使用 IAM 配置功能访问权限控制
Google 安全运营与 Google Cloud Identity and Access Management (IAM) 集成,以提供 Google SecOps 专用权限和预定义角色。Google SecOps 管理员可以 通过创建 IAM 政策, 用户或群组更改为预定义角色,或创建自定义 IAM 角色。 此功能无法控制对特定 UDM 记录或 UDM 记录中字段的访问权限。
本文档将执行以下操作:
- 介绍 Google SecOps 如何与 IAM 集成。
- 介绍 IAM 预定义角色与原始功能 RBAC 群组有何不同。
- 提供将 Google SecOps 实例迁移到 IAM 的步骤。
- 提供如何使用 IAM 分配权限的示例。
- 总结了 IAM 中提供的权限和预定义角色。
获取常用 Google SecOps 权限和审核的列表 请参阅权限和 API 方法(按资源组)。 如需查看所有 Google SecOps 权限的列表,请参阅 Identity and Access Management 权限参考文档。
您可能正在迁移 Google SecOps 实例 原始特征 RBAC 实现。在本文档中,当提及之前使用 Google SecOps(而非 IAM)配置的基于功能的访问控制时,使用功能 RBAC 这一名称。IAM 用于描述基于功能的访问权限控制 使用 IAM 进行配置
每项 Google SecOps 权限都与一个 Google SecOps API 相关联 资源和方法。向用户或群组授予权限后,用户可以 访问 Google SecOps 中的功能,并使用相关的 API 方法发送请求。
Google SecOps 如何与 IAM 集成
如需使用 IAM,Google SecOps 必须绑定到 Google Cloud 项目,并且必须使用 Cloud Identity、Google Workspace、 或 Google Cloud 员工身份联合,作为身份验证的中间方 将流程发送到第三方身份提供方如需了解第三方身份验证流程,请参阅将 Google SecOps 与第三方身份提供方集成。
Google SecOps 会执行以下步骤来验证和控制对功能的访问权限:
- 登录 Google SecOps 后,用户会访问 Google SecOps 应用页面。或者,用户也可以向 Google SecOps 发送 API 请求。
- Google SecOps 会验证在 IAM 中授予的权限 为该用户定义的政策
- IAM 会返回授权信息。如果用户访问 Google SecOps 仅允许访问那些 该用户已被授予访问权限。
- 如果用户发送了 API 请求,但无权执行 请求的操作,API 响应会包含错误。否则,系统会返回标准响应。
Google SecOps 提供一组预定义角色以及一组指定权限 用于控制用户能否访问相应功能单个 IAM 政策用于控制对该功能的 Web 界面和 API 访问权限。
如果 Google Cloud 项目中有其他 Google Cloud 服务绑定到 Google SecOps,并且您希望限制具有 Project IAM Admin 角色的用户 如仅修改 Google SecOps 资源,请务必将 IAM 允许政策请参阅为用户和群组分配角色 ,了解有关具体操作方法的示例。
管理员可以根据员工的个人权限量身定制对 Google SecOps 功能的访问权限 组织中的角色
准备工作
- 确保您熟悉 Cloud Shell、 gcloud CLI 命令和 Google Cloud 控制台。
- 熟悉 IAM,包括以下概念:
- 执行将 Google SecOps 绑定到 Google Cloud 项目中的所有步骤 设置一个绑定到 Google SecOps 的项目。
- 使用以下任一方法配置身份提供方:
- 配置 Google Cloud 身份提供方
- 执行将 Google SecOps 与第三方身份提供方集成中的所有步骤,通过第三方身份提供方 (IdP) 设置身份验证。
- 将项目绑定到您的 Google SecOps 实例并配置身份提供方。
- 请确保您有权执行本文档中的步骤。 如需了解新手入门流程各个阶段所需的权限, 请参阅所需的角色。
制定实施计划
您可以创建 IAM 政策来支持您组织的 部署要求您可以使用 Google SecOps 预定义角色或 您创建的自定义角色
查看 Google SecOps 预定义角色和权限列表 您的组织要求确定贵组织中的哪些成员 有权访问每项 Google SecOps 功能。如果贵组织要求 与预定义的 Google SecOps 不同的 IAM 政策 角色,请创建自定义角色以满足这些要求。有关 IAM 自定义角色,请参阅 创建和管理自定义角色。
Google SecOps 角色和权限摘要
以下部分简要介绍了预定义角色。
如需查看最新的 Google SecOps 权限列表,请参阅 IAM 权限参考文档。在搜索权限部分下,搜索字词 chronicle。
如需查看最新的预定义 Google SecOps 角色列表,请参阅 IAM 基本角色和预定义角色参考文档。低于
预定义角色部分,选择 Chronicle API 角色服务
或搜索字词 chronicle。
有关 API 方法和权限的信息, 使用权限的页面,以及 Cloud Audit Logs 中记录的信息 请参阅 IAM 中的 Chronicle 权限。
IAM 中的 Google SecOps 预定义角色
Google Security Operations 提供 IAM 中显示的以下预定义角色。
| IAM 中的预定义角色 | 标题 | 说明 |
|---|---|---|
roles/chronicle.admin |
Chronicle API Admin | 拥有对 Google Security Operations 应用和 API 服务(包括全局设置)的完整访问权限。 |
roles/chronicle.editor |
Chronicle API Editor | 修改对 Google Security Operations 应用和 API 资源的访问权限。 |
roles/chronicle.viewer |
Chronicle API Viewer | 拥有对 Google Security Operations 应用和 API 资源的只读权限 |
roles/chronicle.limitedViewer |
Chronicle API Limited Viewer | 授予对 Google Security Operations 应用和 API 的只读权限 排除检测引擎规则和回溯搜寻。 |
IAM 中的 Google SecOps 权限
Google SecOps 权限与 Google SecOps 一对一对应 API 方法。每项 Google SecOps 权限都允许对 特定 Google SecOps 功能。 与 IAM 搭配使用的 Google SecOps API 目前处于 Alpha 版发布阶段。
Google SecOps 权限名称遵循 SERVICE.FEATURE.ACTION 格式。
例如,权限名称 chronicle.dashboards.edit 由以下部分组成:
chronicle:Google SecOps API 服务名称。dashboards:功能名称。edit:可对功能执行的操作。
权限名称描述了您可以在
Google SecOps。所有 Google SecOps 权限都具有 chronicle 服务名称。
为用户和群组分配角色
以下部分提供了创建 IAM 政策的示例用例。“<project>”一词用于表示项目的 ID
已绑定到 Google SecOps
启用 Chronicle API 后,IAM 中会提供 Google SecOps 预定义角色和权限,您可以创建政策来满足组织要求。
如果您有新创建的 Google SecOps 实例,请开始创建 可满足组织要求的 IAM 政策。
如果这是现有的 Google SecOps 实例,请参阅将 Google SecOps 迁移到 IAM 以实现功能访问权限控制,了解如何将实例迁移到 IAM。
示例:在专用项目中分配 Project IAM Admin 角色
在此示例中,项目专用于您的 Google SecOps 实例。 您授予了 Project IAM Admin 角色,以便他们可以授予和修改项目的 IAM 角色 绑定。用户可以管理所有 Google SecOps 角色和权限 项目中,并执行 Project IAM Admin 角色授予的任务。
使用 Google Cloud 控制台分配角色
以下步骤介绍了如何使用 Google Cloud 控制台向用户授予角色。
- 打开 Google Cloud 控制台。
- 选择绑定到 Google SecOps 的项目。
- 选择 IAM 和管理员。
- 选择授予访问权限。系统会显示授予对
<project>的访问权限。 - 在“添加主账号”部分下,在新的主账号字段中输入受管账号的电子邮件地址。
- 在分配角色部分下的选择角色菜单中,选择 Project IAM Admin 角色。
- 点击保存。
- 打开 IAM >权限页面以验证用户被授予了正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何在使用员工身份联合时向用户授予 chronicle.admin 角色。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 请参阅创建和管理项目 了解用于标识项目的字段。WORKFORCE_POOL_ID:为身份提供程序创建的 Workforce 池的标识符。USER_EMAIL:用户的电子邮件地址。
以下示例命令演示了如何向群组授予 chronicle.admin 角色
(使用 Cloud Identity 或 Google Workspace 时)。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "user:USER_EMAIL" \
--role=roles/chronicle.admin
替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 请参阅创建和管理项目 了解用于标识项目的字段。USER_EMAIL:用户的电子邮件地址。
示例:在共享项目中分配 Project IAM Admin 角色
在此示例中,该项目用于多个应用。它绑定到 Google SecOps 实例,并运行与 Google SecOps 无关的服务。 例如,用于其他目的的 Compute Engine 资源。
在这种情况下,您可以向用户授予 Project IAM Admin 角色,以便他们可以 授予和修改项目的 IAM 角色绑定,以及配置 Google SecOps。您还需要添加 将 IAM 与角色绑定相关联,以限制其只能访问与 Google SecOps 相关的 项目中的多个角色。此用户只能授予 IAM 条件中指定的角色。
如需详细了解 IAM Conditions,请参阅 IAM Conditions 概览和 管理条件角色绑定。
使用 Google Cloud 控制台分配角色
以下步骤介绍了如何使用 Google Cloud 控制台向用户授予角色。
- 打开 Google Cloud 控制台。
- 选择绑定到 Google SecOps 的项目。
- 选择 IAM 和管理员。
- 选择授予访问权限。系统随即会显示授予对
<project>的访问权限。 - 在授予对
<project>的访问权限对话框的“添加主账号”部分下, 在新的主账号字段中输入用户的电子邮件地址。 - 在分配角色部分下的“选择角色”菜单中,选择 Project IAM Admin 角色。
- 点击 + Add IAM Condition(+ 添加 IAM 条件)。
- 在添加条件对话框中,输入以下信息:
- 输入条件的标题。
- 选择条件编辑器。
- 输入以下条件:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- 在添加条件对话框中点击保存。
- 在授予对
<project>的访问权限对话框中点击保存。 - 打开 IAM > 权限页面,验证是否已向用户授予正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何向用户授予 chronicle.admin
角色,并在使用员工身份联合时应用 IAM 条件。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 请参阅创建和管理项目 了解用于标识项目的字段。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。
以下示例命令演示了如何向群组授予 chronicle.admin
角色,并在使用 Cloud Identity 或 Google Workspace 时应用 IAM 条件。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
替换以下内容:
PROJECT_ID:您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的已绑定 Google SecOps 的项目的项目 ID。请参阅创建和管理项目 了解用于标识项目的字段。USER_EMAIL:用户的电子邮件地址,例如bob@example.com。
示例:为用户分配 Chronicle API Editor 角色
在这种情况下,您需要允许用户修改对 Google SecOps API 资源的访问权限。
使用 Google Cloud 控制台分配角色
- 打开 Google Cloud 控制台。
- 选择绑定到 Google SecOps 的项目。
- 选择 IAM 和管理员。
- 选择授予访问权限。系统随即会打开授予对
<project>的访问权限对话框。 - 在“添加主账号”部分的新主账号字段中,输入用户电子邮件地址。
- 在分配角色部分的选择角色菜单中,选择 Google SecOps API Editor 角色。
- 在授予对
<project>的访问权限对话框中点击保存。 - 打开 IAM > 权限页面,验证是否已向用户授予正确的角色。
使用 Google Cloud CLI 分配角色
以下示例命令演示了如何向用户授予 chronicle.editor 角色
。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 请参阅创建和管理项目 了解用于标识项目的字段。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。以下示例命令演示了如何向用户授予
chronicle.editor角色 (使用 Cloud Identity 或 Google Workspace 时)。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.editor
替换以下内容:
PROJECT_ID:您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的已绑定 Google SecOps 的项目的项目 ID。请参阅创建和管理项目 了解用于标识项目的字段。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。USER_EMAIL:用户的电子邮件地址。
示例:创建自定义角色并将其分配给群组
如果 Google SecOps 预定义角色未提供符合贵组织用例的一组权限,您可以创建自定义角色,并向该自定义角色分配 Google SecOps 权限。您分配自定义角色 分配至用户或群组如需详细了解 IAM 自定义角色 请参阅创建和管理自定义角色。
您可以按照以下步骤创建名为 LimitedAdmin 的自定义角色。
创建一个定义自定义角色的 YAML 或 JSON 文件(名为
LimitedAdmin), 以及授予此角色的权限。以下是一个示例 YAML 文件。title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy创建自定义角色。以下 gcloud CLI 命令示例演示了如何使用您在上一步中创建的 YAML 文件创建此自定义角色。
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME替换以下内容:
PROJECT_ID:您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的已绑定 Google SecOps 的项目的项目 ID。如需了解用于标识项目的字段,请参阅创建和管理项目。YAML_FILE_NAME:您在 上一步。ROLE_NAME:YAML 文件中定义的自定义角色的名称。
使用 Google Cloud CLI 分配自定义角色。
以下示例命令演示了如何向一组用户授予 自定义角色
limitedAdmin(使用员工身份联合时)。gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 请参阅创建和管理项目 了解用于标识项目的字段。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。GROUP_ID:在员工身份联合中创建的群组标识符。如需了解详情,请参阅在 IAM 政策中代表员工池用户 员工中创建的群组标识符的相关信息 身份联合。如需了解详情,请参阅在 IAM 政策中代表员工池用户 关于GROUP_ID。
以下示例命令演示了如何向一组用户授予 自定义角色,
limitedAdmin(如果使用 Cloud Identity 或 .gcloud projects add-iam-policy-binding PROJECT_ID \ --member=groupid:GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin替换以下内容:
PROJECT_ID:绑定到 Google SecOps 的项目 ID 您在将 Google SecOps 实例绑定到 Google Cloud 项目中创建的项目。 如需了解用于标识项目的字段,请参阅创建和管理项目。WORKFORCE_POOL_ID:为身份提供方创建的员工池的标识符。GROUP_ID:在员工中创建的群组标识符 身份联合。如需了解详情,请参阅在 IAM 政策中代表员工池用户 员工中创建的群组标识符的相关信息 身份联合。如需了解详情,请参阅在 IAM 政策中代表员工池用户 关于GROUP_ID。
验证审核日志记录
Google SecOps 中的用户操作以及对 Google SecOps API 的请求 记录为 Cloud Audit Logs。如需验证是否正在写入日志,请执行 执行下列步骤:
- 以有权使用任何功能的用户身份登录 Google SecOps。 如需了解详情,请参阅登录 Google SecOps。
- 执行操作,例如执行搜索。
- 在 Google Cloud 控制台中,使用日志浏览器查看已与 Google SecOps 关联的 Cloud 项目中的审核日志。Google SecOps 审核日志具有以下服务名称
chronicle.googleapis.com。
如需详细了解如何查看 Cloud Audit Logs, 请参阅 Google SecOps 审核日志记录信息。
以下是用户 alice@example.com 在 Google SecOps 中查看解析器扩展程序列表时写入的日志示例。
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
将 Google SecOps 迁移到 IAM 以实现功能访问权限控制
使用这些部分中的信息迁移现有 Google Security Operations SIEM 实例从之前基于特征的访问权限控制(功能 RBAC)迁移到 IAM。
迁移到 IAM 后,您还可以审核 使用 Cloud Audit Logs 的 Google SecOps 实例。
特征 RBAC 与 IAM 之间的区别
虽然 IAM 预定义角色名称与功能 RBAC 类似, 群组,IAM 预定义角色不 提供与原始特征 RBAC 组相同的特征访问权限。权限 分配给每个预定义 IAM 角色的数据略有不同。 如需了解详情,请参阅 IAM 权限如何映射到每个原始 Feature RBAC 组。
您可以按原样使用 Google SecOps 预定义角色, 或创建自定义角色并为其分配 一组不同的权限。
迁移 Google SecOps 实例后,您可以管理角色、权限 和 IAM 政策。 以下 Google SecOps 应用页面已修改为将用户定向至 Google Cloud 控制台:
- 用户和群组
- 角色
在功能 RBAC 中,每项权限都由功能名称和 操作。IAM 权限由资源名称描述 和方法。下表通过两个示例说明了不同之处, 一个与信息中心相关,另一个与 Feed 相关。
信息中心示例:为了控制对信息中心的访问权限,功能 RBAC 提供了您可以在信息中心执行的五项操作。IAM 提供类似权限 另一个是
dashboards.list,它可让用户列出可用的信息中心。Feed 示例:为了控制对 Feed 的访问权限,Feature RBAC 提供 您可以启用或停用七项操作使用 IAM 有四种方式:
feeds.delete、feeds.create、feeds.update和feeds.view。
| 特征 | Feature RBAC 中的权限 | IAM 权限 | 用户操作说明 |
|---|---|---|---|
| 信息中心 | 修改 | chronicle.dashboards.edit |
修改信息中心 |
| 信息中心 | 复制 | chronicle.dashboards.copy |
复制信息中心 |
| 信息中心 | 创建 | chronicle.dashboards.create |
创建信息中心 |
| 信息中心 | 时间表 | chronicle.dashboards.schedule |
定期生成报告 |
| 信息中心 | 删除 | chronicle.dashboards.delete |
删除报告 |
| 信息中心 | 无。此功能仅在 IAM 中提供。 | chronicle.dashboards.list |
列出可用的信息中心 |
| Feed | DeleteFeed | chronicle.feeds.delete |
删除 Feed。 |
| Feed | CreateFeed | chronicle.feeds.create |
创建 Feed。 |
| Feed | UpdateFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | EnableFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | DisableFeed | chronicle.feeds.update |
更新 Feed。 |
| Feed | ListFeeds | chronicle.feeds.view |
返回一个或多个 Feed。 |
| Feed | GetFeed | chronicle.feeds.view |
返回一个或多个 Feed。 |
迁移现有访问权限控制权限的步骤
完成迁移现有 Google SecOps 实例的步骤后,您还可以迁移功能访问权限控制配置。
Google SecOps 会提供自动生成的命令, 与之前的基于特征的 RBAC 等效的 IAM 政策, 是在 Google SecOps 中配置的 SIEM 设置 >用户和群组页面。
请确保您拥有 为 Google SecOps 配置 Google Cloud 项目,然后按照将现有权限和角色迁移到 IAM 中的步骤操作。
IAM 权限如何映射到每个功能 RBAC 群组
本部分中的映射信息说明了预定义角色在迁移前后的访问权限的一些差异。虽然特征 RBAC 角色名称与 IAM 预定义角色类似 所提供访问权限的配置文件各不相同本部分介绍了 其中一些差异
Chronicle API Limited Viewer
此角色会授予对 Google SecOps 应用和 API 资源(不包括检测引擎规则和 Retrohunt)的只读权限。角色名称为 chronicle.limitedViewer。
这是新角色。如需查看权限的详细列表,请参阅 Chronicle API Viewer。
Chronicle API Viewer
此角色提供对 Google SecOps 应用和 API 的只读权限
资源。角色名称为 chronicle.viewer。
以下权限说明了类似的功能 RBAC 组与 IAM 之间的一些差异。如需查看权限的详细列表 请参阅 Chronicle API Viewer。
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Chronicle API Editor
此角色可让用户修改对 Google SecOps 应用和 API 的访问权限
资源。角色名称为 chronicle.editor。
以下权限说明了类似的功能 RBAC 组与 IAM 之间的一些差异。如需查看权限的详细列表 请参阅 Chronicle API 编辑器。
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Chronicle API Admin
此角色可对 Google SecOps 应用和 API 服务(包括全局设置)拥有完整访问权限。角色名称为 chronicle.admin。
以下权限阐述了类似 特征 RBAC 群组和 IAM。如需查看权限的详细列表,请参阅 Chronicle API 管理。
| Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
|---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |