Zugriffssteuerung für Features mit IAM konfigurieren

Unterstützt in:

Google Security Operations ist in die Identity and Access Management (IAM) von Google Cloud eingebunden, um Google SecOps-spezifische Berechtigungen und vordefinierte Rollen bereitzustellen. Google SecOps-Administratoren können den Zugriff auf Funktionen steuern, indem sie IAM-Richtlinien erstellen, die Nutzer oder Gruppen an vordefinierte Rollen binden, oder benutzerdefinierte IAM-Rollen erstellen. Mit dieser Funktion wird nicht der Zugriff auf bestimmte UDM-Einträge oder Felder in einem UDM-Eintrag gesteuert.

In diesem Dokument wird Folgendes beschrieben:

  • Hier erfahren Sie, wie Google SecOps in IAM eingebunden ist.
  • Hier erfahren Sie, wie sich vordefinierte IAM-Rollen von den ursprünglichen Gruppen der Feature-RBAC unterscheiden.
  • Enthält Schritte zum Migrieren einer Google SecOps-Instanz zu IAM.
  • Hier finden Sie Beispiele dafür, wie Sie Berechtigungen mit IAM zuweisen.
  • Hier finden Sie eine Zusammenfassung der in IAM verfügbaren Berechtigungen und vordefinierten Rollen.

Liste häufig verwendeter Google SecOps-Berechtigungen und Prüfung erstellte Logs finden Sie unter Berechtigungen und API-Methoden nach Ressourcengruppe. Eine Liste aller Google SecOps-Berechtigungen finden Sie unter Referenz zu Identity and Access Management-Berechtigungen.

Möglicherweise migrieren Sie Ihre Google SecOps-Instanzen gerade von der ursprünglichen RBAC-Implementierung. In diesem Dokument wird der Name Feature-RBAC für die zuvor verfügbare funktionsbasierte Zugriffssteuerung verwendet, die nicht über IAM, sondern über Google SecOps konfiguriert wird. IAM wird verwendet, um die funktionsbasierte Zugriffssteuerung zu beschreiben, die Sie mit IAM konfigurieren.

Jede Google SecOps-Berechtigung ist einer Google SecOps API zugeordnet und Methode verwendet. Wenn einem Nutzer oder einer Gruppe eine Berechtigung gewährt wird, kann der Nutzer auf die Funktion in Google SecOps zugreifen und eine Anfrage mit der zugehörigen API-Methode senden.

Google SecOps in IAM einbinden

Zur Verwendung von IAM muss Google SecOps an eine Google Cloud gebunden sein und muss entweder mit Cloud Identity, Google Workspace, oder die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler bei der Authentifizierung zu einem externen Identitätsanbieter übertragen werden. Informationen zum Authentifizierungsablauf von Drittanbietern finden Sie im Hilfeartikel Google SecOps mit einem Identitätsanbieter von Drittanbietern integrieren.

Google SecOps führt die folgenden Schritte aus, um den Zugriff auf Funktionen zu prüfen und zu steuern:

  1. Nach der Anmeldung in Google SecOps greift ein Nutzer auf Google SecOps zu zur Bewerbung. Alternativ kann der Nutzer eine API-Anfrage an Google SecOps senden.
  2. Google SecOps prüft die Berechtigungen, die in den für diesen Nutzer definierten IAM-Richtlinien gewährt wurden.
  3. IAM gibt die Autorisierungsinformationen zurück. Wenn der Nutzer auf eine Anwendungsseite zugreift, ermöglicht Google SecOps nur den Zugriff auf die Funktionen, für die dem Nutzer Zugriff gewährt wurde.
  4. Wenn der Nutzer eine API-Anfrage gesendet hat und nicht berechtigt ist, den angeforderte Aktion enthält die API-Antwort einen Fehler. Andernfalls wird eine Standardantwort zurückgegeben.

Google SecOps bietet eine Reihe vordefinierter Rollen mit festgelegten Berechtigungen die steuern, ob ein Nutzer auf die Funktion zugreifen kann. Die einzelne IAM-Richtlinie steuert den Zugriff auf die Funktion über die Weboberfläche und die API.

Wenn andere Google Cloud-Dienste im Google Cloud-Projekt an Google SecOps und Sie möchten die Nutzer mit der Rolle „Projekt-IAM-Administrator“ einschränken Wenn Sie nur die Google SecOps-Ressourcen ändern möchten, müssen Sie IAM für die Zulassungsrichtlinie hinzugefügt. Weitere Informationen finden Sie unter Nutzern und Gruppen Rollen zuweisen. finden Sie ein Beispiel dafür.

Administratoren passen den Zugriff auf die Google SecOps-Funktionen an die Rolle eines Mitarbeiters in Ihrer Organisation an.

Hinweise

Implementierung planen

Sie erstellen IAM-Richtlinien, die die Bereitstellungsanforderungen Ihrer Organisation unterstützen. Sie können entweder vordefinierte Google SecOps-Rollen oder von Ihnen erstellte benutzerdefinierte Rollen verwenden.

Überprüfen Sie die Liste der vordefinierten Google SecOps-Rollen und -Berechtigungen anhand der folgenden Kriterien: Anforderungen Ihrer Organisation. Legen Sie fest, welche Mitglieder Ihrer Organisation Zugriff auf die einzelnen Google SecOps-Funktionen haben sollen. Wenn Ihre Organisation IAM-Richtlinien benötigt, die sich von den vordefinierten Google SecOps-Rollen unterscheiden, erstellen Sie benutzerdefinierte Rollen, um diese Anforderungen zu erfüllen. Informationen zu Benutzerdefinierte IAM-Rollen, siehe Benutzerdefinierte Rollen erstellen und verwalten

Zusammenfassung der Rollen und Berechtigungen von Google SecOps

In den folgenden Abschnitten finden Sie eine allgemeine Zusammenfassung der vordefinierten Rollen.

Die aktuelle Liste der Google SecOps-Berechtigungen finden Sie in der Referenz für IAM-Berechtigungen. Klicken Sie im Bereich Suchen Sie nach einer Berechtigung und suchen Sie nach dem Begriff chronicle.

Die aktuelle Liste vordefinierter Google SecOps-Rollen finden Sie in Referenz zu einfachen und vordefinierten IAM-Rollen Wählen Sie im Abschnitt Vordefinierte Rollen entweder den Dienst Chronicle API-Rollen aus oder suchen Sie nach dem Begriff chronicle.

Informationen zu API-Methoden und -Berechtigungen finden Sie in der Seiten, auf denen Berechtigungen verwendet werden, und in Cloud-Audit-Logs aufgezeichnete Informationen wenn die API aufgerufen wird, siehe Chronicle-Berechtigungen in IAM.

Vordefinierte Google SecOps-Rollen in IAM

Google Security Operations bietet die folgenden vordefinierten Rollen, wie sie in IAM angezeigt werden.

Vordefinierte Rolle in IAM Titel Beschreibung
roles/chronicle.admin Chronicle API-Administrator Vollständiger Zugriff auf die Google Security Operations-Anwendung und API-Dienste, einschließlich globaler Einstellungen.
roles/chronicle.editor Chronicle API Editor Zugriff auf die Google Security Operations-Anwendung und API-Ressourcen ändern
roles/chronicle.viewer Chronicle API-Betrachter Lesezugriff auf Google Security Operations-Anwendungs- und API-Ressourcen
roles/chronicle.limitedViewer Chronicle API Limited Viewer Gewährt Lesezugriff auf Google Security Operations-Anwendung und API Ressourcen, mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts.

Google SecOps-Berechtigungen in IAM

Google SecOps-Berechtigungen entsprechen genau den Google SecOps-Berechtigungen API-Methoden. Mit jeder Google SecOps-Berechtigung können Sie bei Verwendung der Webanwendung oder der API eine bestimmte Aktion für eine bestimmte Google SecOps-Funktion ausführen. Google SecOps APIs, die mit IAM verwendet werden, befinden sich in der Alpha-Einführungsphase.

Google SecOps-Berechtigungsnamen haben das Format SERVICE.FEATURE.ACTION. Der Berechtigungsname chronicle.dashboards.edit besteht beispielsweise aus Folgendem: Folgendes:

  • chronicle: Der Name des Google SecOps API-Dienstes.
  • dashboards: der Name der Funktion.
  • edit: die Aktion, die für das Element ausgeführt werden kann

Der Name der Berechtigung beschreibt die Aktion, die Sie in Google SecOps für die Funktion ausführen können. Alle Google SecOps-Berechtigungen haben den Dienstnamen chronicle.

Nutzern und Gruppen Rollen zuweisen

In den folgenden Abschnitten finden Sie Beispielanwendungsfälle für das Erstellen von IAM-Richtlinien. Der Begriff <project> steht für die Projekt-ID des Projekts. die Sie an Google SecOps gebunden haben.

Nachdem Sie die Chronicle API aktiviert haben, werden die vordefinierten Google SecOps-Rollen und Berechtigungen sind in IAM verfügbar. Außerdem können Sie um die Anforderungen der Organisation zu erfüllen.

Wenn Sie eine neu erstellte Google SecOps-Instanz haben, erstellen Sie IAM-Richtlinien zur Erfüllung von Organisationsanforderungen

Wenn es sich um eine vorhandene Google SecOps-Instanz handelt, finden Sie unter Google SecOps zur Zugriffssteuerung für Funktionen zu IAM migrieren Informationen zur Migration der Instanz zu IAM.

Beispiel: Rolle „Projekt-IAM-Administrator“ in einem dedizierten Projekt zuweisen

In diesem Beispiel ist das Projekt Ihrer Google SecOps-Instanz zugeordnet. Sie gewähren einem Nutzer die Rolle Projekt-IAM-Administrator, damit er die IAM-Rollenzuweisungen des Projekts gewähren und ändern kann. Der Nutzer kann alle Google SecOps-Rollen und -Berechtigungen verwalten im Projekt und führen Aufgaben aus, die mit der Rolle Project IAM Admin (Projekt-IAM-Administrator) verknüpft sind.

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Geben Sie im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des verwalteten Kontos in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
  7. Klicken Sie auf Speichern.
  8. Öffnen Sie die Seite IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle zugewiesen wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.admin gewährt wird wenn Sie die Mitarbeiteridentitätsföderation verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ersetzen Sie Folgendes:

Im folgenden Beispielbefehl wird gezeigt, wie Sie einer Gruppe die Rolle chronicle.admin gewähren, wenn Sie Cloud Identity oder Google Workspace verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Ersetzen Sie Folgendes:

Beispiel: Rolle „Project IAM Admin“ in einem freigegebenen Projekt zuweisen

In diesem Beispiel wird das Projekt für mehrere Anwendungen verwendet. Sie ist an eine Google SecOps-Instanz und führt Dienste aus, die nicht mit Google SecOps zusammenhängen. Zum Beispiel eine Compute Engine-Ressource, die für einen anderen Zweck verwendet wird.

In diesem Fall können Sie einem Nutzer die Rolle Projekt-IAM-Administrator zuweisen, damit er IAM-Rollenbindungen des Projekts gewähren und ändern und Google SecOps konfigurieren Sie werden auch IAM an die Rollenbindung, um ihren Zugriff auf Google SecOps-bezogene Zugriffe zu beschränken Rollen im Projekt. Dieser Nutzer kann nur Rollen zuweisen, die in der IAM-Bedingung angegeben sind.

Weitere Informationen zu IAM-Bedingungen finden Sie unter Übersicht über IAM-Bedingungen und Bedingte Rollenbindungen verwalten.

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Geben Sie im Dialogfeld <project> Zugriff gewähren im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des Nutzers in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Bereich Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
  7. Klicken Sie auf + IAM-Bedingung hinzufügen.
  8. Geben Sie im Dialogfeld Bedingung hinzufügen die folgenden Informationen ein:
    1. Geben Sie einen Titel für die Bedingung ein.
    2. Wählen Sie den Bedingungseditor aus.
    3. Geben Sie die folgende Bedingung ein:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Klicken Sie im Dialogfeld Bedingung hinzufügen auf Speichern.
  2. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
  3. Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.

Rolle mit der Google Cloud CLI zuweisen

Im folgenden Beispielbefehl wird gezeigt, wie Sie einem Nutzer die Rolle chronicle.admin zuweisen und IAM-Bedingungen anwenden, wenn Sie die Identitätsföderation für die Belegschaft verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ersetzen Sie Folgendes:

Im folgenden Beispiel wird gezeigt, wie Sie einer Gruppe die Rolle chronicle.admin gewähren und IAM-Bedingungen bei Verwendung von Cloud Identity oder Google Workspace anwenden.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ersetzen Sie Folgendes:

Beispiel: Einem Nutzer die Rolle „Chronicle API Editor“ zuweisen

In diesem Fall möchten Sie einem Nutzer die Möglichkeit geben, den Zugriff auf Google SecOps API-Ressourcen zu ändern.

Rolle über die Google Cloud Console zuweisen

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Das Dialogfeld Zugriff auf <project> gewähren wird geöffnet.
  5. Geben Sie im Bereich Hauptkonten hinzufügen in das Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Google SecOps API-Bearbeiter aus.
  7. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
  8. Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.

Rolle über die Google Cloud CLI zuweisen

Im folgenden Beispiel wird gezeigt, wie Sie einem Nutzer die Rolle chronicle.editor gewähren, wenn Sie die Workforce Identity-Föderation verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Ersetzen Sie Folgendes:

  • PROJECT_ID: Die Projekt-ID des Google SecOps-gebundenen Projekts, das Sie unter Google SecOps-Instanz mit Google Cloud-Projekt verknüpfen erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.

  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

    Im folgenden Beispielbefehl wird gezeigt, wie Sie einem Nutzer die Rolle chronicle.editor gewähren, wenn Sie Cloud Identity oder Google Workspace verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für den Workforce-Pool, der für Ihren Identitätsanbieter erstellt wurde.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Beispiel: Benutzerdefinierte Rolle für eine Gruppe erstellen und zuweisen

Wenn die vordefinierten Google SecOps-Rollen nicht die Berechtigungsgruppe für den Anwendungsfall Ihrer Organisation bieten, können Sie eine benutzerdefinierte Rolle erstellen und dieser benutzerdefinierten Rolle Google SecOps-Berechtigungen zuweisen. Weisen Sie die benutzerdefinierte Rolle einem Nutzer oder einer Gruppe zu. Weitere Informationen zu benutzerdefinierten IAM-Rollen Weitere Informationen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

In den folgenden Schritten wird eine benutzerdefinierte Rolle namens LimitedAdmin erstellt.

  1. Erstellen Sie eine YAML- oder JSON-Datei, in der die benutzerdefinierte Rolle LimitedAdmin und die ihr gewährten Berechtigungen definiert werden. Unten sehen Sie eine Beispiel-YAML-Datei.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.getIamPolicy

  2. Erstellen Sie die benutzerdefinierte Rolle. Im folgenden Beispiel für einen gcloud CLI-Befehl zeigt, wie Sie diese benutzerdefinierte Rolle mithilfe der YAML-Datei erstellen, die Sie in aus dem vorherigen Schritt.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
    • YAML_FILE_NAME: der Name der Datei, die Sie im vorherigen Schritt.
    • ROLE_NAME: der Name der benutzerdefinierten Rolle, wie in der YAML-Datei definiert.

  3. Weisen Sie die benutzerdefinierte Rolle mit der Google Cloud CLI zu.

    Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle, limitedAdmin, wenn die Mitarbeiteridentitätsföderation verwendet wird.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ersetzen Sie Folgendes:

    Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle, limitedAdmin bei Verwendung von Cloud Identity oder

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ersetzen Sie Folgendes:

Audit-Logging überprüfen

Nutzeraktionen in Google SecOps und Anfragen an die Google SecOps API werden als Cloud-Audit-Logs aufgezeichnet. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Logs geschrieben werden: führen Sie die folgenden Schritte aus:

  1. Melden Sie sich in Google SecOps als Nutzer mit Berechtigungen für den Zugriff auf alle Funktionen an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
  2. Aktion ausführen, z. B. eine Suche
  3. Verwenden Sie in der Google Cloud Console den Log-Explorer, um die Audit-Logs in der Google SecOps-gebundenes Cloud-Projekt. Google SecOps-Audit-Logs haben den folgenden Dienstnamen: chronicle.googleapis.com.

Weitere Informationen zum Ansehen von Cloud-Audit-Logs finden Sie unter Informationen zum Audit-Logging von Google SecOps.

Im Folgenden sehen Sie ein Beispielprotokoll, das geschrieben wurde, als sich der Nutzer alice@example.com die Liste der Parsererweiterungen in Google SecOps angesehen hat.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Google SecOps für die Feature-Zugriffssteuerung zu IAM migrieren

Anhand der Informationen in diesen Abschnitten können Sie eine vorhandene Google Security Operations-SIEM-Instanz von der bisherigen funktionsbasierten Zugriffssteuerung (Feature RBAC) zu IAM migrieren.

Nach der Migration zu IAM können Sie Aktivitäten in der Google SecOps-Instanz auch mit Cloud-Audit-Logs prüfen.

Unterschiede zwischen Feature-RBAC und IAM

Die Namen der vordefinierten IAM-Rollen ähneln zwar den Gruppen der Feature-RBAC, sie gewähren jedoch nicht denselben Funktionszugriff wie die ursprünglichen Feature-RBAC-Gruppen. Berechtigungen IAM-Rollen zugewiesen sind, unterscheiden sich geringfügig. Weitere Informationen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen ursprünglichen Feature-RBAC-Gruppen

Sie können die vordefinierten Rollen von Google SecOps unverändert verwenden, die in den einzelnen vordefinierten Rollen definierten Berechtigungen ändern oder benutzerdefinierte Rollen erstellen und ihnen eine andere Berechtigungsgruppe zuweisen.

Nachdem Sie die Google SecOps-Instanz migriert haben, verwalten Sie Rollen, Berechtigungen und IAM-Richtlinien mit IAM in der Google Cloud Console. Die folgenden Google SecOps-Anwendungsseiten wurden geändert, um Nutzer zur Google Cloud Console weiterzuleiten:

  • Nutzer und Gruppen
  • Rollen

Bei der Funktions-RBAC wird jede Berechtigung durch den Funktionsnamen und eine Aktion beschrieben. IAM-Berechtigungen werden durch den Ressourcennamen und die Methode beschrieben. In der folgenden Tabelle wird der Unterschied anhand von zwei Beispielen veranschaulicht, eines für Dashboards und eines für Feeds.

  • Dashboard-Beispiel: Zur Steuerung des Zugriffs auf Dashboards bietet Feature-RBAC fünf Aktionen die Sie auf Dashboards durchführen können. IAM bietet ähnliche Berechtigungen mit eine zusätzliche dashboards.list, mit der ein Nutzer verfügbare Dashboards auflisten kann.

  • Beispiel für Feeds: Zur Steuerung des Zugriffs auf Feeds bietet die Funktion „RBAC“ sieben Aktionen, die Sie aktivieren oder deaktivieren können. Bei IAM gibt es vier: feeds.delete, feeds.create, feeds.update und feeds.view.

Funktion Berechtigung in Feature-RBAC IAM-Berechtigung Beschreibung der Nutzeraktion
Dashboards Bearbeiten chronicle.dashboards.edit Dashboards bearbeiten
Dashboards Kopieren chronicle.dashboards.copy Dashboards kopieren
Dashboards Erstellen chronicle.dashboards.create Dashboards erstellen
Dashboards Planen chronicle.dashboards.schedule Berichte planen
Dashboards Löschen chronicle.dashboards.delete Berichte löschen
Dashboards – Diese Funktion ist nur in IAM verfügbar. chronicle.dashboards.list Verfügbare Dashboards auflisten
Feeds DeleteFeed chronicle.feeds.delete Feed löschen
Feeds CreateFeed chronicle.feeds.create Erstellen Sie einen Feed.
Feeds UpdateFeed chronicle.feeds.update Feed aktualisieren
Feeds EnableFeed chronicle.feeds.update Feed aktualisieren
Feeds DisableFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Feeds ListFeeds chronicle.feeds.view Einen oder mehrere Feeds zurückgeben.
Feeds GetFeed chronicle.feeds.view Einen oder mehrere Feeds zurückgeben.

Schritte zum Migrieren vorhandener Berechtigungen für die Zugriffssteuerung

Nachdem Sie die Schritte zur Migration einer vorhandenen Google SecOps-Instanz ausgeführt haben, können Sie auch die Konfiguration der Zugriffssteuerung für Features migrieren.

Google SecOps bietet automatisch generierte Befehle, mit denen neue IAM-Richtlinien erstellt werden, die der vorherigen funktionsbasierten RBAC entsprechen, die in Google SecOps auf der Seite SIEM-Einstellungen > Nutzer und Gruppen konfiguriert ist.

Achten Sie darauf, dass Sie die erforderlichen Berechtigungen haben, die unter Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps und folgen Sie dann den Schritten unter Vorhandene Berechtigungen und Rollen zu IAM migrieren.

Zuordnung von IAM-Berechtigungen zu jeder Feature-RBAC-Gruppe

Die Zuordnungsinformationen in diesem Abschnitt veranschaulichen einige der Unterschiede. Zugriff auf vordefinierte Rollen vor und nach der Migration. Obwohl Feature-RBAC Rollennamen ähneln vordefinierten IAM-Rollen, die Aktionen auf die die einzelnen Zugriffsrechte jeweils unterschiedlich sind. Dieser Abschnitt bietet eine Einführung einige dieser Unterschiede auf.

Chronicle API Limited Viewer

Diese Rolle gewährt Lesezugriff auf die Google SecOps-Anwendung und API-Ressourcen, mit Ausnahme von Regeln für die Erkennungs-Engine und RetroHunts. Der Rollenname lautet chronicle.limitedViewer.

Diese Rolle ist neu. Eine detaillierte Liste der Berechtigungen finden Sie im Chronicle API Viewer.

Chronicle API-Betrachter

Diese Rolle bietet Lesezugriff auf die Google SecOps-Anwendung und API Ressourcen. Der Rollenname lautet chronicle.viewer.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Viewer.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in IAM only.
chronicle.operations.list None. This is available in IAM only.
chronicle.operations.wait None. This is available in IAM only.
chronicle.instances.report None. This is available in IAM only.
chronicle.collectors.get None. This is available in IAM only.
chronicle.collectors.list None. This is available in IAM only.
chronicle.forwarders.generate None. This is available in IAM only.
chronicle.forwarders.get None. This is available in IAM only.
chronicle.forwarders.list None. This is available in IAM only.

Chronicle API Editor

Mit dieser Rolle können Nutzer den Zugriff auf Google SecOps-Anwendungs- und API-Ressourcen ändern. Der Name der Rolle lautet chronicle.editor.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen der ähnlichen Gruppe Feature RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Editor.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in IAM only.

Chronicle API-Administrator

Diese Rolle bietet vollständigen Zugriff auf die Google SecOps-Anwendung und API-Dienste, einschließlich globaler Einstellungen. Der Rollenname lautet chronicle.admin.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Admin.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in IAM only.
chronicle.collectors.delete None. This is available in IAM only.
chronicle.collectors.update None. This is available in IAM only.
chronicle.forwarders.create None. This is available in IAM only.
chronicle.forwarders.delete None. This is available in IAM only.
chronicle.forwarders.update None. This is available in IAM only.
chronicle.parsingErrors.list None. This is available in IAM only.