Configurar o controle de acesso a recursos usando o IAM
O Google Security Operations se integra ao Identity and Access Management (IAM) do Google Cloud. para conceder permissões específicas do Google SecOps e papéis predefinidos. Os administradores do Google SecOps podem controlam o acesso a recursos criando políticas do IAM que vinculam usuários ou grupos a papéis predefinidos ou podem criar papéis personalizados do IAM. Esse recurso não controla o acesso a registros ou campos de UDM específicos em um registro UDM.
Neste documento, você:
- Descreve como o Google SecOps se integra ao IAM.
- Explica como os papéis predefinidos do IAM são diferentes dos grupos originais de RBAC de recursos.
- Fornece etapas para migrar uma instância do Google SecOps para o IAM.
- Fornece exemplos de como atribuir permissões usando o IAM.
- Resume as permissões e os papéis predefinidos disponíveis no IAM.
Acesse uma lista das permissões e recursos de auditoria do Google SecOps usados com frequência registros que produzem, consulte Permissões e métodos de API por grupo de recursos. Para conferir uma lista de todas as permissões do Google SecOps, consulte a Referência de permissões do Identity and Access Management.
Talvez você esteja no processo de migração das instâncias do Google SecOps da implementação de RBAC do recurso original. Neste documento, o nome Feature RBAC é usada para se referir ao controle de acesso baseado em recurso configurada com o Google SecOps, e não com o IAM. O IAM é usado para descrever o controle de acesso baseado em recursos. que você configura usando o IAM.
Cada permissão do Google SecOps está associada a uma API do Google SecOps recurso e método. Quando uma permissão é concedida a um usuário ou grupo, ele pode acesse o recurso no Google SecOps e envie uma solicitação usando o método de API relacionado.
Como o Google SecOps se integra ao IAM
Para usar o IAM, o Google SecOps precisa estar vinculado a um Google Cloud projeto e precisa ser configurado com o Cloud Identity, o Google Workspace ou a federação de identidade de colaboradores do Google Cloud como intermediária na autenticação para um provedor de identidade de terceiros. Para informações sobre o fluxo de autenticação de terceiros, consulte Integrar o Google SecOps a um provedor de identidade de terceiros.
O Google SecOps executa as seguintes etapas para verificar e controlar o acesso aos recursos:
- Depois de fazer login no Google SecOps, um usuário acessa uma página de aplicativo do Google SecOps. Como alternativa, o usuário pode enviar uma solicitação de API para o Google SecOps.
- O Google SecOps verifica as permissões concedidas nas políticas do IAM definidas para esse usuário.
- O IAM retorna as informações de autorização. Se o usuário acessou uma página de aplicativo, o Google SecOps permite acesso apenas aos recursos aos quais o usuário recebeu acesso.
- Se o usuário enviou uma solicitação de API e não tem permissão para realizar a ação solicitada, a resposta da API inclui um erro. Caso contrário, será retornada uma resposta padrão.
O Google SecOps oferece um conjunto de papéis predefinidos com um conjunto definido de permissões que controlam se um usuário pode acessar o recurso. A única política do IAM controla o acesso ao recurso usando a interface da Web e a API.
Se houver outros serviços do Google Cloud no projeto do Google Cloud vinculados à Google SecOps e você quer limitar um usuário com o papel de Administrador de IAM do projeto para modificar apenas os recursos do Google SecOps, adicione o IAM para a política de permissão. Consulte Atribuir funções a usuários e grupos. para ver um exemplo de como fazer isso.
Os administradores personalizam o acesso aos recursos do Google SecOps com base nas informações em sua organização.
Antes de começar
- Verifique se você já conhece o Cloud Shell, o comando da CLI gcloud e o console do Google Cloud.
- Conheça o IAM, incluindo os seguintes conceitos:
- Visão geral do IAM.
- Visão geral de papéis e permissões e papéis predefinidos em comparação a papéis personalizados e criar papéis personalizados.
- Condições de IAM.
- Executar todas as etapas em Vincular o Google SecOps a um projeto do Google Cloud para configurar um projeto vinculado ao Google SecOps.
- Configure o provedor de identidade usando uma das seguintes opções:
- Configurar um provedor de identidade do Google Cloud
- Realize todas as etapas em Integrar o Google SecOps a um provedor de identidade terceirizado para configurar a autenticação por um provedor de identidade (IdP) de terceiros.
- Vincule um projeto à sua instância do Google SecOps e configure o provedor de identidade.
- Verifique se você tem as permissões para executar as etapas descritas neste documento. Para informações sobre as permissões necessárias para cada fase do processo de integração, consulte Papéis necessários.
Planejar a implementação
Você cria políticas do IAM que dão suporte à requisitos de implantação. É possível usar os papéis predefinidos do Google SecOps e os papéis personalizados criados por você.
Analise a lista de papéis e permissões predefinidos do Google SecOps em relação aos requisitos da sua organização. Identifique quais membros da organização devem tenham acesso a cada recurso do Google SecOps. Se sua organização exigir Políticas do IAM que diferem das políticas predefinidas do Google SecOps personalizados, crie papéis personalizados para atender a esses requisitos. Para informações sobre papéis personalizados do IAM, consulte Criar e gerenciar funções personalizadas.
Resumo dos papéis e permissões do Google SecOps
As seções a seguir fornecem um resumo geral das funções predefinidas.
A lista mais atual de permissões do Google SecOps está em
Referência das permissões do IAM. Na guia
Pesquise uma seção de permissão, depois procure o termo chronicle
.
A lista mais atual de papéis predefinidos do Google SecOps está em
Referência dos papéis básicos e predefinidos do IAM. Abaixo
Na seção Predefinidos roles, selecione o serviço Chronicle API roles
ou pesquise o termo chronicle
.
Para informações sobre métodos e permissões da API, as páginas em que as permissões são usadas e as informações gravadas nos registros de auditoria do Cloud quando a API é chamada, consulte Permissões do Chronicle no IAM.
Papéis predefinidos do Google SecOps no IAM
As Operações de segurança do Google oferecem os papéis predefinidos a seguir, conforme aparecem no IAM.
Papel predefinido no IAM | Título | Descrição |
---|---|---|
roles/chronicle.admin |
Administrador da API Chronicle | Acesso total aos aplicativos e serviços de API das Operações de segurança do Google, incluindo configurações globais. |
roles/chronicle.editor |
Editor da API Chronicle | Modificar o acesso ao aplicativo das Operações de segurança do Google e aos recursos da API. |
roles/chronicle.viewer |
Leitor da API Chronicle | Acesso somente leitura aos aplicativos e recursos de API das Operações de segurança do Google |
roles/chronicle.limitedViewer |
Leitor limitado da API Chronicle | Concede acesso somente leitura ao aplicativo e à API Google Security Operations recursos, excluindo regras do mecanismo de detecção e retrohunts. |
Permissões do Google SecOps no IAM
As permissões do Google SecOps correspondem individualmente às permissões do Google SecOps métodos da API. Cada permissão do Google SecOps permite uma ação específica em um um recurso específico do Google SecOps ao usar o aplicativo da Web ou a API. As APIs do Google SecOps usadas com o IAM estão na etapa de lançamento Alfa.
Os nomes das permissões do Google SecOps seguem o formato SERVICE.FEATURE.ACTION
.
Por exemplo, o nome da permissão chronicle.dashboards.edit
consiste no
seguinte:
chronicle
: o nome do serviço da API Google SecOps.dashboards
: o nome do elemento.edit
: a ação que pode ser realizada no recurso.
O nome da permissão descreve a ação que você pode realizar no recurso
Google SecOps. Todas as permissões do Google SecOps têm o nome de serviço chronicle
.
Atribuir papéis a usuários e grupos
As seções a seguir apresentam exemplos de casos de uso para criar políticas do IAM. O termo <project>
é usado para representar o ID do projeto.
que você vinculou ao Google SecOps.
Depois de ativar a API Chronicle, os papéis predefinidos do Google SecOps e permissões estão disponíveis no IAM e é possível criar políticas para atender aos requisitos da organização.
Se você tiver uma instância do Google SecOps recém-criada, comece a criar políticas do IAM para atender aos requisitos da organização.
Se a instância já existir do Google SecOps, consulte Migrar o Google SecOps para o IAM para controle de acesso a recursos. para mais informações sobre como migrar a instância para o IAM.
Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto dedicado
Neste exemplo, o projeto é dedicado à sua instância do Google SecOps. Você concede ao papel Administrador de IAM do projeto a um usuário para que ele possa conceder e modificar o papel do IAM do projeto vinculações. O usuário pode administrar todos os papéis e permissões do Google SecOps no projeto e realizar tarefas concedidas pelo papel Administrador de IAM do projeto.
Atribuir o papel usando o console do Google Cloud
As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A opção Permitir acesso a
<project>
será exibida. - Na seção Adicionar principais, insira o endereço de e-mail da conta gerenciada no campo Novos principais.
- Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
- Clique em Salvar.
- Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a Google Cloud CLI
O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.admin
ao usar a federação de identidade de colaboradores.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL
: o endereço de e-mail do usuário.
O comando de exemplo a seguir demonstra como conceder o papel chronicle.admin
a um grupo
ao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "user:USER_EMAIL" \
--role=roles/chronicle.admin
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.USER_EMAIL
: o endereço de e-mail do usuário.
Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto compartilhado
Neste exemplo, o projeto é usado para vários aplicativos. Ele é vinculado a uma instância do Google SecOps e executa serviços não relacionados ao Google SecOps. Por exemplo, um recurso do Compute Engine usado para outra finalidade.
Nesse caso, conceda o papel Administrador do IAM do projeto a um usuário para que ele possa conceder e modificar as vinculações de papel do IAM do projeto e configurar o Google SecOps. Você também vai adicionar o IAM s à vinculação de papel para limitar o acesso somente a serviços relacionados ao Google SecOps no projeto. Este usuário só pode conceder papéis especificados na condição do IAM.
Para mais informações sobre as condições do IAM, consulte Visão geral das condições do IAM e Gerenciar vinculações de papéis condicionais.
Atribuir o papel usando o console do Google Cloud
As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A opção Permitir acesso a
<project>
será exibida. - Na caixa de diálogo Permitir acesso a
<project>
, na seção Adicionar principais, insira o endereço de e-mail do usuário no campo Novos principais. - Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
- Clique em + Adicionar condição do IAM.
- Na caixa de diálogo Adicionar condição, insira as seguintes informações:
- Insira um Título para a condição.
- Selecione o Editor de condições.
- Insira a seguinte condição:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- Clique em Salvar na caixa de diálogo Adicionar condição.
- Clique em Salvar na caixa de diálogo Permitir acesso a
<project>
. - Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a CLI do Google Cloud
O comando de exemplo a seguir demonstra como conceder a um usuário o chronicle.admin
e aplicar condições do IAM ao usar a federação de identidade de colaboradores.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador da força de trabalho. pool criado para seu provedor de identidade.USER_EMAIL
: o endereço de e-mail do usuário.
O comando de exemplo a seguir demonstra como conceder a um grupo o chronicle.admin
e aplicar condições do IAM ao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps que você criou em Vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.USER_EMAIL
: o endereço de e-mail do usuário, comobob@example.com
.
Exemplo: atribuir o papel de editor da API Chronicle a um usuário
Nessa situação, você quer dar a um usuário a capacidade de modificar o acesso aos recursos da API Google SecOps.
Atribuir o papel usando o console do Google Cloud
- Abra o console do Google Cloud.
- Selecione o projeto vinculado ao Google SecOps.
- Selecione IAM e administrador.
- Selecione Permitir acesso. A caixa de diálogo Permitir acesso a
<project>
será aberta. - Na seção Adicionar principais, no campo Novos principais, insira o endereço de e-mail do usuário.
- Na seção Atribuir funções, no menu Selecionar uma função, escolha a função Editor da API de SecOps do Google.
- Clique em Salvar na caixa de diálogo Conceder acesso a
<project>
. - Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.
Atribuir o papel usando a Google Cloud CLI
O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.editor
ao usar a federação de identidade da força de trabalho.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL
: o endereço de e-mail do usuário.O comando de exemplo a seguir demonstra como conceder a um usuário o papel
chronicle.editor
ao usar o Cloud Identity ou o Google Workspace.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=user:USER_EMAIL \
--role=roles/chronicle.editor
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps que você criou em Vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador do pool de funcionários criado para o provedor de identidade.USER_EMAIL
: o endereço de e-mail do usuário.
Exemplo: criar e atribuir uma função personalizada a um grupo
Se os papéis predefinidos do Google SecOps não fornecerem o grupo de permissões que atendam ao caso de uso da sua organização, é possível criar uma função personalizada do Google SecOps a esse papel personalizado. Você atribui o papel personalizado a um usuário ou grupo. Para mais informações sobre papéis personalizados do IAM, consulte Criar e gerenciar funções personalizadas.
As etapas a seguir permitem criar um papel personalizado chamado LimitedAdmin
.
Crie um arquivo YAML ou JSON que defina o papel personalizado, chamado
LimitedAdmin
, e as permissões concedidas a ele. Veja a seguir um exemplo de arquivo YAML.title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy
Crie a função personalizada. O exemplo de comando da CLI gcloud a seguir demonstra como criar esse papel personalizado usando o arquivo YAML que você criou na etapa anterior.
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.YAML_FILE_NAME
: o nome do arquivo que você criou no etapa anterior.ROLE_NAME
: o nome do papel personalizado, conforme definido no arquivo YAML.
Atribua o papel personalizado usando a Google Cloud CLI.
O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o o papel personalizado
limitedAdmin
ao usar a federação de identidade de colaboradores.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador do pool de funcionários criado para o provedor de identidade.GROUP_ID
: o identificador do grupo criado na força de trabalho federação de identidade. Para mais informações, consulte Representar usuários do pool de força de trabalho nas políticas do IAM. sobre o identificador do grupo criado na força de trabalho federação de identidade. Consulte Representar usuários do pool de força de trabalho nas políticas do IAM para informações sobre oGROUP_ID
.
O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o papel personalizado
limitedAdmin
ao usar a Identidade do Cloud ou o .gcloud projects add-iam-policy-binding PROJECT_ID \ --member=groupid:GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Substitua:
PROJECT_ID
: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.WORKFORCE_POOL_ID
: o identificador do pool de funcionários criado para o provedor de identidade.GROUP_ID
: o identificador do grupo criado na força de trabalho federação de identidade. Para mais informações, consulte Representar usuários do pool de força de trabalho nas políticas do IAM. sobre o identificador do grupo criado na força de trabalho federação de identidade. Para mais informações, consulte Representar usuários do pool de força de trabalho nas políticas do IAM. sobreGROUP_ID
.
Verificar a geração de registros de auditoria
Ações do usuário no Google SecOps e solicitações para a API do Google SecOps são registrados como Registros de auditoria do Cloud. Para verificar se os registros estão sendo gravados, execute as seguintes etapas:
- Faça login no Google SecOps como um usuário com privilégios para acessar qualquer recurso. Consulte Fazer login no Google SecOps para mais informações.
- Realizar uma ação, como fazer uma pesquisa.
- No console do Google Cloud, use a Análise de registros para acessar os registros de auditoria
Projeto do Cloud vinculado a SecOps do Google. Os registros de auditoria do Google SecOps têm
seguinte ao nome de serviço
chronicle.googleapis.com
.
Para mais informações sobre como visualizar os Registros de auditoria do Cloud, consulte Informações sobre a geração de registros de auditoria do Google SecOps.
Confira a seguir um exemplo de registro gravado quando o usuário alice@example.com
acessou a lista de extensões do analisador no Google SecOps.
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
Migrar o Google SecOps para o IAM para controle de acesso a recursos
Use as informações nestas seções para migrar um SIEM das Operações de segurança do Google do controle de acesso baseado em recurso anterior (RBAC de recurso) para o IAM.
Após a migração para o IAM, também é possível auditar a atividade no Instância do Google SecOps que usa os Registros de auditoria do Cloud.
Diferenças entre o RBAC de recurso e o IAM
Embora os nomes dos papéis predefinidos do IAM sejam semelhantes ao RBAC do recurso grupos, os papéis predefinidos do IAM não precisam Fornecem acesso a recursos idêntico aos grupos originais de RBAC de recursos. As permissões atribuídos a cada papel predefinido do IAM são um pouco diferentes. Para mais informações, consulte Como as permissões do IAM são mapeadas para cada grupo RBAC de recurso original.
Você pode usar as funções predefinidas do Google SecOps como estão, mudar as permissões definidas em cada função predefinida ou criar funções personalizadas e atribuir um conjunto diferente de permissões.
