Configurar o controle de acesso a recursos usando o IAM

Compatível com:

O Google Security Operations se integra ao Identity and Access Management (IAM) do Google Cloud. para conceder permissões específicas do Google SecOps e papéis predefinidos. Os administradores do Google SecOps podem controlam o acesso a recursos criando políticas do IAM que vinculam usuários ou grupos a papéis predefinidos ou podem criar papéis personalizados do IAM. Esse recurso não controla o acesso a registros ou campos de UDM específicos em um registro UDM.

Neste documento, você:

  • Descreve como o Google SecOps se integra ao IAM.
  • Explica como os papéis predefinidos do IAM são diferentes dos grupos originais de RBAC de recursos.
  • Fornece etapas para migrar uma instância do Google SecOps para o IAM.
  • Fornece exemplos de como atribuir permissões usando o IAM.
  • Resume as permissões e os papéis predefinidos disponíveis no IAM.

Acesse uma lista das permissões e recursos de auditoria do Google SecOps usados com frequência registros que produzem, consulte Permissões e métodos de API por grupo de recursos. Para conferir uma lista de todas as permissões do Google SecOps, consulte a Referência de permissões do Identity and Access Management.

Talvez você esteja no processo de migração das instâncias do Google SecOps da implementação de RBAC do recurso original. Neste documento, o nome Feature RBAC é usada para se referir ao controle de acesso baseado em recurso configurada com o Google SecOps, e não com o IAM. O IAM é usado para descrever o controle de acesso baseado em recursos. que você configura usando o IAM.

Cada permissão do Google SecOps está associada a uma API do Google SecOps recurso e método. Quando uma permissão é concedida a um usuário ou grupo, ele pode acesse o recurso no Google SecOps e envie uma solicitação usando o método de API relacionado.

Como o Google SecOps se integra ao IAM

Para usar o IAM, o Google SecOps precisa estar vinculado a um Google Cloud projeto e precisa ser configurado com o Cloud Identity, o Google Workspace ou a federação de identidade de colaboradores do Google Cloud como intermediária na autenticação para um provedor de identidade de terceiros. Para informações sobre o fluxo de autenticação de terceiros, consulte Integrar o Google SecOps a um provedor de identidade de terceiros.

O Google SecOps executa as seguintes etapas para verificar e controlar o acesso aos recursos:

  1. Depois de fazer login no Google SecOps, um usuário acessa uma página de aplicativo do Google SecOps. Como alternativa, o usuário pode enviar uma solicitação de API para o Google SecOps.
  2. O Google SecOps verifica as permissões concedidas nas políticas do IAM definidas para esse usuário.
  3. O IAM retorna as informações de autorização. Se o usuário acessou uma página de aplicativo, o Google SecOps permite acesso apenas aos recursos aos quais o usuário recebeu acesso.
  4. Se o usuário enviou uma solicitação de API e não tem permissão para realizar a ação solicitada, a resposta da API inclui um erro. Caso contrário, será retornada uma resposta padrão.

O Google SecOps oferece um conjunto de papéis predefinidos com um conjunto definido de permissões que controlam se um usuário pode acessar o recurso. A única política do IAM controla o acesso ao recurso usando a interface da Web e a API.

Se houver outros serviços do Google Cloud no projeto do Google Cloud vinculados à Google SecOps e você quer limitar um usuário com o papel de Administrador de IAM do projeto para modificar apenas os recursos do Google SecOps, adicione o IAM para a política de permissão. Consulte Atribuir funções a usuários e grupos. para ver um exemplo de como fazer isso.

Os administradores personalizam o acesso aos recursos do Google SecOps com base nas informações em sua organização.

Antes de começar

Planejar a implementação

Você cria políticas do IAM que dão suporte à requisitos de implantação. É possível usar os papéis predefinidos do Google SecOps e os papéis personalizados criados por você.

Analise a lista de papéis e permissões predefinidos do Google SecOps em relação aos requisitos da sua organização. Identifique quais membros da organização devem tenham acesso a cada recurso do Google SecOps. Se sua organização exigir Políticas do IAM que diferem das políticas predefinidas do Google SecOps personalizados, crie papéis personalizados para atender a esses requisitos. Para informações sobre papéis personalizados do IAM, consulte Criar e gerenciar funções personalizadas.

Resumo dos papéis e permissões do Google SecOps

As seções a seguir fornecem um resumo geral das funções predefinidas.

A lista mais atual de permissões do Google SecOps está em Referência das permissões do IAM. Na guia Pesquise uma seção de permissão, depois procure o termo chronicle.

A lista mais atual de papéis predefinidos do Google SecOps está em Referência dos papéis básicos e predefinidos do IAM. Abaixo Na seção Predefinidos roles, selecione o serviço Chronicle API roles ou pesquise o termo chronicle.

Para informações sobre métodos e permissões da API, as páginas em que as permissões são usadas e as informações gravadas nos registros de auditoria do Cloud quando a API é chamada, consulte Permissões do Chronicle no IAM.

Papéis predefinidos do Google SecOps no IAM

As Operações de segurança do Google oferecem os papéis predefinidos a seguir, conforme aparecem no IAM.

Papel predefinido no IAM Título Descrição
roles/chronicle.admin Administrador da API Chronicle Acesso total aos aplicativos e serviços de API das Operações de segurança do Google, incluindo configurações globais.
roles/chronicle.editor Editor da API Chronicle Modificar o acesso ao aplicativo das Operações de segurança do Google e aos recursos da API.
roles/chronicle.viewer Leitor da API Chronicle Acesso somente leitura aos aplicativos e recursos de API das Operações de segurança do Google
roles/chronicle.limitedViewer Leitor limitado da API Chronicle Concede acesso somente leitura ao aplicativo e à API Google Security Operations recursos, excluindo regras do mecanismo de detecção e retrohunts.

Permissões do Google SecOps no IAM

As permissões do Google SecOps correspondem individualmente às permissões do Google SecOps métodos da API. Cada permissão do Google SecOps permite uma ação específica em um um recurso específico do Google SecOps ao usar o aplicativo da Web ou a API. As APIs do Google SecOps usadas com o IAM estão na etapa de lançamento Alfa.

Os nomes das permissões do Google SecOps seguem o formato SERVICE.FEATURE.ACTION. Por exemplo, o nome da permissão chronicle.dashboards.edit consiste no seguinte:

  • chronicle: o nome do serviço da API Google SecOps.
  • dashboards: o nome do elemento.
  • edit: a ação que pode ser realizada no recurso.

O nome da permissão descreve a ação que você pode realizar no recurso Google SecOps. Todas as permissões do Google SecOps têm o nome de serviço chronicle.

Atribuir papéis a usuários e grupos

As seções a seguir apresentam exemplos de casos de uso para criar políticas do IAM. O termo <project> é usado para representar o ID do projeto. que você vinculou ao Google SecOps.

Depois de ativar a API Chronicle, os papéis predefinidos do Google SecOps e permissões estão disponíveis no IAM e é possível criar políticas para atender aos requisitos da organização.

Se você tiver uma instância do Google SecOps recém-criada, comece a criar políticas do IAM para atender aos requisitos da organização.

Se a instância já existir do Google SecOps, consulte Migrar o Google SecOps para o IAM para controle de acesso a recursos. para mais informações sobre como migrar a instância para o IAM.

Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto dedicado

Neste exemplo, o projeto é dedicado à sua instância do Google SecOps. Você concede ao papel Administrador de IAM do projeto a um usuário para que ele possa conceder e modificar o papel do IAM do projeto vinculações. O usuário pode administrar todos os papéis e permissões do Google SecOps no projeto e realizar tarefas concedidas pelo papel Administrador de IAM do projeto.

Atribuir o papel usando o console do Google Cloud

As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.

  1. Abra o console do Google Cloud.
  2. Selecione o projeto vinculado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Permitir acesso. A opção Permitir acesso a <project> será exibida.
  5. Na seção Adicionar principais, insira o endereço de e-mail da conta gerenciada no campo Novos principais.
  6. Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
  7. Clique em Salvar.
  8. Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.

Atribuir o papel usando a Google Cloud CLI

O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.admin ao usar a federação de identidade de colaboradores.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Substitua:

O comando de exemplo a seguir demonstra como conceder o papel chronicle.admin a um grupo ao usar o Cloud Identity ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Substitua:

Exemplo: atribuir o papel de Administrador de IAM do projeto em um projeto compartilhado

Neste exemplo, o projeto é usado para vários aplicativos. Ele é vinculado a uma instância do Google SecOps e executa serviços não relacionados ao Google SecOps. Por exemplo, um recurso do Compute Engine usado para outra finalidade.

Nesse caso, conceda o papel Administrador do IAM do projeto a um usuário para que ele possa conceder e modificar as vinculações de papel do IAM do projeto e configurar o Google SecOps. Você também vai adicionar o IAM s à vinculação de papel para limitar o acesso somente a serviços relacionados ao Google SecOps no projeto. Este usuário só pode conceder papéis especificados na condição do IAM.

Para mais informações sobre as condições do IAM, consulte Visão geral das condições do IAM e Gerenciar vinculações de papéis condicionais.

Atribuir o papel usando o console do Google Cloud

As etapas a seguir descrevem como conceder um papel a um usuário usando o console do Google Cloud.

  1. Abra o console do Google Cloud.
  2. Selecione o projeto vinculado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Permitir acesso. A opção Permitir acesso a <project> será exibida.
  5. Na caixa de diálogo Permitir acesso a <project>, na seção Adicionar principais, insira o endereço de e-mail do usuário no campo Novos principais.
  6. Na seção Atribuir papéis, no menu Selecionar um papel, selecione o papel Administrador de IAM do projeto.
  7. Clique em + Adicionar condição do IAM.
  8. Na caixa de diálogo Adicionar condição, insira as seguintes informações:
    1. Insira um Título para a condição.
    2. Selecione o Editor de condições.
    3. Insira a seguinte condição:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Clique em Salvar na caixa de diálogo Adicionar condição.
  2. Clique em Salvar na caixa de diálogo Permitir acesso a <project>.
  3. Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.

Atribuir o papel usando a CLI do Google Cloud

O comando de exemplo a seguir demonstra como conceder a um usuário o chronicle.admin e aplicar condições do IAM ao usar a federação de identidade de colaboradores.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Substitua:

O comando de exemplo a seguir demonstra como conceder a um grupo o chronicle.admin e aplicar condições do IAM ao usar o Cloud Identity ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Substitua:

Exemplo: atribuir o papel de editor da API Chronicle a um usuário

Nessa situação, você quer dar a um usuário a capacidade de modificar o acesso aos recursos da API Google SecOps.

Atribuir o papel usando o console do Google Cloud

  1. Abra o console do Google Cloud.
  2. Selecione o projeto vinculado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Permitir acesso. A caixa de diálogo Permitir acesso a <project> será aberta.
  5. Na seção Adicionar principais, no campo Novos principais, insira o endereço de e-mail do usuário.
  6. Na seção Atribuir funções, no menu Selecionar uma função, escolha a função Editor da API de SecOps do Google.
  7. Clique em Salvar na caixa de diálogo Conceder acesso a <project>.
  8. Abra o IAM > Permissões para verificar se o usuário recebeu o papel correto.

Atribuir o papel usando a Google Cloud CLI

O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.editor ao usar a federação de identidade da força de trabalho.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Substitua:

  • PROJECT_ID: o ID do projeto vinculado ao Google SecOps projeto que você criou em Como vincular uma instância do Google SecOps ao projeto do Google Cloud. Consulte Como criar e gerenciar projetos para uma descrição dos campos que identificam um projeto.
  • WORKFORCE_POOL_ID: o identificador do pool de funcionários criado para o provedor de identidade.

  • USER_EMAIL: o endereço de e-mail do usuário.

    O comando de exemplo a seguir demonstra como conceder a um usuário o papel chronicle.editor ao usar o Cloud Identity ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Substitua:

Exemplo: criar e atribuir uma função personalizada a um grupo

Se os papéis predefinidos do Google SecOps não fornecerem o grupo de permissões que atendam ao caso de uso da sua organização, é possível criar uma função personalizada do Google SecOps a esse papel personalizado. Você atribui o papel personalizado a um usuário ou grupo. Para mais informações sobre papéis personalizados do IAM, consulte Criar e gerenciar funções personalizadas.

