Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Google Security Operations s'intègre à Google Cloud Identity and Access Management (IAM) pour fournir des autorisations spécifiques à Google SecOps et rôles prédéfinis. Les administrateurs Google SecOps peuvent contrôler l'accès aux fonctionnalités en créant des stratégies IAM utilisateurs ou groupes à des rôles prédéfinis, ou créer des rôles IAM personnalisés. Cette fonctionnalité ne contrôle pas l'accès à des enregistrements UDM ou à des champs spécifiques d'un enregistrement UDM.
Ce document effectue les opérations suivantes:
- Décrit comment Google SecOps s'intègre à IAM.
- Explique en quoi les rôles prédéfinis IAM diffèrent des groupes RBAC des fonctionnalités d'origine.
- Fournit la procédure à suivre pour migrer une instance Google SecOps vers IAM.
- Fournit des exemples d'attribution d'autorisations à l'aide d'IAM.
- Résume les autorisations et les rôles prédéfinis disponibles dans IAM.
Pour obtenir la liste des autorisations Google SecOps couramment utilisées et l'audit les journaux qu'ils produisent, consultez la section Autorisations et méthodes d'API par groupe de ressources. Pour obtenir la liste de toutes les autorisations Google SecOps, consultez Documentation de référence sur les autorisations Identity and Access Management
Vous êtes peut-être en train de migrer vos instances Google SecOps de l'implémentation initiale du RBAC. Dans ce document, le nom Feature RBAC est utilisé en référence au contrôle des accès basé sur les fonctionnalités, disponible auparavant configuré à l'aide de Google SecOps, et non d'IAM. IAM est utilisé pour décrire le contrôle des accès basé sur les caractéristiques que vous configurez à l'aide d'IAM.
Chaque autorisation Google SecOps est associée à une API Google SecOps la ressource et la méthode. Lorsqu'un utilisateur ou un groupe obtient une autorisation, il peut accéder à la fonctionnalité dans Google SecOps et envoyer une requête à l'aide de la méthode API associée.
Intégration de Google SecOps à IAM
Pour que vous puissiez utiliser IAM, Google SecOps doit être lié à un et doit être configurée avec Cloud Identity, Google Workspace, ou la fédération des identités des employés de Google Cloud en tant qu'intermédiaire vers un fournisseur d'identité tiers. Pour en savoir plus sur l'authentification tierce, consultez Intégrer Google SecOps à un fournisseur d'identité tiers.
Google SecOps effectue les étapes suivantes pour vérifier et contrôler l'accès aux fonctionnalités:
- Après s'être connecté à Google SecOps, un utilisateur accède à de l'application. L'utilisateur peut également envoyer une requête API à Google SecOps.
- Google SecOps vérifie les autorisations accordées dans le définies pour cet utilisateur.
- IAM renvoie les informations d'autorisation. Si l'utilisateur a accédé une page d'application, Google SecOps ne permet d'accéder qu'aux fonctionnalités auquel l'utilisateur a accès.
- Si l'utilisateur a envoyé une requête API et qu'il n'est pas autorisé à effectuer l'opération l'action demandée, la réponse de l'API inclut une erreur. Sinon, une réponse standard est renvoyée.
Google SecOps fournit un ensemble de rôles prédéfinis avec un ensemble défini d'autorisations qui contrôlent l'accès d'un utilisateur à la fonctionnalité. La stratégie IAM unique contrôle l'accès à la fonctionnalité à l'aide de l'interface Web et de l'API.
Si d'autres services Google Cloud dans le projet Google Cloud sont liés à Google SecOps, et que vous souhaitez limiter un utilisateur doté du rôle d'administrateur IAM de projet modifier uniquement les ressources Google SecOps, veillez à ajouter à la règle d'autorisation. Consultez Attribuer des rôles à des utilisateurs et à des groupes. pour obtenir un exemple.
Les administrateurs adaptent l'accès aux fonctionnalités Google SecOps en fonction des au sein de votre organisation.
Avant de commencer
- Assurez-vous de bien connaître Cloud Shell, la commande gcloud CLI et la console Google Cloud.
- Familiarisez-vous avec IAM, y compris avec les concepts suivants:
- Présentation d'IAM
- Présentation des rôles et autorisations et des rôles prédéfinis par rapport aux rôles personnalisés, et à la création de rôles personnalisés.
- Conditions IAM
- Suivez toutes les étapes de la section Associer Google SecOps à un projet Google Cloud. pour configurer un projet associé à Google SecOps.
- Configurez votre fournisseur d'identité à l'aide de l'une des méthodes suivantes:
- Configurer un fournisseur d'identité Google Cloud
- Suivez toutes les étapes de la section Intégrer Google SecOps à un fournisseur d'identité tiers pour configurer l'authentification via un fournisseur d'identité tiers.
- Liez un projet à votre instance Google SecOps et configurez le fournisseur d'identité.
- Assurez-vous de disposer des autorisations nécessaires pour effectuer les étapes décrites dans ce document. Pour en savoir plus sur les autorisations requises pour chaque phase du processus d’intégration, consultez la section Rôles requis.
Planifier l'implémentation
Vous créez des stratégies IAM qui sont compatibles avec le les exigences de déploiement. Vous pouvez utiliser les rôles prédéfinis Google SecOps ou des rôles personnalisés que vous créez.
Examinez la liste des rôles et autorisations Google SecOps prédéfinis par rapport les exigences de votre organisation. Identifier les membres de votre organisation qui doivent ont accès à chaque fonctionnalité Google SecOps. Si votre organisation a besoin Stratégies IAM différentes des stratégies Google SecOps prédéfinies vous pouvez créer des rôles personnalisés pour répondre à ces exigences. Pour en savoir plus sur les rôles personnalisés IAM, consultez Créer et gérer des rôles personnalisés
Récapitulatif des rôles et autorisations Google SecOps
Les sections suivantes fournissent un résumé général des rôles prédéfinis.
Vous trouverez la liste la plus récente des autorisations Google SecOps dans
Documentation de référence sur les autorisations IAM Dans la section
Dans la section Recherchez une autorisation, recherchez le terme chronicle
.
La liste la plus récente des rôles Google SecOps prédéfinis se trouve dans
Documentation de référence sur les rôles de base et prédéfinis IAM Au-dessous
la section Rôles prédéfinis, sélectionnez le service Rôles API Chronicle
ou recherchez le terme chronicle
.
Pour en savoir plus sur les méthodes et les autorisations de l'API, consultez pages où des autorisations sont utilisées et informations enregistrées dans Cloud Audit Logs lorsque l'API est appelée, consultez la section Autorisations Chronicle dans IAM.
Rôles prédéfinis Google SecOps dans IAM
Google Security Operations fournit les rôles prédéfinis suivants, tels qu'ils apparaissent dans IAM.
Rôle prédéfini dans IAM | Titre | Description |
---|---|---|
roles/chronicle.admin |
Administrateur de l'API Chronicle | Accès complet à l'application et aux services d'API Google Security Operations, y compris les paramètres généraux. |
roles/chronicle.editor |
Éditeur de l'API Chronicle | Accès permettant de modifier l'application Google Security Operations et les ressources d'API. |
roles/chronicle.viewer |
Lecteur de l'API Chronicle | Accès en lecture seule à l'application et aux ressources d'API Google Security Operations |
roles/chronicle.limitedViewer |
Lecteur limité de l'API Chronicle | Accorde un accès en lecture seule à l'application et à l'API Google Security Operations à l'exception des règles de détection du moteur et des recherches rétroactives. |
Autorisations Google SecOps dans IAM
Les autorisations Google SecOps correspondent individuellement à Google SecOps méthodes d'API Google Cloud. Chaque autorisation Google SecOps permet d'effectuer une action spécifique fonctionnalité Google SecOps spécifique lors de l'utilisation de l'application Web ou de l'API. Les API Google SecOps utilisées avec IAM sont en phase de lancement alpha.
Les noms des autorisations Google SecOps sont au format SERVICE.FEATURE.ACTION
.
Par exemple, le nom d'autorisation chronicle.dashboards.edit
est composé des
suivantes:
chronicle
: nom de service de l'API Google SecOps.dashboards
: nom de la fonctionnalité.edit
: action pouvant être effectuée sur la caractéristique
Le nom de l'autorisation décrit l'action que vous pouvez effectuer sur l'élément géographique dans
Google SecOps. Toutes les autorisations Google SecOps disposent du nom de service chronicle
.
Attribuer des rôles aux utilisateurs et aux groupes
Les sections suivantes fournissent des exemples de cas d'utilisation pour créer des rôles IAM
règles. Le terme <project>
est utilisé pour représenter l'ID du projet.
que vous avez liés à Google SecOps.
Une fois l'API Chronicle activée, les rôles prédéfinis Google SecOps et autorisations sont disponibles dans IAM, et vous pouvez créer des stratégies pour répondre aux exigences de l'organisation.
Si vous venez de créer une instance Google SecOps, commencez par créer pour répondre aux exigences de l'organisation.
S'il s'agit d'une instance Google SecOps existante, consultez Migrer Google SecOps vers IAM pour le contrôle des accès aux fonctionnalités. pour en savoir plus sur la migration de l'instance vers IAM.
Exemple: Attribuer le rôle d'administrateur IAM de projet dans un projet dédié
Dans cet exemple, le projet est dédié à votre instance Google SecOps. Vous accordez à l'administrateur IAM du projet à un utilisateur afin qu'il puisse accorder et modifier le rôle IAM du projet et liaisons IAM. L'utilisateur peut administrer tous les rôles et autorisations Google SecOps du projet et effectuer les tâches attribuées par le rôle Administrateur IAM de projet.
Attribuer le rôle à l'aide de la console Google Cloud
Les étapes suivantes décrivent comment attribuer un rôle à un utilisateur à l'aide de la console Google Cloud.
- Ouvrez la console Google Cloud.
- Sélectionnez le projet associé à Google SecOps.
- Sélectionnez IAM et Administrateur.
- Sélectionnez Accorder l'accès. La fenêtre Accorder l'accès à
<project>
s'affiche. - Dans la section Ajouter des comptes principaux, saisissez l'adresse e-mail du compte géré dans le champ Nouveaux comptes principaux.
- Dans le menu Sélectionnez un rôle de la section Attribuer des rôles, sélectionnez le rôle Administrateur IAM de projet.
- Cliquez sur Enregistrer.
- Ouvrez la page IAM > Autorisations pour vérifier que le rôle approprié a été attribué à l'utilisateur.
Attribuer le rôle à l'aide de la Google Cloud CLI
L'exemple de commande suivant montre comment attribuer le rôle chronicle.admin
à un utilisateur
lors de l'utilisation de la fédération des identités des employés.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant du pool d'employés créé pour votre fournisseur d'identité.USER_EMAIL
: Adresse e-mail de l'utilisateur.
L'exemple de commande suivant montre comment attribuer le rôle chronicle.admin
à un groupe
lorsque vous utilisez Cloud Identity ou Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "user:USER_EMAIL" \
--role=roles/chronicle.admin
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.USER_EMAIL
: Adresse e-mail de l'utilisateur.
Exemple: Attribuer le rôle d'administrateur IAM de projet dans un projet partagé
Dans cet exemple, le projet est utilisé pour plusieurs applications. Elle est liée à un Google SecOps et exécute des services sans rapport avec Google SecOps. Par exemple, une ressource Compute Engine utilisée à d'autres fins.
Dans ce cas, vous pouvez attribuer le rôle Administrateur IAM de projet à un utilisateur pour qu'il puisse accorder et modifier les liaisons de rôles IAM du projet, et configurer Google SecOps. Vous ajouterez également à la liaison de rôle pour limiter leur accès aux ressources dans le projet. Cet utilisateur ne peut attribuer que les rôles spécifiés dans la condition IAM.
Pour en savoir plus sur les conditions IAM, consultez Présentation des conditions IAM Gérer les liaisons de rôles conditionnelles
Attribuer le rôle à l'aide de la console Google Cloud
Les étapes suivantes décrivent comment attribuer un rôle à un utilisateur à l'aide de la console Google Cloud.
- Ouvrez la console Google Cloud.
- Sélectionnez le projet associé à Google SecOps.
- Sélectionnez IAM et Administrateur.
- Sélectionnez Accorder l'accès. La fenêtre Accorder l'accès à
<project>
s'affiche. - Dans la boîte de dialogue Accorder l'accès à
<project>
, sous la section Ajouter des comptes principaux, procédez comme suit : saisissez l'adresse e-mail de l'utilisateur dans le champ Nouveaux comptes principaux. - Dans le menu Sélectionnez un rôle de la section Attribuer des rôles, sélectionnez le rôle rôle Administrateur IAM de projet.
- Cliquez sur + Ajouter une condition IAM.
- Dans la boîte de dialogue Ajouter une condition, saisissez les informations suivantes:
- Saisissez un titre pour la condition.
- Sélectionnez l'éditeur de conditions.
- Saisissez la condition suivante:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- Cliquez sur Enregistrer dans la boîte de dialogue Ajouter une condition.
- Cliquez sur Enregistrer dans la boîte de dialogue Accorder l'accès à
<project>
. - Ouvrez la page IAM > Autorisations pour vérifier que le rôle approprié a été attribué à l'utilisateur.
Attribuer le rôle à l'aide de la Google Cloud CLI
L'exemple de commande suivant montre comment accorder le rôle chronicle.admin
à un utilisateur
et appliquer des conditions IAM lorsque vous utilisez la fédération des identités des employés.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant de l'effectif créé pour votre fournisseur d'identité.USER_EMAIL
: Adresse e-mail de l'utilisateur.
L'exemple de commande suivant montre comment attribuer le rôle chronicle.admin
à un groupe.
et appliquer des conditions IAM lorsque vous utilisez Cloud Identity ou Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.USER_EMAIL
: adresse e-mail de l'utilisateur, par exemplebob@example.com
.
Exemple: Attribuer le rôle d'éditeur de l'API Chronicle à un utilisateur
Dans ce cas, vous souhaitez autoriser un utilisateur à modifier l'accès aux ressources de l'API Google SecOps.
Attribuer le rôle à l'aide de la console Google Cloud
- Ouvrez la console Google Cloud.
- Sélectionnez le projet associé à Google SecOps.
- Sélectionnez IAM et Administrateur.
- Sélectionnez Accorder l'accès. La boîte de dialogue Accorder l'accès à
<project>
s'ouvre. - Dans le champ Nouveaux comptes principaux de la section Ajouter des comptes principaux, saisissez l'adresse e-mail de l'utilisateur.
- Dans la section Attribuer des rôles, dans le menu Sélectionner un rôle, sélectionnez le rôle Éditeur de l'API Google SecOps.
- Cliquez sur Enregistrer dans la boîte de dialogue Accorder l'accès à
<project>
. - Ouvrez la page IAM > Autorisations pour vérifier que le rôle approprié a été attribué à l'utilisateur.
Attribuer le rôle à l'aide de la Google Cloud CLI
L'exemple de commande suivant montre comment attribuer le rôle chronicle.editor
à un utilisateur
lors de l'utilisation de la fédération des identités des employés.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant du pool d'employés créé pour votre fournisseur d'identité.USER_EMAIL
: Adresse e-mail de l'utilisateur.L'exemple de commande suivant montre comment attribuer le rôle
chronicle.editor
à un utilisateur lorsque vous utilisez Cloud Identity ou Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.editor
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant du pool d'employés créé pour votre fournisseur d'identité.USER_EMAIL
: Adresse e-mail de l'utilisateur.
Exemple: Créer et attribuer un rôle personnalisé à un groupe
Si les rôles prédéfinis Google SecOps ne fournissent pas le groupe d'autorisations qui répondent au cas d'utilisation de votre organisation, vous pouvez créer un rôle personnalisé les autorisations Google SecOps à ce rôle personnalisé. Vous attribuez le rôle personnalisé à un utilisateur ou à un groupe. Pour en savoir plus sur les rôles personnalisés IAM, consultez Créer et gérer des rôles personnalisés.
Les étapes suivantes vous permettent de créer un rôle personnalisé appelé LimitedAdmin
.
Créez un fichier YAML ou JSON qui définit le rôle personnalisé, appelé
LimitedAdmin
, et les autorisations accordées à ce rôle. Voici un exemple de fichier YAML.title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy
Créez le rôle personnalisé. Voici un exemple de commande de gcloud CLI montre comment créer ce rôle personnalisé à l'aide du fichier YAML que vous avez créé dans à l'étape précédente.
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.YAML_FILE_NAME
: nom du fichier que vous avez créé dans le à l'étape précédente.ROLE_NAME
: nom du rôle personnalisé tel que défini dans le fichier YAML.
Attribuez le rôle personnalisé à l'aide de la Google Cloud CLI.
L'exemple de commande suivant montre comment accorder à un groupe d'utilisateurs le rôle rôle personnalisé,
limitedAdmin
lors de l'utilisation de la fédération des identités des employés.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant du pool d'employés créé pour votre fournisseur d'identité.GROUP_ID
: identifiant de groupe créé dans les équipes la fédération d'identité. Pour en savoir plus, consultez Représenter les utilisateurs du pool d'employés dans les stratégies IAM. sur l'identifiant de groupe créé dans les instances la fédération d'identité. Pour en savoir plus, consultez Représenter les utilisateurs du pool d'employés dans les stratégies IAM. concernantGROUP_ID
.
L'exemple de commande suivant montre comment accorder à un groupe d'utilisateurs le rôle rôle personnalisé,
limitedAdmin
lorsque vous utilisez Cloud Identity ou .gcloud projects add-iam-policy-binding PROJECT_ID \ --member=groupid:GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet lié à Google SecOps du projet que vous avez créé dans la section Lier une instance Google SecOps à un projet Google Cloud. Consultez Créer et gérer des projets. pour obtenir la description des champs qui identifient un projet.WORKFORCE_POOL_ID
: identifiant du pool d'employés créé pour votre fournisseur d'identité.GROUP_ID
: identifiant de groupe créé dans les équipes la fédération d'identité. Pour en savoir plus, consultez Représenter les utilisateurs du pool d'employés dans les stratégies IAM. sur l'identifiant de groupe créé dans les instances la fédération d'identité. Pour en savoir plus, consultez Représenter les utilisateurs du pool d'employés dans les stratégies IAM. concernantGROUP_ID
.
Vérifier les journaux d'audit
Actions des utilisateurs dans Google SecOps et requêtes adressées à l'API Google SecOps sont enregistrés sous forme de journaux Cloud Audit Logs. Pour vérifier que les journaux sont bien écrits, exécutez procédez comme suit:
- Connectez-vous à Google SecOps en tant qu'utilisateur disposant de droits d'accès aux fonctionnalités. Pour en savoir plus, consultez Se connecter à Google SecOps.
- effectuer une action, comme effectuer une recherche ;
- Dans la console Google Cloud, utilisez l'explorateur de journaux pour afficher les journaux d'audit dans
projet Cloud lié à Google SecOps. Les journaux d'audit Google SecOps disposent
le nom de service suivant
chronicle.googleapis.com
.
Pour en savoir plus sur l'affichage des journaux Cloud Audit Logs, consultez les informations sur les journaux d'audit Google SecOps.
Voici un exemple de journal écrit lorsque l'utilisateur alice@example.com
consulté la liste des extensions d'analyseur dans Google SecOps.
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
Migrer Google SecOps vers IAM pour contrôle des accès aux fonctionnalités
Utilisez les informations de ces sections pour migrer un SIEM Google Security Operations existant du précédent contrôle des accès basé sur les fonctionnalités (Feature RBAC) vers IAM.
Après avoir migré vers IAM, vous pouvez également auditer l'activité sur le Instance Google SecOps à l'aide de Cloud Audit Logs
Différences entre le contrôle des fonctionnalités RBAC et IAM
Bien que les noms des rôles prédéfinis IAM soient semblables à ceux du rôle Feature RBAC les rôles IAM prédéfinis, fournir un accès aux fonctionnalités identique à celui des groupes RBAC aux fonctionnalités d'origine ; Les autorisations attribuées à chaque rôle IAM prédéfini sont légèrement différentes. Pour en savoir plus, consultez Correspondance entre les autorisations IAM et chaque groupe de fonctionnalités RBAC d'origine
Vous pouvez utiliser les rôles prédéfinis Google SecOps tels quels, modifier le les autorisations définies dans chaque rôle prédéfini, ou créer des rôles personnalisés et attribuer un ensemble différent d'autorisations.
Une fois l'instance Google SecOps migrée, vous gérez les rôles, les autorisations et des stratégies IAM à l'aide d'IAM dans la console Google Cloud. Les pages suivantes de l'application Google SecOps ont été modifiées pour rediriger les utilisateurs vers la console Google Cloud:
- Utilisateurs et Groupes
- Rôles
Dans RBAC des fonctionnalités, chaque autorisation est décrite par le nom de la fonctionnalité et une action. Les autorisations IAM sont décrites par le nom de ressource et de la méthode. Le tableau suivant illustre la différence avec deux exemples : l'une liée aux tableaux de bord et l'autre aux flux.
Exemple de tableau de bord: pour contrôler l'accès aux tableaux de bord, la fonctionnalité RBAC fournit cinq actions que vous pouvez effectuer sur les tableaux de bord. IAM fournit des autorisations similaires un autre,
dashboards.list
, qui permet à un utilisateur de lister les tableaux de bord disponibles.Exemple de flux: pour contrôler l'accès aux flux, la fonctionnalité RBAC fournit que vous pouvez activer ou désactiver. IAM en comporte quatre:
feeds.delete
,feeds.create
,feeds.update
etfeeds.view
.
Caractéristique | Autorisation dans Fonctionnalités RBAC | Autorisation IAM | Description de l'action utilisateur |
---|---|---|---|
Tableaux de bord | Modifier | chronicle.dashboards.edit |
Modifier les tableaux de bord |
Tableaux de bord | Copier | chronicle.dashboards.copy |
Copier les tableaux de bord |
Tableaux de bord | Créer | chronicle.dashboards.create |
Créer des tableaux de bord |
Tableaux de bord | Planification | chronicle.dashboards.schedule |
Planifier des rapports |
Tableaux de bord | Supprimer | chronicle.dashboards.delete |
Supprimer les rapports |
Tableaux de bord | Aucun Cette option n'est disponible que dans IAM. | chronicle.dashboards.list |
Lister les tableaux de bord disponibles |
Flux | DeleteFeed | chronicle.feeds.delete |
Supprimer un flux. |
Flux | CreateFeed | chronicle.feeds.create |
Créez un flux. |
Flux | UpdateFeed | chronicle.feeds.update |
Mettre à jour un flux |
Flux | EnableFeed | chronicle.feeds.update |
Mettre à jour un flux |
Flux | DisableFeed | chronicle.feeds.update |
Mettre à jour un flux |
Flux | ListFeeds | chronicle.feeds.view |
Renvoyez un ou plusieurs flux. |
Flux | GetFeed | chronicle.feeds.view |
Renvoyez un ou plusieurs flux. |
Procédure de migration des autorisations de contrôle des accès existantes
Après avoir suivi la procédure de migration d'une instance Google SecOps existante, vous pouvez également migrer votre configuration du contrôle des accès aux fonctionnalités.
Google SecOps fournit des commandes générées automatiquement les stratégies IAM équivalentes à votre précédent contrôle RBAC basé sur les fonctionnalités, configuré dans Google SecOps, dans la section Paramètres SIEM > Utilisateurs et groupes.
Assurez-vous de disposer des autorisations requises décrites dans Configurez un projet Google Cloud pour Google SecOps, puis suivez la procédure décrite dans Migrer les autorisations et les rôles existants vers IAM.
Correspondance entre les autorisations IAM et chaque groupe RBAC des fonctionnalités
Les informations de mappage de cette section illustrent certaines des différences pour les rôles prédéfinis avant et après la migration. Bien que le contrôle des fonctionnalités sont semblables aux rôles prédéfinis IAM, les actions auxquelles chacun donne accès sont différents. Cette section fournit une introduction à certaines de ces différences.
Lecteur limité de l'API Chronicle
Ce rôle accorde un accès en lecture seule à l'application Google SecOps et aux ressources d'API,
à l'exclusion des règles du moteur
de détection et des recherches rétroactives. Le nom du rôle est chronicle.limitedViewer
.
Ce rôle est nouveau. Pour obtenir la liste détaillée des autorisations, consultez la page Lecteur de l'API Chronicle.
Lecteur de l'API Chronicle
Ce rôle fournit un accès en lecture seule à l'application et à l'API Google SecOps
ressources. Le nom du rôle est chronicle.viewer
.
Les autorisations suivantes illustrent certaines des différences entre les autorisations Groupe RBAC et IAM. Pour obtenir la liste détaillée des autorisations, consultez la page Lecteur de l'API Chronicle.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Éditeur de l'API Chronicle
Ce rôle permet aux utilisateurs de modifier l'accès à l'application et à l'API Google SecOps
ressources. Le nom du rôle est chronicle.editor
.
Les autorisations suivantes illustrent certaines des différences entre les autorisations Groupe RBAC et IAM. Pour obtenir la liste détaillée des autorisations, consultez la page Éditeur de l'API Chronicle.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Administrateur de l'API Chronicle
Ce rôle fournit un accès complet à l'application Google SecOps et aux services d'API,
y compris les paramètres généraux. Le nom du rôle est chronicle.admin
.
Les autorisations suivantes illustrent certaines des différences entre les autorisations Groupe RBAC et IAM. Pour obtenir la liste détaillée des autorisations, consultez Administrateur de l'API Chronicle.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |