Diese Seite wurde von der Cloud Translation API übersetzt.

Benutzerhandbuch für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

Unterstützt in:

Google SecOps SIEM

Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Administratoren den Zugriff auf Google Security Operations-Funktionen an die Rolle eines Mitarbeiters in Ihrer Organisation anpassen.

Hinweise

Bei der RBAC werden die Gruppeninformationen aus der SAML-Antwort anhand der folgenden standardmäßigen Attributnamen gelesen, bei denen die Groß- und Kleinschreibung nicht beachtet wird:

group
idpgroup group
memberof

Wenn Sie einen benutzerdefinierten Attributnamen verwenden, muss er zuerst an Ihren Google-Sicherheitsbeauftragten gesendet werden, damit Sie Ihre RBAC-Einstellungen ändern können.

RBAC-Einstellungen ändern

Klicken Sie in der Navigationsleiste auf Einstellungen, um das RBAC-Profil und die Seiten mit den Einstellungen aufzurufen.

Profil

Auf der Seite Profil werden die Informationen aus dem Profil des Nutzers (Nutzer-ID, Gruppen-ID, zugewiesene Rollen) und einige zusätzliche Informationen zu seiner Organisation (Kunden-ID, Google Cloud-Projektnummer, Google Cloud-Projekt-ID) angezeigt.

Kunden-ID

Sie finden sie auf der Seite Profil im Abschnitt Details zur Organisation.

Zeitzone

Sie können die mit Ihrem Profil verknüpfte Zeitzone ändern, indem Sie neben „Zeiteinstellungen“ auf Bearbeiten klicken. Wählen Sie die richtige Zeitzone aus und klicken Sie auf Speichern. Dadurch wird die auf der Benutzeroberfläche angezeigte Uhrzeit an die ausgewählte Zeitzone angepasst.

Nutzer und Gruppen

Auf der Seite Nutzer und Gruppen können Administratoren die rollenbasierte Zugriffssteuerung konfigurieren.

Klicken Sie im linken Navigationsbereich auf den Link Nutzer und Gruppen. Auf der Seite Nutzer und Gruppen wird eine Liste mit den Spalten Nutzer/Gruppe, Typ und Zugewiesene Rolle angezeigt.
Klicken Sie auf Neue zuweisen, um das Dialogfeld Rolle zuweisen zu öffnen. In diesem Dialogfeld können Sie die folgenden Aufgaben ausführen:
- Weisen Sie einer Rolle neue Nutzer zu.
- Weisen Sie einer Rolle eine neue Gruppe oder mehrere neue Gruppen zu.
Folgende Rollen sind verfügbar:
- Standard
- ViewerWithNoDetectAccess
- Betrachter
- Editor
- Administrator
Nachdem Sie die Nutzer- oder Gruppen-IDs hinzugefügt und die entsprechende Rolle aus dem Drop-down-Menü ROLLE ZUWEISEN ausgewählt haben, klicken Sie auf ZUWEISEN.

Beachten Sie beim Zuweisen von Rollen Folgendes:
- Achten Sie beim Hinzufügen von Nutzern oder Gruppen darauf, dass sie bei Ihrem Identitätsanbieter (IdP) vorhanden sind. Achten Sie beim Löschen von Nutzern oder Gruppen darauf, dass mindestens ein Nutzer oder eine Gruppe mit der Rolle „Administrator“ in Ihrem Identitätsanbieter verbleibt. Andernfalls verlieren Sie den Administratorzugriff.
- Bei den IdP-IDs von Nutzern und Gruppen wird zwischen Groß- und Kleinschreibung unterschieden.
- Über dieses Dialogfeld können Sie die zugewiesene Rolle eines vorhandenen Nutzers oder einer vorhandenen Gruppe nicht ändern. In den folgenden Schritten erfahren Sie, wie Sie Rollen ändern und Nutzer und Gruppen löschen.
- Google Security Operations verwaltet die Zuordnung von Nutzern zu Gruppen und Rollen.
- Seien Sie vorsichtig, wenn die Nutzer- oder Gruppen-ID Sonderzeichen enthält, für die je nach Textquelle möglicherweise die UTF-8-Codierung verwendet wird. Nachdem Sie auf Zuweisen geklickt haben, sollten Sie prüfen, ob die neue Aufgabe richtig gespeichert wurde.
Sie können die Rolle eines vorhandenen Nutzers oder einer vorhandenen Gruppe ändern, indem Sie in der Spalte Zugewiesene Rolle im Drop-down-Menü eine neue Rolle für den Nutzer oder die Gruppe auswählen.

Hinweis :Wenn der Administrator die Rolle eines Nutzers geändert hat, muss der Nutzer möglicherweise seinen Browser aktualisieren, um die Änderungen zu sehen.
Sie können die Standardrolle, die neuen Nutzern und Gruppen zugewiesen wird, über das Drop-down-Menü für Rollen oben rechts ändern.
Wenn Sie einen Nutzer oder eine Gruppe löschen möchten, klicken Sie auf das Papierkorbsymbol, das ganz rechts in der Zeile des Nutzers oder der Gruppe angezeigt wird, wenn Sie den Mauszeiger darauf bewegen.

Wenn Sie Nutzer und Gruppen löschen, die Administratoren sind, und die einzigen verbleibenden Administratoren nicht in Ihrem IdP sind, verlieren Sie den Administratorzugriff.

Rollen und Berechtigungen

Rollen

Rollen sind mit einer Reihe von Produktberechtigungen verknüpft. Wenn Sie einem Nutzer eine Rolle zuweisen, erhält er die mit dieser Rolle verknüpften Berechtigungen.

Google Security Operations umfasst die folgenden vordefinierten Rollen:

Administrator: Verwaltet die Richtlinien für die rollenbasierte Zugriffssteuerung für Ihr Unternehmen. Kann auch jede Seite der Google-Sicherheitsoperationen bearbeiten oder aufrufen.
Bearbeiter: Kann Google Security Operations-Seiten bearbeiten, einschließlich der Möglichkeit, Regeln für die Erkennungs-Engine zu erstellen und zu bearbeiten.
Betrachter: Dieser Nutzer kann sich alle Seiten von Google Security Operations ansehen, aber keine Änderungen vornehmen.
ViewerWithNoDetectAccess: Kann alle Seiten der Google-Sicherheitsabläufe aufrufen, die keine Erkennungen enthalten (vor allem die Seiten „Regeln“ und „Referenzlisten“).

Beispiele für RBAC-Anwendungen:

Erstellen Sie Rollen basierend auf den Aufgaben der Position und weisen Sie sie zu.
Rollen basierend auf Unterkünften oder Organisationen erstellen und zuweisen
Analysten vorübergehende Rollen zuweisen, um ein Problem zu untersuchen

Berechtigungen

Berechtigungen gewähren die Autorisierung zum Ausführen einer einzelnen kontrollierten Aktion in Google Security Operations. Dazu gehören (vollständige Liste der Berechtigungen in der Benutzeroberfläche):

Regel anzeigen
Regel ändern
Feedback bearbeiten
Referenzliste bearbeiten
RBAC-Berechtigungen ansehen

Wenn ein Nutzer keine Berechtigungen für eine Aktion hat, ist die zugehörige Funktion deaktiviert. Wenn der Nutzer beispielsweise die Rolle „Betrachter“ hat, kann er keine neue Regel erstellen (die Schaltfläche Neu ist im Regeleditor deaktiviert), keine Regel duplizieren (die Option Duplizieren ist deaktiviert) und keine vorhandene Regel ändern.

So rufen Sie die Rollen und Berechtigungen auf, die für Nutzer und Gruppen verfügbar sind:

Klicken Sie im linken Navigationsbereich auf den Link Rollen.
Wählen Sie in der Spalte „Rollen“ eine Rolle aus, um die für diese Rolle gewährten Berechtigungen aufzurufen. Die mit den einzelnen Rollen verknüpften Berechtigungen können nicht geändert werden.

Die Standardrolle für neu hinzugefügte Nutzer und Gruppen ist „Betrachter“. Wenn Sie eine der anderen Rollen auswählen (z. B. „Bearbeiter“), wird die Option Als Standard festlegen verfügbar. So können Sie diese Rolle stattdessen als Standard festlegen.