Depois de migrar a instância do Google SecOps, você gerencia papéis, permissões, e políticas do IAM usando o IAM no console do Google Cloud. As seguintes páginas do aplicativo Google SecOps foram modificadas para direcionar os usuários ao console do Google Cloud:
- Usuários e Grupos
- Papéis
No RBAC de recurso, cada permissão é descrita pelo nome do recurso e por uma ação. As permissões do IAM são descritas pelo nome do recurso e método. A tabela a seguir ilustra a diferença com dois exemplos: uma relacionada aos painéis e a outra aos feeds.
Exemplo de painel: para controlar o acesso aos dashboards, o RBAC de recurso fornece cinco ações que você pode realizar em painéis. O IAM fornece permissões semelhantes mais um,
dashboards.list
, que permite ao usuário listar os painéis disponíveis.Exemplo de feeds: para controlar o acesso aos feeds, o RBAC de recurso fornece sete ações que podem ser ativadas ou desativadas. Com o IAM, há quatro:
feeds.delete
,feeds.create
,feeds.update
efeeds.view
.
Recurso | Permissão no RBAC do recurso | Permissão do IAM | Descrição da ação do usuário |
---|---|---|---|
Painéis | Editar | chronicle.dashboards.edit |
Editar painéis |
Painéis | Copiar | chronicle.dashboards.copy |
Copiar painéis |
Painéis | Criar | chronicle.dashboards.create |
Criar painéis |
Painéis | Programar | chronicle.dashboards.schedule |
Programar relatórios |
Painéis | Excluir | chronicle.dashboards.delete |
Excluir relatórios |
Painéis | Nenhuma. Isso está disponível apenas no IAM. | chronicle.dashboards.list |
Listar painéis disponíveis |
Feeds | DeleteFeed | chronicle.feeds.delete |
Excluir um feed. |
Feeds | CreateFeed | chronicle.feeds.create |
Crie um feed. |
Feeds | UpdateFeed | chronicle.feeds.update |
Atualizar um feed. |
Feeds | EnableFeed | chronicle.feeds.update |
Atualizar um feed. |
Feeds | DisableFeed | chronicle.feeds.update |
Atualizar um feed. |
Feeds | ListFeeds | chronicle.feeds.view |
Retorne um ou mais feeds. |
Feeds | GetFeed | chronicle.feeds.view |
Retorne um ou mais feeds. |
Etapas para migrar as permissões de controle de acesso atuais
Depois de concluir as etapas para migrar uma instância atual do Google SecOps, você também pode migrar sua configuração de controle de acesso aos recursos.
O Google SecOps fornece comandos gerados automaticamente que criam novos políticas do IAM equivalentes ao seu RBAC anterior baseado em atributos; que é configurado no Google SecOps, no Configurações do SIEM > Usuários e grupos.
Verifique se você tem as permissões necessárias descritas em Configure um projeto do Google Cloud para o Google SecOps e siga as etapas em Migrar permissões e papéis atuais para o IAM.
Como as permissões do IAM são mapeadas para cada grupo de RBAC de recurso
As informações de mapeamento nesta seção ilustram algumas das diferenças no acesso a papéis predefinidos antes e depois da migração. Embora o RBAC de recurso semelhantes aos papéis predefinidos do IAM, as ações aos quais dão acesso são diferentes. Esta seção fornece uma introdução algumas dessas diferenças.
Leitor limitado da API Chronicle
Esse papel concede acesso somente leitura ao aplicativo de SecOps e aos recursos de API do Google
excluindo regras de mecanismo de detecção
e retrohunts. O nome do papel é chronicle.limitedViewer
.
Essa função é nova. Para ver uma lista detalhada das permissões, consulte o Visualizador da API Chronicle.
Leitor da API Chronicle
Esse papel fornece acesso somente leitura ao aplicativo e à API do Google SecOps
do Google Cloud. O nome do papel é chronicle.viewer
.
As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte o Leitor da API Chronicle.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Editor da API Chronicle
Esse papel permite que os usuários modifiquem o acesso aos recursos de aplicativo e API do Google SecOps. O nome do papel é chronicle.editor
.
As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte o Editor da API Chronicle.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Administrador da API Chronicle
Esse papel fornece acesso total aos serviços de API e aplicativos de SecOps do Google,
incluindo configurações globais. O nome do papel é chronicle.admin
.
As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte Administrador da Chronicle API.
Google SecOps permission | Equivalent permission is mapped to this Feature RBAC role |
---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |