Mengonfigurasi RBAC data untuk pengguna

Halaman ini menjelaskan cara administrator kontrol akses berbasis peran data (RBAC data) mengonfigurasi RBAC data dalam Google Security Operations. Melalui pembuatan dan penetapan cakupan data, yang ditentukan oleh label, Anda dapat memastikan bahwa data hanya dapat diakses oleh pengguna yang diberi otorisasi.

RBAC data bergantung pada konsep IAM, termasuk peran standar, peran kustom, dan kondisi IAM.

Berikut adalah ringkasan umum proses konfigurasi:

1. Rencanakan penerapan Anda: identifikasi berbagai jenis data yang ingin Anda batasi akses penggunanya. Identifikasi berbagai peran dalam organisasi Anda dan tentukan persyaratan akses data untuk setiap peran.

2. Opsional: Buat label khusus: buat label khusus (selain label default) untuk mengategorikan data Anda.

3. Membuat cakupan data: menentukan cakupan dengan menggabungkan label yang relevan.

4. Menetapkan cakupan kepada pengguna: menetapkan cakupan kepada peran pengguna di IAM berdasarkan tanggung jawab mereka.

Sebelum memulai

• Untuk memahami konsep inti RBAC data, berbagai jenis akses, dan peran pengguna yang sesuai, cara kerja label dan cakupan, serta dampak RBAC data pada fitur Google SecOps, lihat Ringkasan RBAC Data.

• Lakukan aktivasi instance Google SecOps Anda. Untuk informasi selengkapnya, lihat Melakukan aktivasi atau memigrasikan instance Google Security Operations.

• Pastikan Anda memiliki peran yang diperlukan.

Membuat dan mengelola label kustom

Label kustom adalah metadata yang dapat Anda tambahkan ke data Google SecOps yang diserap SIEM untuk mengategorikan dan mengaturnya berdasarkan nilai yang dinormalisasi UDM.

Misalnya, Anda ingin memantau aktivitas jaringan. Anda ingin melacak peristiwa Dynamic Host Configuration Protocol (DHCP) dari alamat IP tertentu (10.0.0.1) yang Anda curigai mungkin telah disusupi.

Untuk memfilter dan mengidentifikasi peristiwa spesifik ini, Anda dapat membuat label kustom dengan nama Aktivitas DHCP yang Mencurigakan dengan definisi berikut:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

Label khusus berfungsi dengan cara berikut:

Google SecOps terus menyerap log dan peristiwa jaringan ke dalam UDM-nya. Saat peristiwa DHCP diserap, Google SecOps akan memeriksa apakah peristiwa tersebut cocok dengan kriteria label kustom. Jika kolom metadata.event_type adalah NETWORK_DHCP dan jika kolom principal.ip (alamat IP perangkat yang meminta sewa DHCP) adalah 10.0.0.1, Google SecOps akan menerapkan label kustom ke peristiwa.

Anda dapat menggunakan label Aktivitas DHCP yang Mencurigakan untuk membuat cakupan dan menetapkan cakupan tersebut kepada pengguna yang relevan. Penetapan cakupan memungkinkan Anda membatasi akses ke peristiwa ini untuk pengguna atau peran tertentu dalam organisasi Anda.

Persyaratan dan batasan label

• Nama label harus unik dan dapat memiliki panjang maksimum 63 karakter. Nama hanya boleh berisi huruf kecil, karakter numerik, dan tanda hubung. ID tersebut tidak dapat digunakan kembali setelah dihapus.
• Label tidak dapat menggunakan daftar referensi.
• Label tidak dapat menggunakan kolom pengayaan.
• Label tidak mendukung ekspresi reguler.

Membuat label khusus

Untuk membuat label kustom, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Label kustom, klik Buat label kustom.

4. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin diberi label. Untuk informasi selengkapnya tentang cara menjalankan kueri, lihat Memasukkan Penelusuran UDM.

5. Klik Buat label.

6. Di jendela Buat label, pilih Simpan sebagai label baru, lalu masukkan nama dan deskripsi label.

7. Klik Buat label.

   Label kustom baru akan dibuat. Selama penyerapan data, label ini diterapkan ke data yang cocok dengan kueri UDM. Label tidak diterapkan ke data yang sudah diserap.

Mengubah label khusus

Anda hanya dapat mengubah deskripsi label dan kueri yang terkait dengan label. Nama label tidak dapat diperbarui. Saat Anda mengubah label kustom, perubahan tersebut hanya diterapkan pada data baru, bukan pada data yang sudah diserap.

Untuk mengubah label, lakukan langkah-langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Label kustom, klik more_vert Menu pada label yang ingin Anda edit, lalu pilih Edit.

4. Di jendela UDM Search, perbarui kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin diberi label. Untuk informasi selengkapnya tentang cara menjalankan kueri, lihat Memasukkan Penelusuran UDM.

5. Klik Simpan perubahan.

Label kustom diubah.

Menghapus label kustom

Menghapus label akan mencegah data baru dikaitkan dengannya. Data yang sudah dikaitkan dengan label akan tetap dikaitkan dengan label tersebut. Setelah penghapusan, Anda tidak dapat memulihkan label kustom atau menggunakan kembali nama label untuk membuat label baru.

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label kustom, klik more_vert Menu untuk label yang ingin Anda hapus, lalu pilih Hapus.

3. Klik Hapus.

4. Di jendela konfirmasi, klik Konfirmasi.

Label kustom akan dihapus.

Melihat label khusus

Untuk melihat detail label kustom, lakukan langkah berikut:

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label kustom, klik more_vert Menu pada label yang ingin diedit, lalu pilih Lihat.

   Detail label akan ditampilkan.

Membuat dan mengelola cakupan

Anda dapat membuat dan mengelola cakupan data dalam antarmuka pengguna Google SecOps, lalu menetapkan cakupan tersebut kepada pengguna atau grup melalui IAM. Anda dapat membuat cakupan dengan menerapkan label yang menentukan data yang dapat diakses oleh pengguna dengan cakupan tersebut.

Membuat cakupan

Untuk membuat cakupan, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik Buat cakupan.

4. Di jendela Create new scope, lakukan hal berikut:

   1. Masukkan Nama cakupan dan Deskripsi.

   2. Di Tentukan akses cakupan dengan label > Izinkan akses, lakukan tindakan berikut:

      • Untuk memilih label dan nilai yang sesuai yang ingin Anda beri akses kepada pengguna, klik Izinkan label tertentu.

        Dalam definisi cakupan, label dengan jenis yang sama (misalnya, jenis log) digabungkan menggunakan operator OR, sedangkan label dengan jenis yang berbeda (misalnya, jenis log dan namespace) digabungkan menggunakan operator AND. Untuk mengetahui informasi selengkapnya tentang cara label menentukan akses data dalam cakupan, lihat Visibilitas data dengan label izinkan dan tolak.

      • Untuk memberikan akses ke semua data, pilih Izinkan akses ke semuanya.

   3. Untuk mengecualikan akses ke beberapa label, pilih Kecualikan label tertentu, lalu pilih jenis label dan nilai yang sesuai yang aksesnya ingin Anda tolak kepada pengguna.

      Jika beberapa label tolak akses diterapkan dalam cakupan, akses akan ditolak jika cocok dengan salah satu label tersebut.

   4. Klik Uji cakupan untuk memverifikasi cara label diterapkan ke cakupan.

   5. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

      Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin diberi label. Untuk informasi selengkapnya tentang cara menjalankan kueri, lihat Memasukkan Penelusuran UDM.

   6. Klik Buat cakupan.

   7. Di jendela Create scope, konfirmasi nama dan deskripsi cakupan, lalu klik Create scope.

Cakupan dibuat. Anda harus menetapkan cakupan kepada pengguna untuk memberi mereka akses ke data dalam cakupan.

Mengubah cakupan

Anda hanya dapat mengubah deskripsi cakupan dan label terkait. Nama cakupan tidak dapat diperbarui. Setelah Anda memperbarui cakupan, pengguna yang terkait dengan cakupan tersebut akan dibatasi sesuai dengan label baru. Aturan yang terikat dengan cakupan tidak dicocokkan ulang dengan aturan yang diperbarui.

Untuk mengubah cakupan, lakukan tindakan berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Pada tab Cakupan, klik more_vert Menu yang sesuai dengan cakupan yang ingin Anda edit, lalu pilih Edit.

4. Klik edit Edit untuk mengedit deskripsi cakupan.

5. Di bagian Define scope access with labels, perbarui label dan nilai yang sesuai sesuai kebutuhan.

6. Klik Uji cakupan untuk memverifikasi cara label baru diterapkan ke cakupan.

7. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin diberi label. Untuk informasi selengkapnya tentang cara menjalankan kueri, lihat Memasukkan Penelusuran UDM.

8. Klik Simpan perubahan.

Cakupan diubah.

Menghapus cakupan

Saat cakupan dihapus, pengguna tidak memiliki akses ke data yang terkait dengan cakupan. Setelah dihapus, nama cakupan tidak dapat digunakan kembali untuk membuat cakupan baru.

Untuk menghapus cakupan, lakukan langkah-langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik more_vert Menu pada cakupan yang ingin Anda hapus.

4. Klik Hapus.

5. Di jendela konfirmasi, klik Konfirmasi.

Cakupan dihapus.

Cakupan tampilan

Untuk melihat detail cakupan, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Akses Data.

3. Di tab Cakupan, klik more_vert Menu pada cakupan yang ingin Anda lihat, lalu pilih Lihat.

Detail cakupan akan ditampilkan.

Menetapkan cakupan kepada pengguna

Penetapan cakupan diperlukan untuk mengontrol akses data bagi pengguna dengan izin yang dibatasi. Menetapkan cakupan tertentu kepada pengguna akan menentukan data yang dapat mereka lihat dan berinteraksi dengannya. Jika pengguna diberi beberapa cakupan, mereka akan mendapatkan akses ke data gabungan dari semua cakupan tersebut. Anda dapat menetapkan cakupan yang sesuai kepada pengguna yang memerlukan akses global sehingga pengguna dapat melihat dan berinteraksi dengan semua data. Untuk menetapkan cakupan kepada pengguna, lakukan hal berikut:

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Pilih project yang terikat dengan Google SecOps.

3. Klik person_add Berikan akses.

4. Di kolom New principals, tambahkan ID akun utama Anda sebagai berikut:

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. Di menu Tetapkan peran > Pilih peran, pilih peran yang diperlukan. Klik Tambahkan peran lain untuk menambahkan beberapa peran. Untuk memahami peran yang perlu ditambahkan, lihat Peran pengguna.

6. Untuk menetapkan cakupan kepada pengguna, tambahkan kondisi ke peran Akses Data Terbatas Chronicle yang ditetapkan kepada pengguna (tidak berlaku untuk peran akses global).

   1. Klik Tambahkan kondisi IAM terhadap peran Chronicle Restricted Data Access. Jendela Tambahkan kondisi akan muncul.

   2. Masukkan judul kondisi dan deskripsi opsional.

   3. Tambahkan ekspresi kondisi.

      Anda dapat menambahkan ekspresi kondisi menggunakan Pembuat kondisi atau Editor kondisi.

      Pembuat kondisi menyediakan antarmuka interaktif untuk memilih jenis kondisi, operator, dan detail lain yang berlaku terkait ekspresi. Tambahkan kondisi sesuai kebutuhan Anda menggunakan operator ATAU. Untuk menambahkan cakupan ke peran, sebaiknya lakukan hal berikut:

      1. Pilih Nama di Jenis kondisi, Diakhiri dengan di Operator, dan ketik /<scopename> di Nilai.

      2. Untuk menetapkan beberapa cakupan, tambahkan lebih banyak kondisi menggunakan operator OR. Anda dapat menambahkan hingga 12 kondisi untuk setiap penetapan peran. Untuk menambahkan lebih dari 12 kondisi, buat beberapa binding peran dan tambahkan hingga 12 kondisi ke setiap binding ini.

      Untuk mengetahui informasi selengkapnya tentang kondisi, lihat Ringkasan kondisi IAM.

   4. Klik Simpan.

   Editor kondisi menyediakan antarmuka berbasis teks untuk memasukkan ekspresi secara manual menggunakan sintaksis CEL.

   1. Masukkan ekspresi berikut:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. Klik Jalankan Linter untuk memvalidasi sintaksis CEL.

   3. Klik Simpan.

      Catatan: Binding peran bersyarat tidak menggantikan binding peran tanpa kondisi. Jika akun utama terikat dengan peran dan binding peran tidak memiliki kondisi, akun utama akan selalu memiliki peran. Menambahkan akun utama ke binding bersyarat untuk peran yang sama tidak akan memberikan dampak apa pun.

7. Klik Uji perubahan untuk melihat pengaruh perubahan Anda terhadap akses pengguna ke data.

8. Klik Simpan.

Pengguna kini dapat mengakses data yang terkait dengan cakupan.