As etapas a seguir permitem criar um papel personalizado chamado LimitedAdmin.

  1. Crie um arquivo YAML ou JSON que defina o papel personalizado, chamado LimitedAdmin, e as permissões concedidas a ele. Veja a seguir um exemplo de arquivo YAML.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.getIamPolicy

  2. Crie a função personalizada. O exemplo de comando da CLI gcloud a seguir demonstra como criar esse papel personalizado usando o arquivo YAML que você criou na etapa anterior.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Substitua:

  3. Atribua o papel personalizado usando a Google Cloud CLI.

    O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o o papel personalizado limitedAdmin ao usar a federação de identidade de colaboradores.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Substitua:

    O comando de exemplo a seguir demonstra como conceder a um grupo de usuários o papel personalizado limitedAdmin ao usar a Identidade do Cloud ou o .

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Substitua:

Verificar a geração de registros de auditoria

Ações do usuário no Google SecOps e solicitações para a API do Google SecOps são registrados como Registros de auditoria do Cloud. Para verificar se os registros estão sendo gravados, execute as seguintes etapas:

  1. Faça login no Google SecOps como um usuário com privilégios para acessar qualquer recurso. Consulte Fazer login no Google SecOps para mais informações.
  2. Realizar uma ação, como fazer uma pesquisa.
  3. No console do Google Cloud, use a Análise de registros para acessar os registros de auditoria Projeto do Cloud vinculado a SecOps do Google. Os registros de auditoria do Google SecOps têm seguinte ao nome de serviço chronicle.googleapis.com.

Para mais informações sobre como visualizar os Registros de auditoria do Cloud, consulte Informações sobre a geração de registros de auditoria do Google SecOps.

Confira a seguir um exemplo de registro gravado quando o usuário alice@example.com acessou a lista de extensões do analisador no Google SecOps.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Migrar o Google SecOps para o IAM para controle de acesso a recursos

Use as informações nestas seções para migrar um SIEM das Operações de segurança do Google do controle de acesso baseado em recurso anterior (RBAC de recurso) para o IAM.

Após a migração para o IAM, também é possível auditar a atividade no Instância do Google SecOps que usa os Registros de auditoria do Cloud.

Diferenças entre o RBAC de recurso e o IAM

Embora os nomes dos papéis predefinidos do IAM sejam semelhantes ao RBAC do recurso grupos, os papéis predefinidos do IAM não precisam Fornecem acesso a recursos idêntico aos grupos originais de RBAC de recursos. As permissões atribuídos a cada papel predefinido do IAM são um pouco diferentes. Para mais informações, consulte Como as permissões do IAM são mapeadas para cada grupo RBAC de recurso original.

Você pode usar as funções predefinidas do Google SecOps como estão, mudar as permissões definidas em cada função predefinida ou criar funções personalizadas e atribuir um conjunto diferente de permissões.

Depois de migrar a instância do Google SecOps, você gerencia papéis, permissões, e políticas do IAM usando o IAM no console do Google Cloud. As seguintes páginas do aplicativo Google SecOps foram modificadas para direcionar os usuários ao console do Google Cloud:

  • Usuários e Grupos
  • Papéis

No RBAC de recurso, cada permissão é descrita pelo nome do recurso e por uma ação. As permissões do IAM são descritas pelo nome do recurso e método. A tabela a seguir ilustra a diferença com dois exemplos: uma relacionada aos painéis e a outra aos feeds.

  • Exemplo de painel: para controlar o acesso aos dashboards, o RBAC de recurso fornece cinco ações que você pode realizar em painéis. O IAM fornece permissões semelhantes mais um, dashboards.list, que permite ao usuário listar os painéis disponíveis.

  • Exemplo de feeds: para controlar o acesso aos feeds, o RBAC de recurso fornece sete ações que podem ser ativadas ou desativadas. Com o IAM, há quatro: feeds.delete, feeds.create, feeds.update e feeds.view.

Recurso Permissão no RBAC do recurso Permissão do IAM Descrição da ação do usuário
Painéis Editar chronicle.dashboards.edit Editar painéis
Painéis Copiar chronicle.dashboards.copy Copiar painéis
Painéis Criar chronicle.dashboards.create Criar painéis
Painéis Programar chronicle.dashboards.schedule Programar relatórios
Painéis Excluir chronicle.dashboards.delete Excluir relatórios
Painéis Nenhuma. Isso está disponível apenas no IAM. chronicle.dashboards.list Listar painéis disponíveis
Feeds DeleteFeed chronicle.feeds.delete Excluir um feed.
Feeds CreateFeed chronicle.feeds.create Crie um feed.
Feeds UpdateFeed chronicle.feeds.update Atualizar um feed.
Feeds EnableFeed chronicle.feeds.update Atualizar um feed.
Feeds DisableFeed chronicle.feeds.update Atualizar um feed.
Feeds ListFeeds chronicle.feeds.view Retorne um ou mais feeds.
Feeds GetFeed chronicle.feeds.view Retorne um ou mais feeds.

Etapas para migrar as permissões de controle de acesso atuais

Depois de concluir as etapas para migrar uma instância atual do Google SecOps, você também pode migrar sua configuração de controle de acesso aos recursos.

O Google SecOps fornece comandos gerados automaticamente que criam novos políticas do IAM equivalentes ao seu RBAC anterior baseado em atributos; que é configurado no Google SecOps, no Configurações do SIEM > Usuários e grupos.

Verifique se você tem as permissões necessárias descritas em Configure um projeto do Google Cloud para o Google SecOps e siga as etapas em Migrar permissões e papéis atuais para o IAM.

Como as permissões do IAM são mapeadas para cada grupo de RBAC de recurso

As informações de mapeamento nesta seção ilustram algumas das diferenças no acesso a papéis predefinidos antes e depois da migração. Embora o RBAC de recurso semelhantes aos papéis predefinidos do IAM, as ações aos quais dão acesso são diferentes. Esta seção fornece uma introdução algumas dessas diferenças.

Leitor limitado da API Chronicle

Esse papel concede acesso somente leitura ao aplicativo de SecOps e aos recursos de API do Google excluindo regras de mecanismo de detecção e retrohunts. O nome do papel é chronicle.limitedViewer.

Essa função é nova. Para ver uma lista detalhada das permissões, consulte o Visualizador da API Chronicle.

Leitor da API Chronicle

Esse papel fornece acesso somente leitura ao aplicativo e à API do Google SecOps do Google Cloud. O nome do papel é chronicle.viewer.

As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte o Leitor da API Chronicle.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in IAM only.
chronicle.operations.list None. This is available in IAM only.
chronicle.operations.wait None. This is available in IAM only.
chronicle.instances.report None. This is available in IAM only.
chronicle.collectors.get None. This is available in IAM only.
chronicle.collectors.list None. This is available in IAM only.
chronicle.forwarders.generate None. This is available in IAM only.
chronicle.forwarders.get None. This is available in IAM only.
chronicle.forwarders.list None. This is available in IAM only.

Editor da API Chronicle

Esse papel permite que os usuários modifiquem o acesso aos recursos de aplicativo e API do Google SecOps. O nome do papel é chronicle.editor.

As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte o Editor da API Chronicle.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in IAM only.

Administrador da API Chronicle

Esse papel fornece acesso total aos serviços de API e aplicativos de SecOps do Google, incluindo configurações globais. O nome do papel é chronicle.admin.

As permissões a seguir ilustram algumas das diferenças entre os recursos Feature RBAC e IAM. Para uma lista detalhada das permissões, consulte Administrador da Chronicle API.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in IAM only.
chronicle.collectors.delete None. This is available in IAM only.
chronicle.collectors.update None. This is available in IAM only.
chronicle.forwarders.create None. This is available in IAM only.
chronicle.forwarders.delete None. This is available in IAM only.
chronicle.forwarders.update None. This is available in IAM only.
chronicle.parsingErrors.list None. This is available in IAM only.