Configurar o controle de acesso a recursos usando o IAM
O Google Security Operations integra-se ao Identity and Access Management (IAM) do Google Cloud para fornecer permissões e papéis predefinidos específicos do Google SecOps. Os administradores do Google SecOps podem controlar o acesso aos recursos criando políticas do IAM que vinculam usuários ou grupos a papéis predefinidos ou podem criar papéis personalizados do IAM. Esse recurso não controla o acesso a registros ou campos de UDM específicos em um registro UDM.
Neste documento, você:
- Descreve como o Google SecOps se integra ao IAM.
- Explica como os papéis predefinidos do IAM são diferentes dos grupos originais de RBAC de recursos.
- Apresenta as etapas para migrar uma instância do Google SecOps para o IAM.
- Fornece exemplos de como atribuir permissões usando o IAM.
- Resume as permissões e os papéis predefinidos disponíveis no IAM.
Para consultar uma lista das permissões do Google SecOps usadas com frequência e os registros de auditoria que elas produzem, consulte Permissões e métodos de API por grupo de recursos. Para conferir uma lista de todas as permissões do Google SecOps, consulte a referência das permissões do Identity and Access Management.
Talvez você esteja no processo de migração das instâncias do Google SecOps da implementação original do RBAC do recurso. Neste documento, o nome RBAC de recurso é usado para se referir ao controle de acesso baseado em recursos anteriormente disponível, configurado usando o Google SecOps, e não o IAM. O IAM é usado para descrever o controle de acesso baseado em recursos que você configura usando o IAM.
Cada permissão do Google SecOps está associada a um recurso e método da API do Google SecOps. Quando um usuário ou grupo recebe uma permissão, ele pode acessar o recurso no Google SecOps e enviar uma solicitação usando o método de API relacionado.
Como o Google SecOps se integra ao IAM
Para usar o IAM, o Google SecOps precisa estar vinculado a um projeto do Google Cloud e ser configurado com o Cloud Identity, o Google Workspace ou a federação de identidade de colaboradores do Google Cloud como um intermediário no fluxo de autenticação para um provedor de identidade de terceiros. Para mais informações sobre o fluxo de autenticação de terceiros, consulte Integrar o Google SecOps a um provedor de identidade de terceiros.
O Google SecOps executa as seguintes etapas para verificar e controlar o acesso aos recursos:
- Depois de fazer login no Google SecOps, um usuário acessa uma página do aplicativo dele. Como alternativa, o usuário pode enviar uma solicitação de API para o Google SecOps.
- O Google SecOps verifica as permissões concedidas nas políticas do IAM definidas para esse usuário.
- O IAM retorna as informações da autorização. Se o usuário acessou a página de um aplicativo, o Google SecOps permite o acesso apenas aos recursos que ele pode acessar.
- Se o usuário enviou uma solicitação de API e não tem permissão para executar a ação solicitada, a resposta da API incluirá um erro. Caso contrário, será retornada uma resposta padrão.
O Google SecOps oferece um conjunto de papéis predefinidos com um conjunto definido de permissões que controlam se um usuário pode acessar o recurso. A única política do IAM controla o acesso ao recurso usando a interface da Web e a API.
Se houver outros serviços do Google Cloud no projeto vinculados ao Google SecOps e você quiser limitar um usuário com o papel de Administrador do IAM do projeto para modificar apenas os recursos do Google SecOps, adicione condições do IAM à política de permissão. Consulte Atribuir papéis a usuários e grupos para ver um exemplo de como fazer isso.
Os administradores personalizam o acesso aos recursos do Google SecOps com base na função de um funcionário na organização.
Antes de começar
- Verifique se você já conhece o Cloud Shell, o comando da CLI gcloud e o console do Google Cloud.
- Familiarize-se com o IAM, incluindo os seguintes conceitos:
- Visão geral do IAM.
- Visão geral de papéis e permissões, papéis predefinidos versus papéis personalizados e como criar papéis personalizados.
- Condições de IAM.
- Realize todas as etapas em Vincular o Google SecOps a um projeto do Google Cloud para configurar um projeto vinculado ao Google SecOps.
- Configure o provedor de identidade usando uma das seguintes opções:
- Configurar um provedor de identidade do Google Cloud
- Realize todas as etapas em Integrar o Google SecOps a um provedor de identidade terceirizado para configurar a autenticação por um provedor de identidade (IdP) de terceiros.
- Vincule um projeto à sua instância do Google SecOps e configure o provedor de identidade.
- Verifique se você tem as permissões para executar as etapas descritas neste documento. Para informações sobre as permissões necessárias para cada fase do processo de integração, consulte Papéis obrigatórios.
Planejar a implementação
Você cria políticas do IAM que atendem aos requisitos de implantação da sua organização. É possível usar papéis predefinidos do Google SecOps ou personalizados que você criar.
Revise a lista de permissões e papéis predefinidos do Google SecOps em relação aos requisitos da sua organização. Identifique quais membros da organização devem ter acesso a cada recurso do Google SecOps. Se a organização exigir políticas do IAM diferentes dos papéis predefinidos do Google SecOps, crie papéis personalizados para atender a esses requisitos. Para informações sobre papéis personalizados do IAM, consulte Criar e gerenciar papéis personalizados.
Resumo dos papéis e permissões do Google SecOps
Confira nas seções a seguir um resumo geral dos papéis predefinidos.
A lista mais atual de permissões do Google SecOps está na
referência de permissões do IAM. Na seção
Pesquisar uma permissão, pesquise o termo chronicle.
A lista mais atual de papéis predefinidos do Google SecOps está na
referência de papéis básicos e predefinidos do IAM. Na
seção Papéis predefinidos, selecione o serviço Papéis da API Chronicle
ou pesquise o termo chronicle.
Para saber mais sobre métodos e permissões da API, as páginas em que as permissões são usadas e as informações registradas nos Registros de auditoria do Cloud quando a API é chamada, consulte Permissões do Chronicle no IAM.
Papéis predefinidos do Google SecOps no IAM
As Operações de segurança do Google oferecem os papéis predefinidos a seguir, conforme aparecem no IAM.
| Papel predefinido no IAM | Título | Descrição |
|---|---|---|
roles/chronicle.admin |
Administrador da API Chronicle | Acesso total aos aplicativos e serviços de API das Operações de segurança do Google, incluindo configurações globais. |
roles/chronicle.editor |
Editor da API Chronicle | Modificar o acesso ao aplicativo das Operações de segurança do Google e aos recursos da API. |
roles/chronicle.viewer |
Leitor da API Chronicle | Acesso somente leitura aos aplicativos e recursos de API das Operações de segurança do Google |
roles/chronicle.limitedViewer |
Leitor limitado da API Chronicle | Concede acesso somente leitura aos aplicativos de operações de segurança do Google e recursos da API, exceto regras do mecanismo de detecção e retrohunts. |
Permissões do Google SecOps no IAM
As permissões do Google SecOps têm correspondência direta com os métodos da API Google SecOps. Cada permissão do Google SecOps permite uma ação específica em um recurso específico do Google SecOps ao usar o aplicativo da Web ou a API. As APIs do Google SecOps usadas com o IAM estão na etapa de lançamento Alfa.
Os nomes das permissões do Google SecOps seguem o formato SERVICE.FEATURE.ACTION.
Por exemplo, o nome da permissão chronicle.dashboards.edit consiste no
seguinte:
chronicle: o nome do serviço da API Google SecOps.dashboards: o nome do recurso.edit: a ação que pode ser realizada no recurso.
O nome da permissão descreve a ação que pode ser realizada no recurso no
Google SecOps. Todas as permissões do Google SecOps têm o nome de serviço chronicle.
Atribuir papéis a usuários e grupos
As seções a seguir fornecem exemplos de casos de uso para criar políticas do IAM. O termo <project> é usado para representar o ID do projeto
que você vinculou ao Google SecOps.
Depois de ativar a API Chronicle, os papéis e as permissões predefinidos do Google SecOps ficam disponíveis no IAM e é possível criar políticas para atender aos requisitos da organização.
Se você tiver uma instância recém-criada do Google SecOps, comece a criar políticas do IAM para atender aos requisitos da organização.
Se a instância já existir do Google SecOps, consulte Migrar o Google SecOps para o IAM para controle de acesso a recursos e veja informações sobre como migrar a instância para o IAM.
Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto dedicado
Neste exemplo, o projeto é dedicado à sua instância do Google SecOps. Atribua o papel Administrador de IAM do projeto a um usuário para que ele possa conceder e modificar as vinculações de papéis do IAM do projeto. O usuário pode administrar todos os papéis e permissões do Google SecOps no projeto e realizar tarefas concedidas pelo papel Administrador de IAM do projeto.
Atribuir o papel usando o console do Google Cloud
As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A opção Permitir acesso a
<project>será exibida. - Na seção Adicionar principais, insira o endereço de e-mail da conta gerenciada no campo Novos principais.
- Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
- Clique em Salvar.
- Abra a página IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a Google Cloud CLI
O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.admin
ao usar a federação de identidade de colaboradores.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL: o endereço de e-mail do usuário.
O comando de exemplo a seguir demonstra como conceder a um grupo o papel chronicle.admin
ao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "user:USER_EMAIL" \
--role=roles/chronicle.admin
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.USER_EMAIL: o endereço de e-mail do usuário.
Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto compartilhado
Neste exemplo, o projeto é usado para vários aplicativos. Ela está vinculada a uma instância do Google SecOps e executa serviços não relacionados ao Google SecOps. Por exemplo, um recurso do Compute Engine usado para outra finalidade.
Nesse caso, é possível conceder o papel Administrador de IAM do projeto a um usuário para que ele possa conceder e modificar as vinculações de papéis do IAM do projeto e configurar o Google SecOps. Adicione também IAMs à vinculação de papel para limitar o acesso deles apenas a papéis relacionados ao Google SecOps no projeto. Este usuário só pode conceder papéis especificados na condição do IAM.
Para mais informações sobre as condições do IAM, consulte Visão geral das condições do IAM e Gerenciar vinculações de papéis condicionais.
Atribuir o papel usando o console do Google Cloud
As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A opção Permitir acesso a
<project>será exibida. - Na caixa de diálogo Permitir acesso a
<project>, na seção Adicionar principais, insira o endereço de e-mail do usuário no campo Novos principais. - Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
- Clique em + Adicionar condição do IAM.
- Na caixa de diálogo Adicionar condição, insira as seguintes informações:
- Insira um Título para a condição.
- Selecione o Editor de condições.
- Insira a seguinte condição:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- Clique em Salvar na caixa de diálogo Adicionar condição.
- Clique em Salvar na caixa de diálogo Permitir acesso a
<project>. - Abra a página IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a Google Cloud CLI
O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.admin
e aplicar condições do IAM ao usar a federação de identidade de colaboradores.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de força de trabalho criado para o provedor de identidade.USER_EMAIL: o endereço de e-mail do usuário.
O comando de exemplo a seguir demonstra como conceder a um grupo o papel chronicle.admin
e aplicar condições do IAM ao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.USER_EMAIL: o endereço de e-mail do usuário, comobob@example.com.
Exemplo: atribuir o papel de editor da API Chronicle a um usuário
Nessa situação, você quer permitir que um usuário modifique o acesso aos recursos da API de SecOps do Google.
Atribuir o papel usando o console do Google Cloud
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A caixa de diálogo Permitir acesso a
<project>será aberta. - Na seção Adicionar principais, no campo Novos principais, insira o endereço de e-mail do usuário.
- Na seção Atribuir funções, no menu Selecionar uma função, escolha a função Editor da API de SecOps do Google.
- Clique em Salvar na caixa de diálogo Permitir acesso a
<project>. - Abra a página IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a Google Cloud CLI
O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.editor
ao usar a federação de identidade de colaboradores.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL: o endereço de e-mail do usuário.O comando de exemplo a seguir demonstra como conceder a um usuário o papel
chronicle.editorao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.editor
Substitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL: o endereço de e-mail do usuário.
Exemplo: criar e atribuir uma função personalizada a um grupo
Se os papéis predefinidos do Google SecOps não fornecerem o grupo de permissões que atendam ao caso de uso da sua organização, crie um papel personalizado e atribua permissões do Google SecOps a esse papel personalizado. Você atribui o papel personalizado a um usuário ou grupo. Para mais informações sobre papéis personalizados do IAM, consulte Criar e gerenciar papéis personalizados.
As etapas a seguir permitem criar um papel personalizado chamado LimitedAdmin.
