Zugriffssteuerung für Features mit IAM konfigurieren
Google Security Operations ist in die Identity and Access Management (IAM) von Google Cloud eingebunden, um Google SecOps-spezifische Berechtigungen und vordefinierte Rollen bereitzustellen. Google SecOps-Administratoren können den Zugriff auf Funktionen steuern, indem sie IAM-Richtlinien erstellen, die Nutzer oder Gruppen an vordefinierte Rollen binden, oder benutzerdefinierte IAM-Rollen erstellen. Mit dieser Funktion wird nicht der Zugriff auf bestimmte UDM-Einträge oder Felder in einem UDM-Eintrag gesteuert.
In diesem Dokument wird Folgendes beschrieben:
- Hier erfahren Sie, wie Google SecOps in IAM eingebunden ist.
- Hier erfahren Sie, wie sich vordefinierte IAM-Rollen von den ursprünglichen Gruppen der Feature-RBAC unterscheiden.
- Enthält Schritte zum Migrieren einer Google SecOps-Instanz zu IAM.
- Hier finden Sie Beispiele dafür, wie Sie Berechtigungen mit IAM zuweisen.
- Hier finden Sie eine Zusammenfassung der in IAM verfügbaren Berechtigungen und vordefinierten Rollen.
Liste häufig verwendeter Google SecOps-Berechtigungen und Prüfung erstellte Logs finden Sie unter Berechtigungen und API-Methoden nach Ressourcengruppe. Eine Liste aller Google SecOps-Berechtigungen finden Sie unter Referenz zu Identity and Access Management-Berechtigungen.
Möglicherweise migrieren Sie Ihre Google SecOps-Instanzen gerade von der ursprünglichen RBAC-Implementierung. In diesem Dokument wird der Name Feature-RBAC für die zuvor verfügbare funktionsbasierte Zugriffssteuerung verwendet, die nicht über IAM, sondern über Google SecOps konfiguriert wird. IAM wird verwendet, um die funktionsbasierte Zugriffssteuerung zu beschreiben, die Sie mit IAM konfigurieren.
Jede Google SecOps-Berechtigung ist einer Google SecOps API zugeordnet und Methode verwendet. Wenn einem Nutzer oder einer Gruppe eine Berechtigung gewährt wird, kann der Nutzer auf die Funktion in Google SecOps zugreifen und eine Anfrage mit der zugehörigen API-Methode senden.
Google SecOps in IAM einbinden
Zur Verwendung von IAM muss Google SecOps an eine Google Cloud gebunden sein und muss entweder mit Cloud Identity, Google Workspace, oder die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler bei der Authentifizierung zu einem externen Identitätsanbieter übertragen werden. Informationen zum Authentifizierungsablauf von Drittanbietern finden Sie im Hilfeartikel Google SecOps mit einem Identitätsanbieter von Drittanbietern integrieren.
Google SecOps führt die folgenden Schritte aus, um den Zugriff auf Funktionen zu prüfen und zu steuern:
- Nach der Anmeldung in Google SecOps greift ein Nutzer auf Google SecOps zu zur Bewerbung. Alternativ kann der Nutzer eine API-Anfrage an Google SecOps senden.
- Google SecOps prüft die Berechtigungen, die in den für diesen Nutzer definierten IAM-Richtlinien gewährt wurden.
- IAM gibt die Autorisierungsinformationen zurück. Wenn der Nutzer auf eine Anwendungsseite zugreift, ermöglicht Google SecOps nur den Zugriff auf die Funktionen, für die dem Nutzer Zugriff gewährt wurde.
- Wenn der Nutzer eine API-Anfrage gesendet hat und nicht berechtigt ist, den angeforderte Aktion enthält die API-Antwort einen Fehler. Andernfalls wird eine Standardantwort zurückgegeben.
Google SecOps bietet eine Reihe vordefinierter Rollen mit festgelegten Berechtigungen die steuern, ob ein Nutzer auf die Funktion zugreifen kann. Die einzelne IAM-Richtlinie steuert den Zugriff auf die Funktion über die Weboberfläche und die API.
Wenn andere Google Cloud-Dienste im Google Cloud-Projekt an Google SecOps und Sie möchten die Nutzer mit der Rolle „Projekt-IAM-Administrator“ einschränken Wenn Sie nur die Google SecOps-Ressourcen ändern möchten, müssen Sie IAM für die Zulassungsrichtlinie hinzugefügt. Weitere Informationen finden Sie unter Nutzern und Gruppen Rollen zuweisen. finden Sie ein Beispiel dafür.
Administratoren passen den Zugriff auf die Google SecOps-Funktionen an die Rolle eines Mitarbeiters in Ihrer Organisation an.
Hinweise
- Sie sollten mit Cloud Shell, dem gcloud-Befehl und der Google Cloud Console vertraut sein.
- Machen Sie sich mit IAM vertraut, einschließlich der folgenden Konzepte:
- Führen Sie alle Schritte unter Google SecOps an ein Google Cloud-Projekt binden aus. zum Einrichten eines Projekts, das an Google SecOps gebunden wird.
- Konfigurieren Sie Ihren Identitätsanbieter mit einer der folgenden Methoden:
- Google Cloud-Identitätsanbieter konfigurieren
- Führen Sie alle Schritte unter Externen Identitätsanbieter in Google SecOps einbinden aus, um die Authentifizierung über einen externen Identitätsanbieter (Identity Provider, IdP) einzurichten.
- Binden Sie ein Projekt an Ihre Google SecOps-Instanz und konfigurieren Sie den Identitätsanbieter.
- Sie müssen die Berechtigungen haben, die Schritte in diesem Dokument auszuführen. Informationen zu den erforderlichen Berechtigungen für die einzelnen Phasen des Onboarding-Prozesses Siehe Erforderliche Rollen.
Implementierung planen
Sie erstellen IAM-Richtlinien, die die Bereitstellungsanforderungen Ihrer Organisation unterstützen. Sie können entweder vordefinierte Google SecOps-Rollen oder von Ihnen erstellte benutzerdefinierte Rollen verwenden.
Überprüfen Sie die Liste der vordefinierten Google SecOps-Rollen und -Berechtigungen anhand der folgenden Kriterien: Anforderungen Ihrer Organisation. Legen Sie fest, welche Mitglieder Ihrer Organisation Zugriff auf die einzelnen Google SecOps-Funktionen haben sollen. Wenn Ihre Organisation IAM-Richtlinien benötigt, die sich von den vordefinierten Google SecOps-Rollen unterscheiden, erstellen Sie benutzerdefinierte Rollen, um diese Anforderungen zu erfüllen. Informationen zu Benutzerdefinierte IAM-Rollen, siehe Benutzerdefinierte Rollen erstellen und verwalten
Zusammenfassung der Rollen und Berechtigungen von Google SecOps
In den folgenden Abschnitten finden Sie eine allgemeine Zusammenfassung der vordefinierten Rollen.
Die aktuelle Liste der Google SecOps-Berechtigungen finden Sie in der Referenz für IAM-Berechtigungen. Klicken Sie im Bereich
Suchen Sie nach einer Berechtigung und suchen Sie nach dem Begriff chronicle
.
Die aktuelle Liste vordefinierter Google SecOps-Rollen finden Sie in
Referenz zu einfachen und vordefinierten IAM-Rollen Wählen Sie im Abschnitt Vordefinierte Rollen entweder den Dienst Chronicle API-Rollen aus oder suchen Sie nach dem Begriff chronicle
.
Informationen zu API-Methoden und -Berechtigungen finden Sie in der Seiten, auf denen Berechtigungen verwendet werden, und in Cloud-Audit-Logs aufgezeichnete Informationen wenn die API aufgerufen wird, siehe Chronicle-Berechtigungen in IAM.
Vordefinierte Google SecOps-Rollen in IAM
Google Security Operations bietet die folgenden vordefinierten Rollen, wie sie in IAM angezeigt werden.
Vordefinierte Rolle in IAM | Titel | Beschreibung |
---|---|---|
roles/chronicle.admin |
Chronicle API-Administrator | Vollständiger Zugriff auf die Google Security Operations-Anwendung und API-Dienste, einschließlich globaler Einstellungen. |
roles/chronicle.editor |
Chronicle API Editor | Zugriff auf die Google Security Operations-Anwendung und API-Ressourcen ändern |
roles/chronicle.viewer |
Chronicle API-Betrachter | Lesezugriff auf Google Security Operations-Anwendungs- und API-Ressourcen |
roles/chronicle.limitedViewer |
Chronicle API Limited Viewer | Gewährt Lesezugriff auf Google Security Operations-Anwendung und API Ressourcen, mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts. |
Google SecOps-Berechtigungen in IAM
Google SecOps-Berechtigungen entsprechen genau den Google SecOps-Berechtigungen API-Methoden. Mit jeder Google SecOps-Berechtigung können Sie bei Verwendung der Webanwendung oder der API eine bestimmte Aktion für eine bestimmte Google SecOps-Funktion ausführen. Google SecOps APIs, die mit IAM verwendet werden, befinden sich in der Alpha-Einführungsphase.
Google SecOps-Berechtigungsnamen haben das Format SERVICE.FEATURE.ACTION
.
Der Berechtigungsname chronicle.dashboards.edit
besteht beispielsweise aus Folgendem:
Folgendes:
chronicle
: Der Name des Google SecOps API-Dienstes.dashboards
: der Name der Funktion.edit
: die Aktion, die für das Element ausgeführt werden kann
Der Name der Berechtigung beschreibt die Aktion, die Sie in Google SecOps für die Funktion ausführen können. Alle Google SecOps-Berechtigungen haben den Dienstnamen chronicle
.
Nutzern und Gruppen Rollen zuweisen
In den folgenden Abschnitten finden Sie Beispielanwendungsfälle für das Erstellen von IAM-Richtlinien. Der Begriff <project>
steht für die Projekt-ID des Projekts.
die Sie an Google SecOps gebunden haben.
Nachdem Sie die Chronicle API aktiviert haben, werden die vordefinierten Google SecOps-Rollen und Berechtigungen sind in IAM verfügbar. Außerdem können Sie um die Anforderungen der Organisation zu erfüllen.
Wenn Sie eine neu erstellte Google SecOps-Instanz haben, erstellen Sie IAM-Richtlinien zur Erfüllung von Organisationsanforderungen
Wenn es sich um eine vorhandene Google SecOps-Instanz handelt, finden Sie unter Google SecOps zur Zugriffssteuerung für Funktionen zu IAM migrieren Informationen zur Migration der Instanz zu IAM.
Beispiel: Rolle „Projekt-IAM-Administrator“ in einem dedizierten Projekt zuweisen
In diesem Beispiel ist das Projekt Ihrer Google SecOps-Instanz zugeordnet. Sie gewähren einem Nutzer die Rolle Projekt-IAM-Administrator, damit er die IAM-Rollenzuweisungen des Projekts gewähren und ändern kann. Der Nutzer kann alle Google SecOps-Rollen und -Berechtigungen verwalten im Projekt und führen Aufgaben aus, die mit der Rolle Project IAM Admin (Projekt-IAM-Administrator) verknüpft sind.
Rolle über die Google Cloud Console zuweisen
In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.
- Öffnen Sie die Google Cloud Console.
- Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
- Wählen Sie IAM & Admin.
- Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf
<project>
gewähren wird angezeigt. - Geben Sie im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des verwalteten Kontos in das Feld Neue Hauptkonten ein.
- Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
- Klicken Sie auf Speichern.
- Öffnen Sie die Seite IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle zugewiesen wurde.
Rolle über die Google Cloud CLI zuweisen
Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.admin
gewährt wird
wenn Sie die Mitarbeiteridentitätsföderation verwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.WORKFORCE_POOL_ID
: die Kennung für den Workforce-Pool, der für Ihren Identitätsanbieter erstellt wurde.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.
Im folgenden Beispielbefehl wird gezeigt, wie Sie einer Gruppe die Rolle chronicle.admin
gewähren, wenn Sie Cloud Identity oder Google Workspace verwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "user:USER_EMAIL" \
--role=roles/chronicle.admin
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.
Beispiel: Rolle „Project IAM Admin“ in einem freigegebenen Projekt zuweisen
In diesem Beispiel wird das Projekt für mehrere Anwendungen verwendet. Sie ist an eine Google SecOps-Instanz und führt Dienste aus, die nicht mit Google SecOps zusammenhängen. Zum Beispiel eine Compute Engine-Ressource, die für einen anderen Zweck verwendet wird.
In diesem Fall können Sie einem Nutzer die Rolle Projekt-IAM-Administrator zuweisen, damit er IAM-Rollenbindungen des Projekts gewähren und ändern und Google SecOps konfigurieren Sie werden auch IAM an die Rollenbindung, um ihren Zugriff auf Google SecOps-bezogene Zugriffe zu beschränken Rollen im Projekt. Dieser Nutzer kann nur Rollen zuweisen, die in der IAM-Bedingung angegeben sind.
Weitere Informationen zu IAM-Bedingungen finden Sie unter Übersicht über IAM-Bedingungen und Bedingte Rollenbindungen verwalten.
Rolle über die Google Cloud Console zuweisen
In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.
- Öffnen Sie die Google Cloud Console.
- Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
- Wählen Sie IAM & Admin.
- Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf
<project>
gewähren wird angezeigt. - Geben Sie im Dialogfeld
<project>
Zugriff gewähren im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des Nutzers in das Feld Neue Hauptkonten ein. - Wählen Sie im Bereich Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
- Klicken Sie auf + IAM-Bedingung hinzufügen.
- Geben Sie im Dialogfeld Bedingung hinzufügen die folgenden Informationen ein:
- Geben Sie einen Titel für die Bedingung ein.
- Wählen Sie den Bedingungseditor aus.
- Geben Sie die folgende Bedingung ein:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- Klicken Sie im Dialogfeld Bedingung hinzufügen auf Speichern.
- Klicken Sie im Dialogfeld Zugriff auf
<project>
gewähren auf Speichern. - Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.
Rolle mit der Google Cloud CLI zuweisen
Im folgenden Beispielbefehl wird gezeigt, wie Sie einem Nutzer die Rolle chronicle.admin
zuweisen und IAM-Bedingungen anwenden, wenn Sie die Identitätsföderation für die Belegschaft verwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.WORKFORCE_POOL_ID
: die Kennung für den Mitarbeiterpool, der für Ihren Identitätsanbieter erstellt wurde.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.
Im folgenden Beispiel wird gezeigt, wie Sie einer Gruppe die Rolle chronicle.admin
gewähren und IAM-Bedingungen bei Verwendung von Cloud Identity oder Google Workspace anwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.USER_EMAIL
: die E-Mail-Adresse des Nutzers, z. B.bob@example.com
.
Beispiel: Einem Nutzer die Rolle „Chronicle API Editor“ zuweisen
In diesem Fall möchten Sie einem Nutzer die Möglichkeit geben, den Zugriff auf Google SecOps API-Ressourcen zu ändern.
Rolle über die Google Cloud Console zuweisen
- Öffnen Sie die Google Cloud Console.
- Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
- Wählen Sie IAM & Admin.
- Wählen Sie Zugriff gewähren aus. Das Dialogfeld Zugriff auf
<project>
gewähren wird geöffnet. - Geben Sie im Bereich Hauptkonten hinzufügen in das Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
- Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Google SecOps API-Bearbeiter aus.
- Klicken Sie im Dialogfeld Zugriff auf
<project>
gewähren auf Speichern. - Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.
Rolle über die Google Cloud CLI zuweisen
Im folgenden Beispiel wird gezeigt, wie Sie einem Nutzer die Rolle chronicle.editor
gewähren, wenn Sie die Workforce Identity-Föderation verwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.WORKFORCE_POOL_ID
: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.Im folgenden Beispielbefehl wird gezeigt, wie Sie einem Nutzer die Rolle
chronicle.editor
gewähren, wenn Sie Cloud Identity oder Google Workspace verwenden.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.editor
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.WORKFORCE_POOL_ID
: die Kennung für den Workforce-Pool, der für Ihren Identitätsanbieter erstellt wurde.USER_EMAIL
: Die E-Mail-Adresse des Nutzers.
Beispiel: Benutzerdefinierte Rolle für eine Gruppe erstellen und zuweisen
Wenn die vordefinierten Google SecOps-Rollen nicht die Berechtigungsgruppe für den Anwendungsfall Ihrer Organisation bieten, können Sie eine benutzerdefinierte Rolle erstellen und dieser benutzerdefinierten Rolle Google SecOps-Berechtigungen zuweisen. Weisen Sie die benutzerdefinierte Rolle einem Nutzer oder einer Gruppe zu. Weitere Informationen zu benutzerdefinierten IAM-Rollen Weitere Informationen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
In den folgenden Schritten wird eine benutzerdefinierte Rolle namens LimitedAdmin
erstellt.
Erstellen Sie eine YAML- oder JSON-Datei, in der die benutzerdefinierte Rolle
LimitedAdmin
und die ihr gewährten Berechtigungen definiert werden. Unten sehen Sie eine Beispiel-YAML-Datei.title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy
Erstellen Sie die benutzerdefinierte Rolle. Im folgenden Beispiel für einen gcloud CLI-Befehl zeigt, wie Sie diese benutzerdefinierte Rolle mithilfe der YAML-Datei erstellen, die Sie in aus dem vorherigen Schritt.
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.YAML_FILE_NAME
: der Name der Datei, die Sie im vorherigen Schritt.ROLE_NAME
: der Name der benutzerdefinierten Rolle, wie in der YAML-Datei definiert.
Weisen Sie die benutzerdefinierte Rolle mit der Google Cloud CLI zu.
Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle,
limitedAdmin
, wenn die Mitarbeiteridentitätsföderation verwendet wird.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Ersetzen Sie Folgendes:
PROJECT_ID
: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.WORKFORCE_POOL_ID
: Die Kennung für den Workforce-Pool, der für Ihren Identitätsanbieter erstellt wurde.GROUP_ID
: Die Gruppen-ID, die in der Workforce Identity-Föderation erstellt wurde. Informationen zur Gruppen-ID, die in der Workforce Identity-Föderation erstellt wurde, finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen. Informationen zurGROUP_ID
finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.
Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle,
limitedAdmin
bei Verwendung von Cloud Identity odergcloud projects add-iam-policy-binding PROJECT_ID \ --member=groupid:GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Ersetzen Sie Folgendes:
PROJECT_ID
: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.WORKFORCE_POOL_ID
: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.GROUP_ID
: Die Gruppen-ID, die in der Workforce Identity-Föderation erstellt wurde. Weitere Informationen finden Sie unter Personalpoolnutzer in IAM-Richtlinien repräsentieren. über die in der Belegschaft erstellte Gruppen-ID Identitätsföderation. Informationen zurGROUP_ID
finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.
Audit-Logging überprüfen
Nutzeraktionen in Google SecOps und Anfragen an die Google SecOps API werden als Cloud-Audit-Logs aufgezeichnet. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Logs geschrieben werden: führen Sie die folgenden Schritte aus:
- Melden Sie sich in Google SecOps als Nutzer mit Berechtigungen für den Zugriff auf alle Funktionen an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
- Aktion ausführen, z. B. eine Suche
- Verwenden Sie in der Google Cloud Console den Log-Explorer, um die Audit-Logs in der
Google SecOps-gebundenes Cloud-Projekt. Google SecOps-Audit-Logs haben den folgenden Dienstnamen:
chronicle.googleapis.com
.
Weitere Informationen zum Ansehen von Cloud-Audit-Logs finden Sie unter Informationen zum Audit-Logging von Google SecOps.
Im Folgenden sehen Sie ein Beispielprotokoll, das geschrieben wurde, als sich der Nutzer alice@example.com
die Liste der Parsererweiterungen in Google SecOps angesehen hat.
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
Google SecOps für die Feature-Zugriffssteuerung zu IAM migrieren
Anhand der Informationen in diesen Abschnitten können Sie eine vorhandene Google Security Operations-SIEM-Instanz von der bisherigen funktionsbasierten Zugriffssteuerung (Feature RBAC) zu IAM migrieren.
Nach der Migration zu IAM können Sie Aktivitäten in der Google SecOps-Instanz auch mit Cloud-Audit-Logs prüfen.
Unterschiede zwischen Feature-RBAC und IAM
Die Namen der vordefinierten IAM-Rollen ähneln zwar den Gruppen der Feature-RBAC, sie gewähren jedoch nicht denselben Funktionszugriff wie die ursprünglichen Feature-RBAC-Gruppen. Berechtigungen IAM-Rollen zugewiesen sind, unterscheiden sich geringfügig. Weitere Informationen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen ursprünglichen Feature-RBAC-Gruppen
Sie können die vordefinierten Rollen von Google SecOps unverändert verwenden, die in den einzelnen vordefinierten Rollen definierten Berechtigungen ändern oder benutzerdefinierte Rollen erstellen und ihnen eine andere Berechtigungsgruppe zuweisen.
Nachdem Sie die Google SecOps-Instanz migriert haben, verwalten Sie Rollen, Berechtigungen und IAM-Richtlinien mit IAM in der Google Cloud Console. Die folgenden Google SecOps-Anwendungsseiten wurden geändert, um Nutzer zur Google Cloud Console weiterzuleiten:
- Nutzer und Gruppen
- Rollen
Bei der Funktions-RBAC wird jede Berechtigung durch den Funktionsnamen und eine Aktion beschrieben. IAM-Berechtigungen werden durch den Ressourcennamen und die Methode beschrieben. In der folgenden Tabelle wird der Unterschied anhand von zwei Beispielen veranschaulicht, eines für Dashboards und eines für Feeds.
Dashboard-Beispiel: Zur Steuerung des Zugriffs auf Dashboards bietet Feature-RBAC fünf Aktionen die Sie auf Dashboards durchführen können. IAM bietet ähnliche Berechtigungen mit eine zusätzliche
dashboards.list
, mit der ein Nutzer verfügbare Dashboards auflisten kann.Beispiel für Feeds: Zur Steuerung des Zugriffs auf Feeds bietet die Funktion „RBAC“ sieben Aktionen, die Sie aktivieren oder deaktivieren können. Bei IAM gibt es vier:
feeds.delete
,feeds.create
,feeds.update
undfeeds.view
.
Funktion | Berechtigung in Feature-RBAC | IAM-Berechtigung | Beschreibung der Nutzeraktion |
---|---|---|---|
Dashboards | Bearbeiten | chronicle.dashboards.edit |
Dashboards bearbeiten |
Dashboards | Kopieren | chronicle.dashboards.copy |
Dashboards kopieren |
Dashboards | Erstellen | chronicle.dashboards.create |
Dashboards erstellen |
Dashboards | Planen | chronicle.dashboards.schedule |
Berichte planen |
Dashboards | Löschen | chronicle.dashboards.delete |
Berichte löschen |
Dashboards | – Diese Funktion ist nur in IAM verfügbar. | chronicle.dashboards.list |
Verfügbare Dashboards auflisten |
Feeds | DeleteFeed | chronicle.feeds.delete |
Feed löschen |
Feeds | CreateFeed | chronicle.feeds.create |
Erstellen Sie einen Feed. |
Feeds | UpdateFeed | chronicle.feeds.update |
Feed aktualisieren |
Feeds | EnableFeed | chronicle.feeds.update |
Feed aktualisieren |
Feeds | DisableFeed | chronicle.feeds.update |
Aktualisieren Sie einen Feed. |
Feeds | ListFeeds | chronicle.feeds.view |
Einen oder mehrere Feeds zurückgeben. |
Feeds | GetFeed | chronicle.feeds.view |
Einen oder mehrere Feeds zurückgeben. |
Schritte zum Migrieren vorhandener Berechtigungen für die Zugriffssteuerung
Nachdem Sie die Schritte zur Migration einer vorhandenen Google SecOps-Instanz ausgeführt haben, können Sie auch die Konfiguration der Zugriffssteuerung für Features migrieren.
Google SecOps bietet automatisch generierte Befehle, mit denen neue IAM-Richtlinien erstellt werden, die der vorherigen funktionsbasierten RBAC entsprechen, die in Google SecOps auf der Seite SIEM-Einstellungen > Nutzer und Gruppen konfiguriert ist.
Achten Sie darauf, dass Sie die erforderlichen Berechtigungen haben, die unter Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps und folgen Sie dann den Schritten unter Vorhandene Berechtigungen und Rollen zu IAM migrieren.
Zuordnung von IAM-Berechtigungen zu jeder Feature-RBAC-Gruppe
Die Zuordnungsinformationen in diesem Abschnitt veranschaulichen einige der Unterschiede. Zugriff auf vordefinierte Rollen vor und nach der Migration. Obwohl Feature-RBAC Rollennamen ähneln vordefinierten IAM-Rollen, die Aktionen auf die die einzelnen Zugriffsrechte jeweils unterschiedlich sind. Dieser Abschnitt bietet eine Einführung einige dieser Unterschiede auf.
Chronicle API Limited Viewer
Diese Rolle gewährt Lesezugriff auf die Google SecOps-Anwendung und API-Ressourcen, mit Ausnahme von Regeln für die Erkennungs-Engine und RetroHunts. Der Rollenname lautet chronicle.limitedViewer
.
Diese Rolle ist neu. Eine detaillierte Liste der Berechtigungen finden Sie im Chronicle API Viewer.
Chronicle API-Betrachter
Diese Rolle bietet Lesezugriff auf die Google SecOps-Anwendung und API
Ressourcen. Der Rollenname lautet chronicle.viewer
.
Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Viewer.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Chronicle API Editor
Mit dieser Rolle können Nutzer den Zugriff auf Google SecOps-Anwendungs- und API-Ressourcen ändern. Der Name der Rolle lautet chronicle.editor
.
Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen der ähnlichen Gruppe Feature RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Editor.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Chronicle API-Administrator
Diese Rolle bietet vollständigen Zugriff auf die Google SecOps-Anwendung und API-Dienste,
einschließlich globaler Einstellungen. Der Rollenname lautet chronicle.admin
.
Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Admin.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |