Benutzerhandbuch für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

Unterstützt in:

Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Administratoren den Zugriff Die Funktionen von Google Security Operations basieren auf der Rolle eines Mitarbeiters in Ihrer Organisation.

Hinweise

RBAC liest die Gruppeninformationen aus der SAML-Antwort aus den folgenden Standardattributnamen, bei denen die Groß- und Kleinschreibung nicht berücksichtigt wird:

  • group
  • idpgroup group
  • memberof

Wenn Sie einen benutzerdefinierten Attributnamen verwenden, müssen Sie ihn zuerst an Google Security Operations senden, damit Sie Ihre RBAC-Einstellungen ändern können.

RBAC-Einstellungen ändern

Klicken Sie in der Navigationsleiste auf Einstellungen, um das RBAC-Profil und die Seiten mit den Einstellungen aufzurufen.

Profil

Auf der Seite Profil werden die Informationen aus dem Profil des Nutzers (Nutzer-ID, Gruppen-ID, zugewiesene Rollen) und einige zusätzliche Informationen zu seiner Organisation (Kunden-ID, Google Cloud-Projektnummer, Google Cloud-Projekt-ID) angezeigt.

Kunden-ID

Sie finden sie auf der Seite Profil im Abschnitt Details zur Organisation.

Zeitzone

Sie können die Ihrem Profil zugeordnete Zeitzone ändern, indem Sie neben "Time Settings" auf Bearbeiten klicken. Wählen Sie die richtige Zeitzone aus und klicken Sie auf Speichern. Dadurch wird die Zeitanzeige auf der Benutzeroberfläche größtenteils an die ausgewählte Zeitzone angepasst.

Nutzer und Gruppen

Auf der Seite Nutzer und Gruppen können Administratoren RBAC konfigurieren.

  1. Klicken Sie im linken Navigationsbereich auf den Link Nutzer und Gruppen. Auf der Seite Nutzer und Gruppen wird eine Liste mit den Spalten Nutzer/Gruppe, Typ und Zugewiesene Rolle angezeigt.

  2. Klicken Sie auf Neu zuweisen, um das Dialogfeld Rolle zuweisen zu öffnen. In diesem Dialogfeld können Sie die folgenden Aufgaben ausführen:

    • Weisen Sie einem oder mehreren neuen Nutzern eine Rolle zu.
    • Weisen Sie einer oder mehreren neuen Gruppen eine Rolle zu.

    Folgende Rollen sind verfügbar:

    • Standard
    • ViewerWithNoDetectAccess
    • Betrachter
    • Editor
    • Administrator

    Nachdem Sie Ihre Nutzer- oder Gruppen-IDs hinzugefügt und die entsprechende Rolle im Drop-down-Menü ROLLE ZUWEISEN ausgewählt haben, klicken Sie auf ZUWEISEN.

    Beachten Sie beim Zuweisen von Rollen Folgendes:

    • Achten Sie beim Hinzufügen von Nutzern oder Gruppen darauf, dass sie bei Ihrem Identitätsanbieter (IdP) vorhanden sind. Achten Sie beim Löschen von Nutzern oder Gruppen darauf, dass Sie mindestens einen Nutzer oder eine Gruppe beibehalten, die die Administratorrolle hat und zu Ihrem IdP gehört. Andernfalls verlieren Sie den Administratorzugriff.
    • Bei Nutzer- und Gruppen-IdP-IDs wird zwischen Groß- und Kleinschreibung unterschieden.
    • Sie können die zugewiesene Rolle eines vorhandenen Nutzers oder einer vorhandenen Gruppe über dieses Dialogfeld nicht ändern. In den folgenden Schritten erfahren Sie, wie Sie Rollen ändern und Nutzer und Gruppen löschen.
    • Google Security Operations verwaltet die Zuordnung von Nutzern zu Gruppen und Rollen.
    • Seien Sie vorsichtig, wenn die Nutzer- oder Gruppen-ID Sonderzeichen enthält, für die je nach Textquelle die UTF-8-Codierung verwendet werden kann. Nachdem Sie auf Zuweisen geklickt haben, sollten Sie prüfen, ob die neue Aufgabe korrekt gespeichert wurde.
  3. Sie können die Rolle eines vorhandenen Nutzers oder einer vorhandenen Gruppe ändern, indem Sie in der Spalte Zugewiesene Rolle eine neue Rolle aus dem Drop-down-Menü für den entsprechenden Nutzer oder die Gruppe auswählen.

  4. Sie können die Standardrolle, die neuen Nutzern und Gruppen zugewiesen wird, über das Drop-down-Menü „Rolle“ oben rechts ändern.

  5. Wenn Sie einen Nutzer oder eine Gruppe löschen möchten, klicken Sie auf das Papierkorbsymbol, das ganz rechts in der Zeile des Nutzers oder der Gruppe angezeigt wird, wenn Sie den Mauszeiger darauf bewegen.

    Wenn Sie Nutzer und Gruppen löschen, die Administratoren sind, und die einzigen verbleibenden Administratoren nicht in Ihrem IdP sind, verlieren Sie den Administratorzugriff.

Rollen und Berechtigungen

Rollen

Rollen sind mit einer Reihe von Produktberechtigungen verknüpft. Wenn Sie einem Nutzer eine Rolle zuweisen, erhält er die mit dieser Rolle verknüpften Berechtigungen.

Google Security Operations umfasst die folgenden vordefinierten Rollen:

  • Administrator: verwaltet die rollenbasierten Zugriffssteuerungsrichtlinien für Ihr Unternehmen. Kann auch jede Seite der Google-Sicherheitsoperationen bearbeiten oder aufrufen.
  • Bearbeiter: Darf Google Security Operations-Seiten bearbeiten, einschließlich der Möglichkeit, Regeln für das Erkennungsmodul zu erstellen und zu bearbeiten.
  • Betrachter: Darf jede Google Security Operations-Seite aufrufen, aber keine Änderungen vornehmen.
  • ViewerWithNoDetectAccess: Kann alle Google Security Operations-Seiten aufrufen, die keine Erkennungen enthalten (hauptsächlich die Seiten „Regeln“ und „Referenzlisten“).

Beispiele für RBAC-Anwendungen:

  • Erstellen Sie Rollen basierend auf den Aufgaben der Position und weisen Sie sie zu.
  • Rollen basierend auf Unterkünften oder Organisationen erstellen und zuweisen
  • Weisen Sie Analysten temporäre Rollen zu, um ein Problem zu untersuchen.

Berechtigungen

Berechtigungen stellen die erforderliche Autorisierung bereit, um eine einzelne gesteuerte Aktion in Google Security Operations durchzuführen. Eine vollständige Liste der Berechtigungen finden Sie in der Benutzeroberfläche:

  • Regel anzeigen
  • Regel ändern
  • Feedback bearbeiten
  • Referenzliste bearbeiten
  • RBAC-Berechtigungen ansehen

Wenn ein Nutzer keine Berechtigungen für eine Aktion hat, wird die zugehörige Funktion deaktiviert. Wenn der Nutzer beispielsweise die Rolle „Betrachter“ hat, kann er keine neue Regel erstellen (die Schaltfläche Neu ist im Regeleditor deaktiviert), keine Regel duplizieren (die Option Duplizieren ist deaktiviert) und keine vorhandene Regel ändern.

So rufen Sie die Rollen und Berechtigungen auf, die für Nutzer und Gruppen verfügbar sind:

  1. Klicken Sie im linken Navigationsbereich auf den Link Rollen.

  2. Wählen Sie eine Rolle aus der Spalte Rollen aus, um die mit dieser Rolle gewährten Berechtigungen anzuzeigen. Die mit den einzelnen Rollen verknüpften Berechtigungen können nicht geändert werden.

Die Standardrolle für neu hinzugefügte Nutzer und Gruppen ist „Betrachter“. Wenn Sie eine der anderen Rollen auswählen (z. B. „Bearbeiter“), wird die Option Als Standard festlegen verfügbar. Dadurch können Sie stattdessen diese Rolle als Standard festlegen.