Mengonfigurasi kontrol akses fitur menggunakan IAM

Didukung di:

RBAC fitur mengontrol akses pengguna ke fitur atau fungsi tertentu dalam sistem dan menentukan fitur mana yang dapat diakses oleh pengguna berdasarkan perannya. Halaman ini menjelaskan cara mengonfigurasi kontrol akses fitur dalam Google Security Operations.

Dalam dokumen ini, istilah RBAC lama digunakan saat merujuk ke sistem kontrol akses yang tersedia sebelumnya yang dikonfigurasi menggunakan Google SecOps, bukan Identity and Access Management (IAM). RBAC Fitur digunakan untuk menjelaskan kontrol akses berbasis fitur yang Anda konfigurasikan menggunakan IAM.

Google SecOps terintegrasi dengan IAM Google Cloud untuk memberikan izin dan peran bawaan khusus Google SecOps. Administrator Google SecOps dapat mengontrol akses ke fitur dengan membuat kebijakan IAM yang mengikat pengguna atau grup ke peran yang telah ditetapkan atau dapat membuat peran IAM kustom. Fitur ini tidak mengontrol akses ke data atau kolom UDM tertentu dalam data UDM.

Dokumen ini melakukan hal berikut:

  • Menjelaskan cara Google SecOps berintegrasi dengan IAM.
  • Menjelaskan perbedaan peran RBAC fitur dengan peran RBAC lama.
  • Memberikan langkah-langkah untuk memigrasikan instance Google SecOps agar dapat menampilkan RBAC.
  • Memberikan contoh cara menetapkan izin menggunakan IAM.
  • Merangkum izin dan peran standar yang tersedia di IAM.

Untuk mengetahui daftar izin Google SecOps yang umum digunakan dan log audit yang dihasilkannya, lihat Izin dan metode API menurut grup resource. Untuk mengetahui daftar semua izin Google SecOps, lihat referensi izin Identity and Access Management.

Setiap izin Google SecOps dikaitkan dengan resource dan metode Google SecOps API. Jika pengguna atau grup diberi izin, pengguna dapat mengakses fitur di Google SecOps dan mengirim permintaan menggunakan metode API terkait.

Cara Google SecOps terintegrasi dengan IAM

Untuk menggunakan IAM, Google SecOps harus terikat dengan project Google Cloud dan harus dikonfigurasi dengan federasi identitas tenaga kerja Cloud Identity, Google Workspace, atau Google Cloud sebagai perantara dalam alur autentikasi ke penyedia identitas pihak ketiga. Untuk mengetahui informasi tentang alur autentikasi pihak ketiga, lihat Mengintegrasikan Google SecOps dengan penyedia identitas pihak ketiga.

Google SecOps melakukan langkah-langkah berikut untuk memverifikasi dan mengontrol akses ke fitur:

  1. Setelah login ke Google SecOps, pengguna akan mengakses halaman aplikasi Google SecOps. Atau, pengguna dapat mengirim permintaan API ke Google SecOps.
  2. Google SecOps memverifikasi izin yang diberikan dalam kebijakan IAM yang ditentukan untuk pengguna tersebut.
  3. IAM menampilkan informasi otorisasi. Jika pengguna mengakses halaman aplikasi, Google SecOps hanya mengaktifkan akses ke fitur yang telah diberikan aksesnya kepada pengguna.
  4. Jika pengguna mengirim permintaan API, dan tidak memiliki izin untuk melakukan tindakan yang diminta, respons API akan menyertakan error. Jika tidak, respons standar akan ditampilkan.

Google SecOps menyediakan serangkaian peran standar dengan serangkaian izin yang ditentukan yang mengontrol apakah pengguna dapat mengakses fitur tersebut. Satu kebijakan IAM mengontrol akses ke fitur menggunakan antarmuka web dan API.

Jika ada layanan Google Cloud lain di project Google Cloud yang terikat dengan Google SecOps, dan Anda ingin membatasi pengguna dengan peran Project IAM Admin agar hanya dapat mengubah resource Google SecOps, pastikan untuk menambahkan kondisi IAM ke kebijakan izin. Lihat Menetapkan peran kepada pengguna dan grup untuk mengetahui contoh cara melakukannya.

Administrator menyesuaikan akses ke fitur Google SecOps berdasarkan peran karyawan di organisasi Anda.

Sebelum memulai

Merencanakan penerapan

Buat kebijakan IAM yang mendukung persyaratan deployment organisasi Anda. Anda dapat menggunakan peran standar Google SecOps atau peran kustom yang Anda buat.

Tinjau daftar peran dan izin bawaan Google SecOps berdasarkan persyaratan organisasi Anda. Identifikasi anggota organisasi Anda yang harus memiliki akses ke setiap fitur Google SecOps. Jika organisasi Anda memerlukan kebijakan IAM yang berbeda dengan peran Google SecOps yang telah ditetapkan, buat peran kustom untuk mendukung persyaratan ini. Untuk mengetahui informasi tentang peran khusus IAM, lihat Membuat dan mengelola peran khusus.

Ringkasan peran dan izin Google SecOps

Bagian berikut memberikan ringkasan umum tentang peran yang telah ditetapkan.

Daftar izin Google SecOps terbaru ada di referensi izin IAM. Di bagian Telusuri izin, telusuri istilah chronicle.

Daftar terbaru peran Google SecOps yang telah ditetapkan ada di Referensi peran dasar dan bawaan IAM. Di bagian Predefined roles, pilih layanan Chronicle API roles atau telusuri istilah chronicle.

Untuk informasi tentang metode dan izin API, halaman tempat izin digunakan, dan informasi yang dicatat di Cloud Audit Logs saat API dipanggil, lihat Izin Chronicle di IAM.

Peran bawaan Google SecOps di IAM

Google Security Operations menyediakan peran bawaan berikut seperti yang muncul di IAM.

Peran bawaan di IAM Judul Deskripsi
roles/chronicle.admin Chronicle API Admin Akses penuh ke aplikasi dan layanan API Google Security Operations, termasuk setelan global.
roles/chronicle.editor Chronicle API Editor Mengubah akses ke aplikasi Google Security Operations dan resource API.
roles/chronicle.viewer Chronicle API Viewer Akses baca saja ke resource API dan aplikasi Google Security Operations
roles/chronicle.limitedViewer Chronicle API Limited Viewer Memberikan akses hanya baca ke resource API dan aplikasi Google Security Operations, tidak termasuk aturan mesin deteksi dan retrohunt.

Izin Google SecOps di IAM

Izin Google SecOps sesuai satu per satu dengan metode API Google SecOps. Setiap izin Google SecOps memungkinkan tindakan tertentu pada fitur Google SecOps tertentu saat menggunakan aplikasi web atau API. Google SecOps API yang digunakan dengan IAM berada dalam tahap peluncuran Alfa.

Nama izin Google SecOps mengikuti format SERVICE.FEATURE.ACTION. Misalnya, nama izin chronicle.dashboards.edit terdiri dari hal berikut:

  • chronicle: nama layanan Google SecOps API.
  • dashboards: nama fitur.
  • edit: tindakan yang dapat dilakukan pada fitur.

Nama izin menjelaskan tindakan yang dapat Anda lakukan pada fitur di Google SecOps. Semua izin Google SecOps memiliki nama layanan chronicle.

Menetapkan peran kepada pengguna dan grup

Bagian berikut memberikan contoh kasus penggunaan untuk membuat kebijakan IAM. Istilah <project> digunakan untuk mewakili project ID project yang Anda tautkan ke Google SecOps.

Setelah Anda mengaktifkan Chronicle API, peran dan izin bawaan Google SecOps akan tersedia di IAM dan Anda dapat membuat kebijakan untuk mendukung persyaratan organisasi.

Jika Anda memiliki instance Google SecOps yang baru dibuat, mulai buat kebijakan IAM untuk memenuhi persyaratan organisasi.

Jika ini adalah instance Google SecOps yang sudah ada, lihat Memigrasikan Google SecOps ke IAM untuk kontrol akses fitur untuk mengetahui informasi tentang memigrasikan instance ke IAM.

Contoh: Menetapkan peran Project IAM Admin di project khusus

Dalam contoh ini, project ini ditujukan untuk instance Google SecOps Anda. Anda memberikan peran Project IAM Admin kepada pengguna agar mereka dapat memberikan dan mengubah binding peran IAM project. Pengguna dapat mengelola semua peran dan izin Google SecOps di project dan melakukan tugas yang diberikan oleh peran Project IAM Admin.

Menetapkan peran menggunakan Konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan konsol Google Cloud.

  1. Buka konsol Google Cloud.
  2. Pilih project yang terikat dengan Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Berikan Akses ke <project> akan muncul.
  5. Di bagian Add Principals, masukkan alamat email akun terkelola di kolom New principals.
  6. Di bagian Tetapkan Peran, di menu Pilih peran, pilih peran Project IAM Admin.
  7. Klik Simpan.
  8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna saat menggunakan federasi identitas tenaga kerja.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ganti kode berikut:

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada grup saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Ganti kode berikut:

Contoh: Menetapkan peran Admin IAM Project di project bersama

Dalam contoh ini, project digunakan untuk beberapa aplikasi. Layanan ini terikat dengan instance Google SecOps dan menjalankan layanan yang tidak terkait dengan Google SecOps. Misalnya, resource Compute Engine yang digunakan untuk tujuan lain.

Dalam hal ini, Anda dapat memberikan peran Project IAM Admin kepada pengguna agar mereka dapat memberikan dan mengubah binding peran IAM project serta mengonfigurasi Google SecOps. Anda juga akan menambahkan IAM ke pengikatan peran untuk membatasi aksesnya hanya ke peran terkait Google SecOps dalam project. Pengguna ini hanya dapat memberikan peran yang ditentukan dalam kondisi IAM.

Untuk mengetahui informasi selengkapnya tentang kondisi IAM, lihat Ringkasan IAM Conditions dan Mengelola binding peran bersyarat.

Menetapkan peran menggunakan Konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan konsol Google Cloud.

  1. Buka konsol Google Cloud.
  2. Pilih project yang terikat dengan Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Berikan Akses ke <project> akan muncul.
  5. Di dialog Berikan Akses ke <project>, di bagian Tambahkan Akun Utama, masukkan alamat email pengguna di kolom Akun Utama Baru.
  6. Di bagian Tetapkan Peran, di menu Pilih peran, pilih peran Project IAM Admin.
  7. Klik + Add IAM Condition.
  8. Di dialog Tambahkan kondisi, masukkan informasi berikut:
    1. Masukkan Judul untuk kondisi.
    2. Pilih Editor kondisi.
    3. Masukkan kondisi berikut:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Klik Simpan di dialog Tambahkan kondisi.
  2. Klik Save di dialog Grant Access to <project>.
  3. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna dan menerapkan kondisi IAM saat menggunakan federasi identitas tenaga kerja.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ganti kode berikut:

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin ke grup dan menerapkan kondisi IAM saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ganti kode berikut:

Contoh: Menetapkan peran Editor Chronicle API kepada pengguna

Dalam situasi ini, Anda ingin memberi pengguna kemampuan untuk mengubah akses ke resource Google SecOps API.

Menetapkan peran menggunakan Konsol Google Cloud

  1. Buka konsol Google Cloud.
  2. Pilih project yang terikat dengan Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Dialog Berikan Akses ke <project> akan terbuka.
  5. Di bagian Add Principals, di kolom New principals, masukkan alamat email pengguna.
  6. Di bagian Assign Roles, di Select a role menu, pilih peran Google SecOps API Editor.
  7. Klik Save di dialog Grant Access to <project>.
  8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna telah diberi peran yang benar.

Menetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.editor kepada pengguna saat menggunakan federasi identitas tenaga kerja.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Ganti kode berikut:

  • PROJECT_ID: project ID project terikat Google SecOps yang Anda buat di Mengikat instance Google SecOps ke project Google Cloud. Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
  • WORKFORCE_POOL_ID: ID untuk kumpulan Tenaga Kerja yang dibuat untuk Penyedia Identitas Anda.

  • USER_EMAIL: alamat email pengguna.

    Contoh perintah berikut menunjukkan cara memberikan peran chronicle.editor kepada pengguna saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Ganti kode berikut:

Contoh: Membuat dan menetapkan peran khusus ke grup

Jika peran standar Google SecOps tidak menyediakan grup izin yang memenuhi kasus penggunaan organisasi Anda, Anda dapat membuat peran khusus dan menetapkan izin Google SecOps ke peran khusus tersebut. Anda menetapkan peran kustom ke pengguna atau grup. Untuk mengetahui informasi selengkapnya tentang peran khusus IAM, lihat Membuat dan mengelola peran khusus.

Langkah-langkah berikut memungkinkan Anda membuat peran kustom bernama LimitedAdmin.

  1. Buat file YAML atau JSON yang menentukan peran khusus, yang disebut LimitedAdmin, dan izin yang diberikan ke peran ini. Berikut adalah contoh file YAML.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.get

  2. Buat peran khusus. Contoh perintah gcloud CLI berikut menunjukkan cara membuat peran kustom ini menggunakan file YAML yang Anda buat di langkah sebelumnya.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Ganti kode berikut:

  3. Tetapkan peran kustom menggunakan Google Cloud CLI.

    Contoh perintah berikut menunjukkan cara memberikan peran kustom, limitedAdmin, kepada grup pengguna saat menggunakan federasi identitas tenaga kerja.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ganti kode berikut:

    Contoh perintah berikut menunjukkan cara memberikan peran kustom, limitedAdmin, kepada grup pengguna saat menggunakan Cloud Identity atau .

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ganti kode berikut:

Memverifikasi logging audit

Tindakan pengguna di Google SecOps dan permintaan ke Google SecOps API dicatat sebagai Log Audit Cloud. Untuk memverifikasi bahwa log sedang ditulis, lakukan langkah-langkah berikut:

  1. Login ke Google SecOps sebagai pengguna dengan hak istimewa untuk mengakses fitur apa pun. Lihat Login ke Google SecOps untuk mengetahui informasi selengkapnya.
  2. Melakukan tindakan, seperti melakukan Penelusuran.
  3. Di konsol Google Cloud, gunakan Logs Explorer untuk melihat log audit di project Cloud yang terikat dengan Google SecOps. Log audit Google SecOps memiliki nama layanan berikut chronicle.googleapis.com.

Untuk mengetahui informasi selengkapnya tentang cara melihat Cloud Audit Logs, lihat Informasi logging audit Google SecOps.

Berikut adalah contoh log yang ditulis saat pengguna alice@example.com melihat daftar ekstensi parser di Google SecOps.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Memigrasikan Google SecOps ke RBAC fitur untuk kontrol akses fitur

Gunakan informasi di bagian ini untuk memigrasikan instance SIEM Google Security Operations yang ada dari sistem RBAC lama ke RBAC fitur.

Setelah bermigrasi untuk menggunakan RBAC fitur, Anda juga dapat mengaudit aktivitas di instance Google SecOps menggunakan Cloud Audit Logs.

Perbedaan antara RBAC lama dan RBAC fitur

Meskipun nama peran standar RBAC fitur mirip dengan peran RBAC lama, peran standar RBAC fitur tidak memberikan akses fitur yang sama seperti peran RBAC lama. Izin yang ditetapkan ke setiap peran RBAC fitur bawaan sedikit berbeda. Untuk mengetahui informasi selengkapnya, lihat Cara peran IAM RBAC fitur dipetakan ke peran RBAC lama.

Anda dapat menggunakan peran bawaan Google SecOps apa adanya, mengubah izin yang ditentukan di setiap peran bawaan, atau membuat peran khusus dan menetapkan kumpulan izin yang berbeda.

Setelah memigrasikan instance Google SecOps, Anda dapat mengelola peran, izin, dan kebijakan RBAC fitur menggunakan IAM di konsol Google Cloud. Halaman aplikasi Google SecOps berikut diubah untuk mengarahkan pengguna ke konsol Google Cloud:

  • Pengguna & Grup
  • Peran

Dalam RBAC lama, setiap izin dijelaskan oleh nama fitur dan tindakan. Izin IAM di RBAC fitur dijelaskan oleh nama dan metode resource. Tabel berikut mengilustrasikan perbedaan dengan dua contoh, satu terkait Dasbor dan yang kedua terkait Feed.

  • Contoh dasbor: Untuk mengontrol akses ke Dasbor, RBAC lama menyediakan lima tindakan yang dapat Anda lakukan di dasbor. RBAC fitur memberikan izin IAM serupa dengan satu tambahan, dashboards.list, yang memungkinkan pengguna mencantumkan dasbor yang tersedia.

  • Contoh feed: Untuk mengontrol akses ke Feed, RBAC lama menyediakan tujuh tindakan yang dapat Anda aktifkan atau nonaktifkan. Dengan RBAC fitur, ada empat: feeds.delete, feeds.create, feeds.update, dan feeds.view.

Fitur Izin di RBAC lama Izin IAM di RBAC fitur Deskripsi tindakan pengguna
Dasbor Edit chronicle.dashboards.edit Mengedit dasbor
Dasbor Salin chronicle.dashboards.copy Menyalin dasbor
Dasbor Buat chronicle.dashboards.create Membuat dasbor
Dasbor Jadwal chronicle.dashboards.schedule Menjadwalkan laporan
Dasbor Hapus chronicle.dashboards.delete Menghapus laporan
Dasbor Tidak ada. Fitur ini hanya tersedia di RBAC fitur. chronicle.dashboards.list Mencantumkan dasbor yang tersedia
Feed DeleteFeed chronicle.feeds.delete Menghapus feed.
Feed CreateFeed chronicle.feeds.create Buat feed.
Feed UpdateFeed chronicle.feeds.update Memperbarui feed.
Feed EnableFeed chronicle.feeds.update Memperbarui feed.
Feed DisableFeed chronicle.feeds.update Memperbarui feed.
Feed ListFeeds chronicle.feeds.view Menampilkan satu atau beberapa feed.
Feed GetFeed chronicle.feeds.view Menampilkan satu atau beberapa feed.

Langkah-langkah untuk memigrasikan izin kontrol akses yang ada

Setelah menyelesaikan langkah-langkah untuk memigrasikan instance Google SecOps yang ada, Anda juga dapat memigrasikan konfigurasi kontrol akses fitur.

Google SecOps menyediakan perintah yang dibuat secara otomatis yang membuat kebijakan IAM RBAC fitur baru yang setara dengan RBAC lama Anda, yang dikonfigurasi di Google SecOps, di halaman SIEM Settings > Users and Groups.

Pastikan Anda memiliki izin yang diperlukan yang dijelaskan dalam artikel Mengonfigurasi project Google Cloud untuk Google SecOps, lalu ikuti langkah-langkah di Memigrasikan izin dan peran yang ada ke IAM.

Cara peran IAM RBAC fitur dipetakan ke peran RBAC lama

Informasi pemetaan di bagian ini menggambarkan beberapa perbedaan akses untuk peran standar sebelum dan sesudah migrasi. Meskipun nama peran RBAC lama mirip dengan peran bawaan IAM RBAC fitur, tindakan yang diberikan oleh setiap peran tersebut berbeda. Bagian ini memberikan pengantar tentang beberapa perbedaan ini.

Chronicle API Limited Viewer

Peran ini memberikan akses hanya baca ke aplikasi Google SecOps dan resource API, tidak termasuk aturan mesin deteksi dan retrohunt. Nama peran adalah chronicle.limitedViewer.

Untuk mengetahui daftar izin yang mendetail, lihat Chronicle API Viewer.

Chronicle API Viewer

Peran ini memberikan akses hanya baca ke aplikasi Google SecOps dan resource API. Nama peran adalah chronicle.viewer.

Izin berikut mengilustrasikan beberapa perbedaan antara peran RBAC lama dan RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Chronicle API Viewer.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in feature RBAC only.
chronicle.operations.list None. This is available in feature RBAC only.
chronicle.operations.wait None. This is available in feature RBAC only.
chronicle.instances.report None. This is available in feature RBAC only.
chronicle.collectors.get None. This is available in feature RBAC only.
chronicle.collectors.list None. This is available in feature RBAC only.
chronicle.forwarders.generate None. This is available in feature RBAC only.
chronicle.forwarders.get None. This is available in feature RBAC only.
chronicle.forwarders.list None. This is available in feature RBAC only.

Chronicle API Editor

Peran ini memungkinkan pengguna mengubah akses ke aplikasi Google SecOps dan resource API. Nama peran adalah chronicle.editor.

Izin berikut mengilustrasikan beberapa perbedaan antara peran RBAC lama dan RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Chronicle API Editor.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in feature RBAC only.

Chronicle API Admin

Peran ini memberikan akses penuh ke aplikasi Google SecOps dan layanan API, termasuk setelan global. Nama peran adalah chronicle.admin.

Izin berikut mengilustrasikan beberapa perbedaan antara peran RBAC lama dan RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Admin Chronicle API.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in feature RBAC only.
chronicle.collectors.delete None. This is available in feature RBAC only.
chronicle.collectors.update None. This is available in feature RBAC only.
chronicle.forwarders.create None. This is available in feature RBAC only.
chronicle.forwarders.delete None. This is available in feature RBAC only.
chronicle.forwarders.update None. This is available in feature RBAC only.
chronicle.parsingErrors.list None. This is available in feature RBAC only.