan kondisi IAM.

Berikut adalah ringkasan tingkat tinggi proses konfigurasi:

1. Rencanakan penerapan Anda: identifikasi berbagai jenis data yang Anda inginkan untuk membatasi akses pengguna. Mengidentifikasi berbagai peran dalam organisasi dan menentukan persyaratan akses data untuk setiap peran.

2. Opsional: Buat label khusus: buat label khusus (selain label default) untuk mengategorikan data Anda.

3. Buat cakupan data: tentukan cakupan dengan menggabungkan label yang relevan.

4. Tetapkan cakupan untuk pengguna: tetapkan cakupan ke peran pengguna di IAM berdasarkan tanggung jawab mereka.

Sebelum memulai

• Untuk memahami konsep inti dari RBAC data, berbagai jenis akses, dan peran pengguna terkait, cara kerja label dan cakupan, serta dampak data RBAC di fitur Google SecOps, lihat Ringkasan Data RBAC.

• Melakukan aktivasi instance Google SecOps. Untuk informasi selengkapnya, lihat Aktivasi atau memigrasikan instance Google Security Operations.

• Pastikan Anda memiliki peran yang diperlukan.

Membuat dan mengelola label khusus

Label khusus adalah metadata yang dapat Anda tambahkan ke SIEM yang diserap Data SecOps Google untuk mengategorikan dan mengatur berdasarkan nilai yang dinormalisasi UDM.

Misalnya, Anda ingin memantau aktivitas jaringan. Anda ingin melacak Peristiwa Dynamic Host Configuration Protocol (DHCP) dari alamat IP tertentu (10.0.0.1) yang Anda curigai mungkin telah disusupi.

Untuk memfilter dan mengidentifikasi peristiwa tertentu ini, Anda dapat membuat label khusus dengan Nama Aktivitas DHCP Mencurigakan dengan definisi berikut:

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

Label khusus berfungsi dengan cara berikut:

Google SecOps terus menyerap log dan peristiwa jaringan ke dalam UDM. Ketika peristiwa DHCP diserap, SecOps Google akan memeriksa apakah cocok dengan kriteria label kustom. Jika kolom metadata.event\_type adalah NETWORK\_DHCP dan jika kolom principal.ip (alamat IP perangkat meminta sewa DHCP) adalah 10.0.0.1, Google SecOps menerapkan label khusus ke peristiwa.

Anda dapat menggunakan label {i>Mencurigakan DHCP <i} untuk membuat ruang lingkup dan menetapkan cakupan kepada pengguna yang relevan. Penetapan cakupan memungkinkan Anda membatasi akses ke peristiwa ini untuk pengguna atau peran tertentu dalam organisasi Anda.

Persyaratan dan batasan label

• Nama label harus unik dan dapat memiliki panjang maksimum 63 karakter. Label ini hanya boleh berisi huruf kecil, karakter numerik, dan tanda hubung. Mereka tidak dapat digunakan kembali setelah dihapus.
• Label tidak dapat menggunakan daftar referensi.
• Label tidak dapat menggunakan kolom pengayaan.

Buat label khusus

Untuk membuat label khusus, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Pada tab Label khusus, klik Buat label khusus.

4. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Run Search hingga hasilnya ditampilkan data yang ingin Anda beri label. Untuk informasi selengkapnya tentang menjalankan kueri, lihat Memasukkan Penelusuran UDM.

5. Klik Buat label.

6. Di jendela Buat label, pilih Simpan sebagai label baru, dan masukkan nama label dan deskripsi.

7. Klik Buat label.

   Label khusus baru dibuat. Selama penyerapan data, label ini diterapkan ke data yang cocok dengan kueri UDM. Label tidak diterapkan pada data yang sudah diserap.

Ubah label khusus

Anda hanya dapat mengubah deskripsi label dan kueri yang terkait dengan label. Nama label tidak dapat diperbarui. Saat Anda mengubah label khusus, perubahan tersebut hanya diterapkan pada data baru, bukan untuk data yang sudah diserap.

Untuk mengubah label, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Pada tab Label khusus, klik more_vert Menu pada label yang ingin diedit, lalu pilih Edit.

4. Di jendela UDM Search, perbarui kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Run Search hingga hasilnya ditampilkan data yang ingin Anda beri label. Untuk informasi selengkapnya tentang menjalankan kueri, lihat Memasukkan Penelusuran UDM.

5. Klik Simpan perubahan.

Label khusus sudah diubah.

Hapus label khusus

Menghapus label akan mencegah data baru dikaitkan dengan label tersebut. Data yang yang sudah dikaitkan dengan label tetap terkait dengan label. Sesudah penghapusan, Anda tidak dapat memulihkan label khusus atau menggunakan kembali nama label untuk membuat label baru.

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label khusus, klik more_vert Menu untuk label yang ingin dihapus, lalu pilih Hapus.

3. Klik Delete.

4. Di jendela konfirmasi, klik Konfirmasi.

Label khusus dihapus.

Lihat label khusus

Untuk melihat detail label kustom, lakukan tindakan berikut:

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label khusus, klik more_vert Menu pada label yang ingin diedit, lalu pilih Lihat.

   Detail label akan ditampilkan.

Membuat dan mengelola cakupan

Anda dapat membuat dan mengelola cakupan data dalam pengguna Google SecOps antarmuka, lalu menetapkan cakupan tersebut kepada pengguna atau grup melalui IAM. Anda dapat membuat cakupan dengan menerapkan label yang menentukan data yang yang dapat diakses dengan cakupan tersebut.

Membuat cakupan

Untuk membuat cakupan, lakukan langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Pada tab Cakupan, klik Buat cakupan.

4. Di jendela Create new scope, lakukan tindakan berikut:

   1. Masukkan Nama cakupan dan Deskripsi.

   2. Di bagian Menentukan akses cakupan dengan label > Izinkan akses, lakukan tindakan berikut:

      • Untuk memilih label dan nilainya yang sesuai yang ingin Anda beri pengguna akses, klik Izinkan label tertentu.

        Dalam definisi cakupan, label dengan jenis yang sama (misalnya, jenis log) digabungkan menggunakan operator OR, sementara label dari jenis yang berbeda (misalnya, jenis log dan namespace) digabungkan menggunakan AND operator. Untuk informasi selengkapnya tentang cara label menentukan akses data dalam lihat Visibilitas data dengan label izinkan dan tolak.

      • Untuk memberikan akses ke semua data, pilih Izinkan akses ke semuanya.

   3. Untuk mengecualikan akses ke beberapa label, pilih Kecualikan label tertentu, lalu pilih jenis label dan nilai yang sesuai yang ingin Anda tolak diakses oleh pengguna.

      Jika beberapa label akses tolak diterapkan dalam cakupan, akses ditolak jika cocok dengan salah satu label tersebut.

   4. Klik Uji cakupan untuk memverifikasi cara penerapan label ke cakupan.

   5. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

      Anda dapat menyaring kueri dan mengklik Run Search hingga hasilnya ditampilkan data yang ingin Anda beri label. Untuk informasi selengkapnya tentang menjalankan kueri, lihat Memasukkan Penelusuran UDM.

   6. Klik Buat cakupan.

   7. Di jendela Buat cakupan, konfirmasi nama dan deskripsi cakupan lalu klik Buat cakupan.

Cakupan dibuat. Anda harus menetapkan cakupan kepada pengguna untuk memberi mereka akses ke data dalam ruang lingkupnya.

Ubah cakupan

Anda hanya dapat mengubah deskripsi cakupan dan label terkait. Nama cakupan tidak dapat diperbarui. Setelah Anda memperbarui cakupan, pengguna yang terkait dengan cakupan tersebut dibatasi sesuai dengan label baru. Aturan yang terikat dengan ruang lingkup itu tidak dicocokkan ulang dengan yang diperbarui.

Untuk mengubah cakupan, lakukan langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik more_vert Menu yang sesuai dengan cakupan yang ingin Anda edit, lalu pilih Edit.

4. Klik edit Edit untuk mengedit cakupan pengguna.

5. Di bagian Tentukan akses cakupan dengan label, perbarui label dan nilainya yang sesuai seperti yang diperlukan.

6. Klik Uji cakupan untuk memverifikasi cara penerapan label baru ke cakupan.

7. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Run Search hingga hasilnya ditampilkan data yang ingin Anda beri label. Untuk informasi selengkapnya tentang menjalankan kueri, lihat Memasukkan Penelusuran UDM.

8. Klik Simpan perubahan.

Cakupan diubah.

Hapus cakupan

Jika cakupan dihapus, pengguna tidak memiliki akses ke data yang terkait dengan ruang lingkup proyek. Setelah dihapus, nama cakupan tidak dapat digunakan kembali untuk membuat cakupan baru.

Untuk menghapus cakupan, lakukan langkah-langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik more_vert Menu terhadap cakupan yang ingin dihapus.

4. Klik Delete.

5. Di jendela konfirmasi, klik Konfirmasi.

Cakupan dihapus.

Lihat cakupan

Untuk melihat detail cakupan, lakukan tindakan berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Akses Data.

3. Di tab Cakupan, klik more_vert Menu terhadap cakupan yang ingin Anda lihat, lalu pilih Lihat.

Detail cakupan ditampilkan.

Menetapkan cakupan untuk pengguna

Penetapan cakupan diperlukan untuk mengontrol akses data bagi pengguna dengan izin terbatas. Menetapkan cakupan spesifik kepada pengguna akan menentukan data yang dapat mereka lihat dan berinteraksi. Ketika pengguna diberi beberapa cakupan, mereka mendapatkan akses ke data gabungan dari semua cakupan tersebut. Anda dapat menetapkan yang sesuai untuk pengguna yang membutuhkan akses global sehingga mereka dapat melihat dan berinteraksi dengan semua data. Untuk menetapkan cakupan kepada pengguna, lakukan hal berikut:

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Pilih project yang terikat dengan Google SecOps.

3. Klik person_add Berikan akses.

4. Di kolom New principals, tambahkan ID utama Anda sebagai berikut:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Di bagian Tetapkan peran > Menu Pilih peran, lalu pilih peran yang diperlukan. Klik Tambahkan peran lain untuk menambahkan beberapa peran. Untuk memahami peran mana yang membutuhkan ditambahkan, lihat Peran pengguna.

6. Untuk menetapkan cakupan kepada pengguna, tambahkan kondisi ke Chronicle Restricted Peran Akses Data yang ditetapkan kepada pengguna (tidak berlaku untuk akses global beberapa peran).

   1. Klik Tambahkan kondisi IAM pada Peran Akses Data Terbatas Chronicle. Jendela Tambahkan kondisi akan muncul.

   2. Masukkan judul kondisi dan deskripsi opsional.

   3. Tambahkan ekspresi kondisi.

      Anda dapat menambahkan ekspresi kondisi menggunakan Pembuat kondisi atau Editor kondisi.

      Pembuat kondisi menyediakan antarmuka interaktif untuk memilih jenis kondisi, operator, dan detail lain yang berlaku tentang ekspresi. Tambahkan kondisi sesuai persyaratan Anda menggunakan operator ATAU. Untuk menambahkan cakupan peran, sebaiknya Anda:

      1. Pilih Nama di Jenis kondisi, Diakhiri dengan di Operator, dan ketik /<scopename> di Value.

      2. Untuk menetapkan beberapa cakupan, tambahkan lebih banyak kondisi menggunakan operator OR. Anda dapat menambahkan hingga 12 kondisi untuk setiap binding peran. Untuk menambahkan lebih dari 12 kondisi, membuat beberapa binding peran dan menambahkan hingga 12 kondisi untuk masing-masing binding ini.

      Untuk mengetahui informasi selengkapnya tentang kondisi, lihat Ringkasan kondisi IAM.

   4. Klik Simpan.

   Editor kondisi menyediakan antarmuka berbasis teks untuk memasukkan ekspresi menggunakan sintaksis CEL.

   1. Masukkan ekspresi berikut:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Klik Run Linter untuk memvalidasi sintaksis CEL.

   3. Klik Simpan.

      Catatan: Binding peran bersyarat tidak menggantikan binding peran tanpa kondisi tertentu. Jika akun utama terikat dengan peran dan binding peran tidak memiliki kondisi, akun utama akan selalu memiliki peran. Menambahkan akun utama ke binding kondisional untuk peran yang sama tidak akan berpengaruh.

7. Klik Uji perubahan untuk melihat pengaruh perubahan terhadap akses pengguna ke yang mengupload data.

8. Klik Simpan.

Pengguna kini dapat mengakses data yang terkait dengan cakupan.