为用户配置数据 RBAC
本页面介绍基于数据角色的访问权限控制 (数据 RBAC) 管理员可以如何在 Google Security Operations 中配置数据 RBAC。通过创建和分配由标签定义的数据范围,您可以确保只有获得授权的用户才能访问数据。
数据 RBAC 依赖于 IAM 概念,包括预定义角色、自定义角色和 IAM 条件。
下面简要介绍了配置过程:
规划实现:确定要限制用户访问的不同类型的数据。确定组织中的不同角色,并确定每个角色的数据访问要求。
可选:创建自定义标签:除了默认标签之外,您还可以创建自定义标签来对数据进行分类。
创建数据范围:通过合并相关标签来定义范围。
为用户分配范围:根据用户角色在 IAM 中的职责为其分配范围。
准备工作
如需了解数据 RBAC 的核心概念、不同访问权限类型和相应的用户角色、标签和范围的工作原理以及数据 RBAC 对 Google SecOps 功能的影响,请参阅数据 RBAC 概览。
对您的 Google SecOps 实例进行初始配置。如需了解详情,请参阅对 Google Security Operations 实例进行初始配置或迁移。
确保您拥有所需的角色。
创建和管理自定义标签
自定义标签是元数据,您可以将其添加到 SIEM 注入的 Google SecOps 数据,以根据 UDM 规范化值对其进行分类和整理。
例如,假设您想要监控网络活动。您想跟踪来自某个 IP 地址 (10.0.0.1) 的动态主机配置协议 (DHCP) 事件,因为该地址可能已被您怀疑。
如需过滤和识别这些特定事件,您可以使用以下定义创建名为“可疑 DHCP 活动”的自定义标签:
metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"
自定义标签的工作方式如下:
Google SecOps 会持续将网络日志和事件提取到其 UDM 中。提取 DHCP 事件时,Google SecOps 会检查它是否符合自定义标签的条件。如果 metadata.event\_type
字段为 NETWORK\_DHCP
,并且 principal.ip
字段(请求 DHCP 租约的设备的 IP 地址)为 10.0.0.1
,则 Google SecOps 会将自定义标签应用于事件。
您可以使用“可疑的 DHCP 活动”标签来创建范围,并将该范围分配给相关用户。通过范围分配,您可以仅限组织内的特定用户或角色访问这些事件。
标签要求和限制
- 标签名称必须是唯一的,且不得超过 63 个字符。 它们只能包含小写字母、数字字符和连字符。它们在删除后无法重新使用。
- 标签不能使用参考列表。
- 标签不能使用扩充字段。
创建自定义标签
要创建自定义标签,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在自定义标签标签页上,点击创建自定义标签。
在 UDM Search 窗口中,输入您的查询,然后点击 Run Search。
您可以优化查询并点击运行搜索,直到结果显示要添加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索。
点击创建标签。
在创建标签窗口中,选择另存为新标签,然后输入标签名称和说明。
点击创建标签。
系统会创建新的自定义标签。在数据注入期间,此标签将应用于与 UDM 查询匹配的数据。该标签不会应用于已提取的数据。
修改自定义标签
您只能修改与标签关联的标签说明和查询。标签名称无法更新。修改自定义标签时,更改仅应用于新数据,而不应用于已提取的数据。
如需修改标签,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在自定义标签标签页上,点击您要修改的标签对应的
菜单,然后选择修改。在 UDM Search 窗口中,更新您的查询,然后点击 Run Search。
您可以优化查询并点击运行搜索,直到结果显示要添加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索。
点击保存更改。
自定义标签已修改。
删除自定义标签
删除标签会阻止将新数据与此标签关联。已经与标签关联的数据仍与该标签关联。删除后,您无法恢复自定义标签,也无法重复使用标签名称来创建新标签。
点击设置 > SIEM 设置 > 数据访问。
在自定义标签标签页中,点击要删除的标签对应的
菜单,然后选择删除。点击删除。
在确认窗口中,点击确认。
该自定义标签会被删除。
查看自定义标签
如需查看自定义标签的详细信息,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在自定义标签标签页中,点击您要修改的标签对应的
菜单,然后选择查看。系统会显示标签详细信息。
创建和管理范围
您可以在 Google SecOps 界面中创建和管理数据范围,然后通过 IAM 将这些范围分配给用户或组。您可以通过应用标签来创建范围,这些标签定义了具有范围的用户可以访问的数据。
创建范围
如需创建范围,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在范围标签页上,点击创建范围。
在 Create new scope 窗口中,执行以下操作:
输入范围名称和说明。
在使用标签定义范围访问权限 > 允许访问中,执行以下操作:
如需选择要向用户授予访问权限的标签及其对应的值,请点击允许特定标签。
在范围定义中,同一类型(例如日志类型)的标签使用 OR 运算符合并,而不同类型的标签(例如日志类型和命名空间)则使用 AND 运算符合并。如需详细了解标签如何定义范围内数据访问权限,请参阅使用允许和拒绝标签实现数据可见性。
如要授予对所有数据的访问权限,请选择允许访问所有内容。
如需排除对某些标签的访问权限,请选择排除特定标签,然后选择标签类型以及您要拒绝用户访问的相应值。
当一个范围内应用了多个拒绝访问权限标签时,如果这些标签与其中任一标签匹配,则访问会被拒绝。
点击测试范围,验证标签如何应用于范围。
在 UDM Search 窗口中,输入您的查询,然后点击 Run Search。
您可以优化查询并点击运行搜索,直到结果显示要添加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索。
点击创建范围。
在 Create scope 窗口中,确认范围名称和说明,然后点击 Create scope。
范围已创建。您必须将范围分配给用户,使其能够访问该范围内的数据。
修改范围
您只能修改范围说明和关联的标签。范围名称无法更新。更新范围后,系统将根据新标签限制与该范围关联的用户。绑定到该范围的规则不会与更新后的规则重新匹配。
如需修改范围,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在范围标签页上,点击与要修改的范围对应的
菜单,然后选择修改。点击
修改以修改范围说明。在使用标签定义范围访问权限部分中,根据需要更新标签及其对应的值。
点击测试范围以验证新标签如何应用于范围。
在 UDM Search 窗口中,输入您的查询,然后点击 Run Search。
您可以优化查询并点击运行搜索,直到结果显示要添加标签的数据。如需详细了解如何运行查询,请参阅输入 UDM 搜索。
点击保存更改。
范围已修改。
删除范围
删除范围后,用户将无法访问与该范围关联的数据。删除后,范围名称将无法重新用于创建新范围。
如需删除范围,请执行以下操作:
点击设置 > SIEM 设置 > 数据访问。
在范围标签页上,点击要删除的范围对应的
菜单。点击删除。
在确认窗口中,点击确认。
范围将被删除。
查看范围
如需查看范围详细信息,请执行以下操作:
点击设置 > 数据访问权限。
在范围标签页中,点击您要查看的范围对应的
菜单,然后选择查看。
系统将显示范围详细信息。
为用户分配范围
如需控制具有受限权限的用户的数据访问权限,必须使用范围分配。为用户分配特定范围决定了他们可以查看和交互的数据。为用户分配多个范围后,他们就可以访问所有这些范围内的合并数据。您可以为需要全局访问权限的用户分配适当的范围,以便用户可以查看所有数据并与之互动。如需向用户分配范围,请执行以下操作:
在 Google Cloud 控制台中,转到 IAM 页面。
选择绑定到 Google SecOps 的项目。
点击
授予访问权限。在新的主帐号字段中,添加主帐号标识符,如下所示:
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
在分配角色 > 选择角色菜单中,选择所需的角色。 点击添加其他角色以添加多个角色。如需了解需要添加哪些角色,请参阅用户角色。
如需为用户分配范围,请为分配给用户的 Chronicle Restricted Data Access 角色添加条件(不适用于全局访问角色)。
针对 Chronicle Restricted Data Access 角色点击添加 IAM 条件。系统会显示添加条件窗口。
输入条件标题和可选的说明。
添加条件表达式。
您可以使用条件构建器或条件编辑器添加条件表达式。
条件构建器提供一个交互式界面,用于选择条件类型、运算符以及有关表达式的其他适用详细信息。根据需要,使用 OR 运算符添加条件。如需为角色添加范围,我们建议您执行以下操作:
在条件类型中选择名称,在运算符中选择结尾为,然后在值中输入
/<scopename>
。如需分配多个范围,请使用 OR 运算符添加更多条件。 您最多可以为每个角色绑定添加 12 个条件。如需添加超过 12 个条件,请创建多个角色绑定,并为每个绑定添加最多 12 个条件。
如需详细了解条件,请参阅 IAM 条件概览。
点击保存。
条件编辑器提供基于文本的界面,可使用 CEL 语法手动输入表达式。
输入以下表达式:
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
点击运行 Linter 以验证 CEL 语法。
点击保存。
注意:条件角色绑定不会替换无条件的角色绑定。如果某主账号已绑定到角色,且角色绑定不包含条件,则此主账号始终具有该角色。将主帐号添加到同一角色的条件绑定将不起作用。
点击测试更改,查看您的更改对用户对数据的访问权限有何影响。
点击保存。
用户现在可以访问与范围关联的数据。