Crie um arquivo YAML ou JSON que defina o papel personalizado, chamado
LimitedAdmin, e as permissões concedidas a esse papel. Veja a seguir um exemplo de arquivo YAML.title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicyCrie o papel personalizado. O exemplo de comando da CLI gcloud a seguir demonstra como criar esse papel personalizado usando o arquivo YAML criado na etapa anterior.
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAMESubstitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.YAML_FILE_NAME: o nome do arquivo que você criou na etapa anterior.ROLE_NAME: o nome do papel personalizado, conforme definido no arquivo YAML.
Atribua o papel personalizado usando a Google Cloud CLI.
O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o papel personalizado
limitedAdminao usar a federação de identidade de colaboradores.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdminSubstitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.GROUP_ID: o identificador de grupo criado na federação de identidade de colaboradores. Consulte Representar usuários do pool de força de trabalho nas políticas do IAM para informações sobre o identificador de grupo criado na federação de identidade de colaboradores. Consulte Representar usuários do pool de força de trabalho nas políticas do IAM para informações sobreGROUP_ID.
O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o papel personalizado,
limitedAdminao usar o Cloud Identity ou .gcloud projects add-iam-policy-binding PROJECT_ID \ --member=groupid:GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdminSubstitua:
PROJECT_ID: o ID do projeto vinculado ao Google SecOps que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.GROUP_ID: o identificador de grupo criado na federação de identidade de colaboradores. Consulte Representar usuários do pool de força de trabalho nas políticas do IAM para informações sobre o identificador de grupo criado na federação de identidade de colaboradores. Consulte Representar usuários do pool de força de trabalho nas políticas do IAM para informações sobreGROUP_ID.
Verificar a geração de registros de auditoria
As ações do usuário no Google SecOps e as solicitações à API Google SecOps são registradas como Registros de auditoria do Cloud. Para verificar se os registros estão sendo gravados, siga estas etapas:
- Faça login no Google SecOps como um usuário com privilégios para acessar qualquer recurso. Consulte Fazer login no Google SecOps para mais informações.
- Realizar uma ação, como fazer uma pesquisa.
- No console do Google Cloud, use a Análise de registros para acessar os registros de auditoria no
projeto do Cloud vinculado a SecOps do Google. Os registros de auditoria do Google SecOps têm o
seguinte nome de serviço
chronicle.googleapis.com.
Para mais informações sobre como acessar os Registros de auditoria do Cloud, consulte Informações sobre registros de auditoria do Google SecOps.
Confira a seguir um exemplo de registro gravado quando o usuário alice@example.com
visualizou a lista de extensões do analisador no Google SecOps.
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
Migrar o Google SecOps para o IAM para controle de acesso a recursos
Use as informações nestas seções para migrar uma instância atual do SIEM das Operações de segurança do Google do controle de acesso baseado em recursos anterior (RBAC de recurso) para o IAM.
Depois de migrar para o IAM, também é possível auditar a atividade na instância do Google SecOps usando os Registros de auditoria do Cloud.
Diferenças entre o RBAC de recurso e o IAM
Embora os nomes dos papéis predefinidos do IAM sejam semelhantes aos grupos de RBAC de recursos, os papéis predefinidos do IAM não fornecem acesso a recursos idêntico aos grupos originais de RBAC de recursos. As permissões atribuídas a cada papel predefinido do IAM são um pouco diferentes. Para mais informações, consulte Como as permissões do IAM são mapeadas para cada grupo RBAC de recurso original.
É possível usar os papéis predefinidos do Google SecOps no estado em que se encontram, alterar as permissões definidas em cada papel predefinido ou criar papéis personalizados e atribuir um conjunto diferente de permissões.
Depois de migrar a instância do Google SecOps, gerencie papéis, permissões e políticas do IAM usando o IAM no console do Google Cloud. As seguintes páginas do aplicativo Google SecOps foram modificadas para direcionar os usuários ao console do Google Cloud:
- Usuários e grupos
- Papéis
Em RBAC de recurso, cada permissão é descrita pelo nome do recurso e uma ação. As permissões do IAM são descritas pelo nome e método do recurso. A tabela a seguir ilustra a diferença com dois exemplos, um relacionado a painéis e outro relacionado a feeds.
Exemplo de painel: para controlar o acesso aos painéis, o RBAC de recursos fornece cinco ações que podem ser realizadas nos painéis. O IAM fornece permissões semelhantes com um outro,
dashboards.list, que permite que o usuário liste os painéis disponíveis.Exemplo de feeds: para controlar o acesso a feeds, o RBAC de recursos fornece sete ações que podem ser ativadas ou desativadas. Com o IAM, há quatro:
feeds.delete,feeds.create,feeds.updateefeeds.view.
| Engenharia de | Permissão no RBAC do recurso | Permissão do IAM | Descrição da ação do usuário |
|---|---|---|---|
| Painéis | Editar | chronicle.dashboards.edit |
Editar painéis |
| Painéis | Copiar | chronicle.dashboards.copy |
Copiar painéis |
| Painéis | Criar | chronicle.dashboards.create |
Criar painéis |
| Painéis | Programação | chronicle.dashboards.schedule |
Programar relatórios |
| Painéis | Excluir | chronicle.dashboards.delete |
Excluir relatórios |
| Painéis | Nenhuma. Isso está disponível apenas no IAM. | chronicle.dashboards.list |
Listar painéis disponíveis |
| Feeds | DeleteFeed | chronicle.feeds.delete |
Excluir um feed. |
| Feeds | CreateFeed | chronicle.feeds.create |
Crie um feed. |
| Feeds | UpdateFeed | chronicle.feeds.update |
Atualizar um feed. |
| Feeds | EnableFeed | chronicle.feeds.update |
Atualizar um feed. |
| Feeds | DisableFeed | chronicle.feeds.update |
Atualizar um feed. |
| Feeds | ListFeeds | chronicle.feeds.view |
Retorne um ou mais feeds. |
| Feeds | GetFeed | chronicle.feeds.view |
Retorne um ou mais feeds. |
Etapas para migrar as permissões de controle de acesso atuais
Depois de concluir as etapas para migrar uma instância atual do Google SecOps, você também pode migrar sua configuração de controle de acesso aos recursos.
O Google SecOps fornece comandos gerados automaticamente que criam novas políticas de IAM equivalentes ao seu RBAC anterior baseado em recursos, que é configurado no Google SecOps, na página Configurações do SIEM > Usuários e grupos.
Verifique se você tem as permissões necessárias descritas em Configurar um projeto do Google Cloud para o Google SecOps e siga as etapas em Migrar permissões e papéis atuais para o IAM.
Como as permissões do IAM são mapeadas para cada grupo de RBAC de recurso
As informações de mapeamento nesta seção ilustram algumas das diferenças no acesso a papéis predefinidos antes e depois da migração. Embora os nomes dos papéis de RBAC de recurso sejam semelhantes aos papéis predefinidos do IAM, as ações que fornecem acesso são diferentes. Esta seção fornece uma introdução a algumas dessas diferenças.
Leitor limitado da API Chronicle
Esse papel concede acesso somente leitura ao aplicativo do Google SecOps e aos recursos da API,
exceto regras de mecanismo de detecção e retrohunts. O nome do papel é chronicle.limitedViewer.
Essa função é nova. Para ver uma lista detalhada das permissões, consulte o Visualizador da API Chronicle.
Leitor da API Chronicle
Esse papel fornece acesso somente leitura ao aplicativo do Google SecOps e aos recursos da API. O nome do papel é chronicle.viewer.
As permissões a seguir ilustram algumas das diferenças entre o grupo semelhante RBAC de recurso e o IAM. Para uma lista detalhada das permissões, consulte o Visualizador da API Chronicle.
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Editor da API Chronicle
Esse papel permite que os usuários modifiquem o acesso aos aplicativos e recursos da API do
Google SecOps. O nome do papel é chronicle.editor.
As permissões a seguir ilustram algumas das diferenças entre o grupo semelhante RBAC de recurso e o IAM. Para uma lista detalhada das permissões, consulte o Editor da API Chronicle.
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Administrador da API Chronicle
Esse papel fornece acesso total aos serviços de aplicativos e API do Google SecOps,
incluindo configurações globais. O nome do papel é chronicle.admin.
As permissões a seguir ilustram algumas das diferenças entre o grupo semelhante RBAC de recurso e o IAM. Para uma lista detalhada das permissões, consulte Administrador da API Chronicle.
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |