为用户配置数据 RBAC

本页面介绍基于数据角色的访问权限控制 (数据 RBAC) 管理员可以如何在 Google Security Operations 中配置数据 RBAC。通过创建和分配由标签定义的数据范围，您可以确保只有获得授权的用户才能访问数据。

数据 RBAC 依赖于 IAM 概念，包括预定义角色、自定义角色和 IAM 条件。

下面简要介绍了配置过程：

1. 规划实现：确定要限制用户访问的不同类型的数据。确定组织中的不同角色，并确定每个角色的数据访问要求。

2. 可选：创建自定义标签：除了默认标签之外，您还可以创建自定义标签来对数据进行分类。

3. 创建数据范围：通过合并相关标签来定义范围。

4. 为用户分配范围：根据用户角色在 IAM 中的职责为其分配范围。

准备工作

• 如需了解数据 RBAC 的核心概念、不同访问权限类型和相应的用户角色、标签和范围的工作原理以及数据 RBAC 对 Google SecOps 功能的影响，请参阅数据 RBAC 概览。

• 对您的 Google SecOps 实例进行初始配置。如需了解详情，请参阅对 Google Security Operations 实例进行初始配置或迁移。

• 确保您拥有所需的角色。

创建和管理自定义标签

自定义标签是元数据，您可以将其添加到 SIEM 注入的 Google SecOps 数据，以根据 UDM 规范化值对其进行分类和整理。

例如，假设您想要监控网络活动。您想跟踪来自某个 IP 地址 (10.0.0.1) 的动态主机配置协议 (DHCP) 事件，因为该地址可能已被您怀疑。

如需过滤和识别这些特定事件，您可以使用以下定义创建名为“可疑 DHCP 活动”的自定义标签：

metadata.event\_type = "NETWORK\_DHCP" AND principal.ip = "10.0.0.1"

自定义标签的工作方式如下：

Google SecOps 会持续将网络日志和事件提取到其 UDM 中。提取 DHCP 事件时，Google SecOps 会检查它是否符合自定义标签的条件。如果 metadata.event\_type 字段为 NETWORK\_DHCP，并且 principal.ip 字段（请求 DHCP 租约的设备的 IP 地址）为 10.0.0.1，则 Google SecOps 会将自定义标签应用于事件。

您可以使用“可疑的 DHCP 活动”标签来创建范围，并将该范围分配给相关用户。通过范围分配，您可以仅限组织内的特定用户或角色访问这些事件。

标签要求和限制

• 标签名称必须是唯一的，且不得超过 63 个字符。 它们只能包含小写字母、数字字符和连字符。它们在删除后无法重新使用。
• 标签不能使用参考列表。
• 标签不能使用扩充字段。

创建自定义标签

要创建自定义标签，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > SIEM 设置 > 数据访问。

3. 在自定义标签标签页上，点击创建自定义标签。

4. 在 UDM Search 窗口中，输入您的查询，然后点击 Run Search。

   您可以优化查询并点击运行搜索，直到结果显示要添加标签的数据。如需详细了解如何运行查询，请参阅输入 UDM 搜索。

5. 点击创建标签。

6. 在创建标签窗口中，选择另存为新标签，然后输入标签名称和说明。

7. 点击创建标签。

   系统会创建新的自定义标签。在数据注入期间，此标签将应用于与 UDM 查询匹配的数据。该标签不会应用于已提取的数据。

修改自定义标签

您只能修改与标签关联的标签说明和查询。标签名称无法更新。修改自定义标签时，更改仅应用于新数据，而不应用于已提取的数据。

如需修改标签，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > SIEM 设置 > 数据访问。

3. 在自定义标签标签页上，点击您要修改的标签对应的 more_vert 菜单，然后选择修改。

4. 在 UDM Search 窗口中，更新您的查询，然后点击 Run Search。

   您可以优化查询并点击运行搜索，直到结果显示要添加标签的数据。如需详细了解如何运行查询，请参阅输入 UDM 搜索。

5. 点击保存更改。

自定义标签已修改。

删除自定义标签

删除标签会阻止将新数据与此标签关联。已经与标签关联的数据仍与该标签关联。删除后，您无法恢复自定义标签，也无法重复使用标签名称来创建新标签。

1. 点击设置 > SIEM 设置 > 数据访问。

2. 在自定义标签标签页中，点击要删除的标签对应的 more_vert 菜单，然后选择删除。

3. 点击删除。

4. 在确认窗口中，点击确认。

该自定义标签会被删除。

查看自定义标签

如需查看自定义标签的详细信息，请执行以下操作：

1. 点击设置 > SIEM 设置 > 数据访问。

2. 在自定义标签标签页中，点击您要修改的标签对应的 more_vert 菜单，然后选择查看。

   系统会显示标签详细信息。

创建和管理范围

您可以在 Google SecOps 界面中创建和管理数据范围，然后通过 IAM 将这些范围分配给用户或组。您可以通过应用标签来创建范围，这些标签定义了具有范围的用户可以访问的数据。

创建范围

如需创建范围，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > SIEM 设置 > 数据访问。

3. 在范围标签页上，点击创建范围。

4. 在 Create new scope 窗口中，执行以下操作：

   1. 输入范围名称和说明。

   2. 在使用标签定义范围访问权限 > 允许访问中，执行以下操作：

      • 如需选择要向用户授予访问权限的标签及其对应的值，请点击允许特定标签。

        在范围定义中，同一类型（例如日志类型）的标签使用 OR 运算符合并，而不同类型的标签（例如日志类型和命名空间）则使用 AND 运算符合并。如需详细了解标签如何定义范围内数据访问权限，请参阅使用允许和拒绝标签实现数据可见性。

      • 如要授予对所有数据的访问权限，请选择允许访问所有内容。

   3. 如需排除对某些标签的访问权限，请选择排除特定标签，然后选择标签类型以及您要拒绝用户访问的相应值。

      当一个范围内应用了多个拒绝访问权限标签时，如果这些标签与其中任一标签匹配，则访问会被拒绝。

   4. 点击测试范围，验证标签如何应用于范围。

   5. 在 UDM Search 窗口中，输入您的查询，然后点击 Run Search。

      您可以优化查询并点击运行搜索，直到结果显示要添加标签的数据。如需详细了解如何运行查询，请参阅输入 UDM 搜索。

   6. 点击创建范围。

   7. 在 Create scope 窗口中，确认范围名称和说明，然后点击 Create scope。

范围已创建。您必须将范围分配给用户，使其能够访问该范围内的数据。

修改范围

您只能修改范围说明和关联的标签。范围名称无法更新。更新范围后，系统将根据新标签限制与该范围关联的用户。绑定到该范围的规则不会与更新后的规则重新匹配。

如需修改范围，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > SIEM 设置 > 数据访问。

3. 在范围标签页上，点击与要修改的范围对应的 more_vert 菜单，然后选择修改。

4. 点击 edit 修改以修改范围说明。

5. 在使用标签定义范围访问权限部分中，根据需要更新标签及其对应的值。

6. 点击测试范围以验证新标签如何应用于范围。

7. 在 UDM Search 窗口中，输入您的查询，然后点击 Run Search。

   您可以优化查询并点击运行搜索，直到结果显示要添加标签的数据。如需详细了解如何运行查询，请参阅输入 UDM 搜索。

8. 点击保存更改。

范围已修改。

删除范围

删除范围后，用户将无法访问与该范围关联的数据。删除后，范围名称将无法重新用于创建新范围。

如需删除范围，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > SIEM 设置 > 数据访问。

3. 在范围标签页上，点击要删除的范围对应的 more_vert 菜单。

4. 点击删除。

5. 在确认窗口中，点击确认。

范围将被删除。

查看范围

如需查看范围详细信息，请执行以下操作：

1. 登录 Google SecOps。

2. 点击设置 > 数据访问权限。

3. 在范围标签页中，点击您要查看的范围对应的 more_vert 菜单，然后选择查看。

系统将显示范围详细信息。

为用户分配范围

如需控制具有受限权限的用户的数据访问权限，必须使用范围分配。为用户分配特定范围决定了他们可以查看和交互的数据。为用户分配多个范围后，他们就可以访问所有这些范围内的合并数据。您可以为需要全局访问权限的用户分配适当的范围，以便用户可以查看所有数据并与之互动。如需向用户分配范围，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 IAM 页面。

   转到 IAM

2. 选择绑定到 Google SecOps 的项目。

3. 点击 person_add 授予访问权限。

4. 在新的主帐号字段中，添加主帐号标识符，如下所示：

   principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

5. 在分配角色 > 选择角色菜单中，选择所需的角色。 点击添加其他角色以添加多个角色。如需了解需要添加哪些角色，请参阅用户角色。

6. 如需为用户分配范围，请为分配给用户的 Chronicle Restricted Data Access 角色添加条件（不适用于全局访问角色）。

   1. 针对 Chronicle Restricted Data Access 角色点击添加 IAM 条件。系统会显示添加条件窗口。

   2. 输入条件标题和可选的说明。

   3. 添加条件表达式。

      您可以使用条件构建器或条件编辑器添加条件表达式。

      条件构建器提供一个交互式界面，用于选择条件类型、运算符以及有关表达式的其他适用详细信息。根据需要，使用 OR 运算符添加条件。如需为角色添加范围，我们建议您执行以下操作：

      1. 在条件类型中选择名称，在运算符中选择结尾为，然后在值中输入 /<scopename>。

      2. 如需分配多个范围，请使用 OR 运算符添加更多条件。 您最多可以为每个角色绑定添加 12 个条件。如需添加超过 12 个条件，请创建多个角色绑定，并为每个绑定添加最多 12 个条件。

      如需详细了解条件，请参阅 IAM 条件概览。

   4. 点击保存。

   条件编辑器提供基于文本的界面，可使用 CEL 语法手动输入表达式。

   1. 输入以下表达式：

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   2. 点击运行 Linter 以验证 CEL 语法。

   3. 点击保存。

      注意：条件角色绑定不会替换无条件的角色绑定。如果某主账号已绑定到角色，且角色绑定不包含条件，则此主账号始终具有该角色。将主帐号添加到同一角色的条件绑定将不起作用。

7. 点击测试更改，查看您的更改对用户对数据的访问权限有何影响。

8. 点击保存。

用户现在可以访问与范围关联的数据。