Nutzerhandbuch für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Administratoren den Zugriff auf Chronicle-Features an die Rolle eines Mitarbeiters in Ihrer Organisation anpassen.

Hinweise

RBAC liest die Gruppeninformationen aus der SAML-Antwort aus den folgenden Standardattributnamen, bei denen die Groß-/Kleinschreibung nicht berücksichtigt wird:

  • group
  • idpgroup group
  • memberof

Wenn Sie einen benutzerdefinierten Attributnamen verwenden, muss er zuerst für Chronicle bereitgestellt werden, damit Sie Ihre RBAC-Einstellungen ändern können.

RBAC-Einstellungen ändern

Klicken Sie in der Navigationsleiste auf Einstellungen, um die Seiten für RBAC-Profile und -Einstellungen aufzurufen.

Profil

Auf der Seite Profil werden die Informationen aus dem Nutzerprofil (Nutzer-ID, Gruppen-ID, zugewiesene Rollen) und einige zusätzliche Informationen zur Organisation (Kundennummer, Google Cloud-Projektnummer, Google Cloud-Projekt-ID) angezeigt.

Zeitzone

Sie können die mit Ihrem Profil verknüpfte Zeitzone ändern, indem Sie neben „Zeiteinstellungen“ auf Bearbeiten klicken. Wählen Sie die gewünschte Zeitzone aus und klicken Sie auf Speichern. Dadurch wird die Zeit, die auf dem Großteil der Benutzeroberfläche angezeigt wird, an die ausgewählte Zeitzone angepasst.

Nutzer und Gruppen

Auf der Seite Nutzer und Gruppen kann ein Administrator RBAC konfigurieren.

  1. Klicken Sie im linken Navigationsbereich auf den Link Nutzer und Gruppen. Auf der Seite Nutzer und Gruppen wird eine Liste der Nutzer und Gruppen mit den Spalten Nutzer/Gruppe, Typ und Zugewiesene Rolle angezeigt.

  2. Klicken Sie auf Neu zuweisen, um das Dialogfeld Rolle zuweisen zu öffnen. In diesem Dialogfeld können Sie die folgenden Aufgaben ausführen:

    • Weisen Sie einer Rolle neue Nutzer zu.
    • Weisen Sie einer Rolle eine oder mehrere neue Gruppen zu.

    Folgende Rollen sind verfügbar:

    • Standard
    • ViewerWithNoDetectAccess
    • Betrachter
    • Editor
    • Administrator

    Nachdem du deine Nutzer- oder Gruppen-IDs hinzugefügt und die entsprechende Rolle im Drop-down-Menü ROLLE ZUWEISEN ausgewählt hast, klicke auf ZUWEISEN.

    Beachten Sie beim Zuweisen von Rollen Folgendes:

    • Achten Sie beim Hinzufügen von Nutzern oder Gruppen darauf, dass sie bei Ihrem Identitätsanbieter (Identity Provider, IdP) vorhanden sind. Achten Sie beim Löschen von Nutzern oder Gruppen darauf, dass mindestens ein Nutzer oder eine Gruppe vorhanden ist, die die Administratorrolle hat und zu Ihrem IdP gehört. Andernfalls verlieren Sie den Administratorzugriff.
    • Bei Nutzer- und Gruppen-IdP-IDs wird zwischen Groß- und Kleinschreibung unterschieden.
    • Sie können die zugewiesene Rolle eines vorhandenen Nutzers oder einer vorhandenen Gruppe in diesem Dialogfeld nicht ändern. In den folgenden Schritten erfahren Sie, wie Sie Rollen ändern und Nutzer und Gruppen löschen.
    • Chronicle verwaltet die Zuordnung zwischen Nutzern, Gruppen und Rollen.
    • Seien Sie vorsichtig, wenn die Nutzer- oder Gruppen-ID Sonderzeichen enthält, die je nach Textquelle möglicherweise UTF-8-Codierung verwenden. Nachdem Sie auf Zuweisen geklickt haben, sollten Sie überprüfen, ob die neue Aufgabe korrekt gespeichert wurde.

  3. Sie können die Rolle eines bestehenden Nutzers oder einer vorhandenen Gruppe ändern, indem Sie im Drop-down-Menü für den entsprechenden Nutzer oder die Gruppe in der Spalte Zugewiesene Rolle eine neue Rolle auswählen.

  4. Über das Drop-down-Menü oben rechts können Sie die Standardrolle ändern, die neuen Nutzern und Gruppen zugewiesen wird.

  5. Sie können einen Nutzer oder eine Gruppe löschen, indem Sie auf das Papierkorbsymbol klicken, das ganz rechts in der Nutzer- oder Gruppenzeile angezeigt wird, wenn Sie den Mauszeiger darauf bewegen.

    Wenn Sie Nutzer und Gruppen löschen, die Administratoren sind, und die einzigen verbleibenden Administratoren sich nicht in Ihrem IdP befinden, verlieren Sie den Administratorzugriff.

Rollen und Berechtigungen

Rollen

Rollen sind mit einer Reihe von Produktberechtigungen verknüpft. Wenn Sie einem Nutzer eine Rolle zuweisen, erhält er automatisch die mit dieser Rolle verknüpften Berechtigungen.

Chronicle enthält die folgenden vordefinierten Rollen:

  • Administrator: Verwaltet die Richtlinien für die rollenbasierte Zugriffssteuerung in Ihrem Unternehmen. Kann jede Chronicle-Seite auch bearbeiten oder aufrufen.
  • Bearbeiter: Kann Chronicle-Seiten bearbeiten, einschließlich der Möglichkeit, Regeln für die Detection Engine zu erstellen und zu bearbeiten.
  • Betrachter: Kann jede Chronicle-Seite aufrufen, aber keine Änderungen vornehmen.
  • ViewerWithNoDetectAccess: Kann alle Chronicle-Seiten aufrufen, die keine Erkennungen enthalten (hauptsächlich die Seiten für Regeln und Referenzlisten).

Zu den RBAC-Anwendungen gehören:

  • Erstellen und weisen Sie Rollen basierend auf den Aufgabenbereichen zu.
  • Sie können Rollen basierend auf Mietverträgen oder Organisationen erstellen und zuweisen.
  • Weisen Sie Analysten temporäre Rollen zu, um ein Problem zu untersuchen.

Berechtigungen

Mit Berechtigungen wird die Berechtigung erteilt, eine einzelne kontrollierte Aktion in Chronicle auszuführen. Dazu gehören: Eine vollständige Liste der Berechtigungen finden Sie auf der Benutzeroberfläche:

  • Regel anzeigen
  • Regel ändern
  • Feedback bearbeiten
  • Referenzliste bearbeiten
  • RBAC-Berechtigungen ansehen

Wenn ein Nutzer keine Berechtigungen für eine Aktion hat, ist die zugehörige Funktion deaktiviert. Wenn ein Nutzer beispielsweise die Rolle „Betrachter“ hat, kann er keine neue Regel erstellen (die Schaltfläche Neu ist im Regeleditor deaktiviert), keine Regel duplizieren (die Option Duplizieren ist deaktiviert) oder vorhandene Regeln ändern.

Führen Sie die folgenden Schritte aus, um die für Nutzer und Gruppen verfügbaren Rollen und Berechtigungen aufzurufen:

  1. Klicken Sie im linken Navigationsbereich auf den Link Rollen.

  2. Wählen Sie eine Rolle aus der Spalte Rollen aus, um die für diese Rolle gewährten Berechtigungen anzuzeigen. Die mit den einzelnen Rollen verknüpften Berechtigungen können nicht geändert werden.

Die Standardrolle für neu hinzugefügte Nutzer und Gruppen ist „Betrachter“. Wenn Sie eine der anderen Rollen auswählen, z. B. Bearbeiter, wird das Steuerelement Als Standard festlegen verfügbar. So können Sie stattdessen diese Rolle als Standard festlegen.