Zugriffssteuerung für Features mit IAM konfigurieren

Chronicle lässt sich in Identity and Access Management (IAM) von Google Cloud einbinden, um Chronicle-spezifische Berechtigungen und vordefinierte Rollen bereitzustellen. Chronicle-Administratoren können den Zugriff auf Chronicle-Features steuern. Dazu erstellen sie IAM-Richtlinien, die Nutzer oder Gruppen an vordefinierte Rollen oder an benutzerdefinierte IAM-Rollen binden. Diese Funktion steuert nicht den Zugriff auf bestimmte UDM-Einträge oder Felder in einem UDM-Eintrag.

In diesem Dokument wird die Einbindung von Chronicle in IAM beschrieben. Außerdem werden die Unterschiede zum Feature Chronicle RBAC beschrieben, Schritte zum Migrieren einer Chronicle-Instanz zu IAM beschrieben. Außerdem finden Sie Beispiele für das Zuweisen von Berechtigungen mit IAM. Außerdem werden die in IAM verfügbaren Berechtigungen und vordefinierten Rollen zusammengefasst.

Eine ausführliche Beschreibung der Berechtigungen und der erstellten Audit-Logs zum Konfigurieren der Autorisierung in Chronicle finden Sie unter Berechtigungen und API-Methoden nach Ressourcengruppe.

Einige Chronicle-Instanzen werden möglicherweise gerade von der ursprünglichen RBAC-Feature-Implementierung migriert. In diesem Dokument wird der Name Chronicle RBAC verwendet, wenn es sich um die zuvor verfügbare featurebasierte rollenbasierte Zugriffssteuerung handelt, die mit Chronicle und nicht mit IAM konfiguriert wird. Mit IAM wird die funktionsbasierte rollenbasierte Zugriffssteuerung beschrieben, die Sie mit IAM konfigurieren.

Jede Chronicle-Berechtigung ist einer Chronicle API-Ressource und -Methode zugeordnet. Wenn einem Nutzer oder einer Gruppe eine Berechtigung gewährt wird, kann er auf die Funktion in Chronicle zugreifen und eine Anfrage mit der zugehörigen API-Methode senden.

Einbindung von Chronicle in IAM

Zur Verwendung von IAM muss Chronicle an ein Google Cloud-Projekt gebunden und mit der Google Cloud-Mitarbeiteridentitätsföderation als Vermittler im Authentifizierungsablauf konfiguriert sein. Informationen zum Authentifizierungsvorgang finden Sie unter Chronicle in einen externen Identitätsanbieter einbinden.

Chronicle führt die folgenden Schritte aus, um den Zugriff auf Features zu prüfen und zu steuern:

  1. Nach der Anmeldung bei Chronicle greift ein Nutzer auf eine Chronicle-Anwendungsseite zu. Alternativ kann der Nutzer eine API-Anfrage an Chronicle senden.
  2. Chronicle überprüft die Berechtigungen, die in den für diesen Nutzer definierten IAM-Richtlinien gewährt wurden.
  3. IAM gibt die Autorisierungsinformationen zurück. Wenn der Nutzer eine Anwendungsseite aufgerufen hat, ermöglicht Chronicle nur den Zugriff auf die Features, auf die dem Nutzer Zugriff gewährt wurde.
  4. Wenn der Nutzer eine API-Anfrage gesendet hat und nicht berechtigt ist, die angeforderte Aktion auszuführen, enthält die API-Antwort einen Fehler. Andernfalls wird eine Standardantwort zurückgegeben.

Chronicle bietet eine Reihe vordefinierter Rollen mit einem Satz von Berechtigungen, mit denen gesteuert wird, ob ein Nutzer auf das Feature zugreifen kann. Die einzelne IAM-Richtlinie steuert den Zugriff auf das Feature über die Weboberfläche und die API.

Chronicle-Administratoren erstellen Gruppen in ihrem Identitätsanbieter, konfigurieren die SAML-Anwendung so, dass Informationen zur Gruppenmitgliedschaft in der Assertion übergeben werden, und verknüpfen dann Nutzer und Gruppen mit vordefinierten Chronicle-Rollen in IAM oder mit von ihnen erstellten benutzerdefinierten Rollen.

Wenn es im Google Cloud-Projekt weitere Google Cloud-Dienste gibt, die an Chronicle gebunden sind, und Sie einen Nutzer mit der Rolle „Project IAM Admin“ so einschränken möchten, dass er nur die Chronicle-Ressourcen ändert, müssen Sie der Zulassungsrichtlinie IAM-Bedingungen hinzufügen. Ein Beispiel dafür finden Sie unter Nutzern und Gruppen Rollen zuweisen.

Administratoren passen den Zugriff auf Chronicle-Features basierend auf der Rolle eines Mitarbeiters in Ihrer Organisation an.

Hinweise

Implementierung planen

Sie erstellen IAM-Richtlinien, die die Bereitstellungsanforderungen Ihrer Organisation unterstützen. Sie können entweder vordefinierte Chronicle-Rollen oder benutzerdefinierte Rollen verwenden, die Sie erstellen.

Prüfen Sie die Liste der vordefinierten Rollen und Berechtigungen für Chronicle, um die Anforderungen Ihrer Organisation zu erfüllen. Ermitteln Sie, welche Mitglieder Ihrer Organisation Zugriff auf die einzelnen Chronicle-Features haben sollen. Wenn in Ihrer Organisation IAM-Richtlinien erforderlich sind, die sich von den vordefinierten Chronicle-Rollen unterscheiden, erstellen Sie benutzerdefinierte Rollen, um diese Anforderungen zu unterstützen. Informationen zu benutzerdefinierten IAM-Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Zusammenfassung der Chronicle-Rollen und -Berechtigungen

Die folgenden Abschnitte enthalten eine allgemeine Zusammenfassung.

Informationen zu Chronicle API-Methoden und -Berechtigungen, zu den UI-Seiten, auf denen Berechtigungen verwendet werden, und zu Informationen, die beim Aufruf der API in Cloud-Audit-Logs aufgezeichnet werden, finden Sie unter Chronicle-Berechtigungen in IAM.

Die aktuelle Liste der Chronicle-Berechtigungen finden Sie in der Referenz für IAM-Berechtigungen. Suchen Sie im Abschnitt Berechtigung suchen nach dem Begriff chronicle.

Die aktuelle Liste vordefinierter Chronicle-Rollen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen. Wählen Sie im Bereich Vordefinierte Rollen entweder den Dienst Chronicle API-Rollen aus oder suchen Sie nach dem Begriff chronicle.

Vordefinierte Chronicle-Rollen in IAM

Chronicle bietet die folgenden vordefinierten Rollen, wie sie in IAM angezeigt werden.

Vordefinierte Rolle in IAM Titel Beschreibung
roles/chronicle.admin Chronicle API-Administrator Vollständiger Zugriff auf Chronicle-Anwendungs- und API-Dienste, einschließlich globaler Einstellungen.
roles/chronicle.editor Chronicle API Editor Zugriff auf Chronicle-Anwendungs- und API-Ressourcen ändern.
roles/chronicle.viewer Chronicle API-Betrachter Lesezugriff auf Chronicle-Anwendungs- und API-Ressourcen
roles/chronicle.limitedViewer Chronicle API Limited Viewer Gewährt Lesezugriff auf Chronicle-Anwendungs- und API-Ressourcen, mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts.

Chronicle-Berechtigungen in IAM

Chronicle-Berechtigungen entsprechen 1:1 den Chronicle API-Methoden. Jede Chronicle-Berechtigung aktiviert eine bestimmte Aktion für ein bestimmtes Chronicle-Feature, wenn die Webanwendung oder die API verwendet wird. Die mit IAM verwendeten Chronicle APIs befinden sich in der Alphaphase.

Namen von Chronicle-Berechtigungen haben das Format SERVICE.FEATURE.ACTION. Der Berechtigungsname chronicle.dashboards.edit besteht beispielsweise aus Folgendem:

  • chronicle: der Name des Chronicle API-Dienstes.
  • dashboards: der Name des Features.
  • edit: die Aktion, die für das Element ausgeführt werden kann

Der Name der Berechtigung beschreibt die Aktion, die Sie für das Feature in Chronicle ausführen können. Alle Chronicle-Berechtigungen haben den Dienstnamen chronicle.

Nutzern und Gruppen Rollen zuweisen

In den folgenden Abschnitten finden Sie Beispiele für Anwendungsfälle zum Erstellen von IAM-Richtlinien. Der Begriff <project> steht für die Projekt-ID des Projekts, das Sie an Chronicle gebunden haben.

Nachdem Sie die Chronicle API aktiviert haben, sind die vordefinierten Rollen und Berechtigungen für Chronicle in IAM verfügbar. Sie können Richtlinien erstellen, um Organisationsanforderungen zu erfüllen.

Wenn Sie eine neu erstellte Chronicle-Instanz haben, beginnen Sie mit dem Erstellen von IAM-Richtlinien, um die Organisationsanforderungen zu erfüllen.

Wenn es sich um eine vorhandene Chronicle-Instanz handelt, finden Sie unter Chronicle zu IAM für die Featurezugriffssteuerung migrieren Informationen zum Migrieren der Instanz zu IAM.

Beispiel: Rolle „Projekt-IAM-Administrator“ in einem dedizierten Projekt zuweisen

In diesem Beispiel ist das Projekt Ihrer Chronicle-Instanz zugeordnet. Sie weisen einem Nutzer die Rolle Projekt-IAM-Administrator zu, damit er die IAM-Rollenbindungen des Projekts gewähren und ändern kann. Der Nutzer kann alle Chronicle-Rollen und -Berechtigungen im Projekt verwalten und Aufgaben ausführen, die mit der Rolle Projekt-IAM-Administrator gewährt wurden.

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Chronicle gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Geben Sie im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des Nutzers in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
  7. Klicken Sie auf Speichern.
  8. Öffnen Sie die Seite IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle zugewiesen wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.admin gewährt wird.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ersetzen Sie Folgendes:

Beispiel: Rolle „Projekt-IAM-Administrator“ in einem freigegebenen Projekt zuweisen

In diesem Beispiel wird das Projekt für mehrere Anwendungen verwendet. Er ist an eine Chronicle-Instanz gebunden und führt Dienste aus, die nicht zu Chronicle gehören. Zum Beispiel eine Compute Engine-Ressource, die für einen anderen Zweck verwendet wird.

In diesem Fall können Sie einem Nutzer die Rolle Projekt-IAM-Administrator zuweisen, damit er die IAM-Rollenbindungen des Projekts gewähren und ändern und Chronicle konfigurieren kann. Außerdem fügen Sie der Rollenbindung IAM-Rollen hinzu, um ihren Zugriff auf Chronicle-bezogene Rollen im Projekt zu beschränken. Dieser Nutzer kann nur Rollen gewähren, die in der IAM-Bedingung angegeben sind.

Weitere Informationen zu IAM-Bedingungen finden Sie unter Übersicht über IAM-Bedingungen und Bedingte Rollenbindungen verwalten.

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Chronicle gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Geben Sie im Dialogfeld Zugriff auf <project> gewähren im Abschnitt Hauptkonten hinzufügen die E-Mail-Adresse des Nutzers in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
  7. Klicken Sie auf + IAM-Bedingung hinzufügen.

  8. Geben Sie im Dialogfeld Bedingung hinzufügen die folgenden Informationen ein:

    1. Geben Sie einen Titel für die Bedingung ein.
    2. Wählen Sie den Bedingungseditor aus.
    3. Geben Sie die folgende Bedingung ein:
    api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
    1. Klicken Sie im Dialogfeld Bedingung hinzufügen auf Speichern.
    2. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
    3. Öffnen Sie die Seite IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle zugewiesen wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie Sie einem Nutzer die Rolle chronicle.admin gewähren und IAM-Bedingungen anwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ersetzen Sie Folgendes:

Beispiel: Einem Nutzer die Rolle „Chnicle API Editor“ zuweisen

In dieser Situation möchten Sie einem Nutzer die Möglichkeit geben, den Zugriff auf Chronicle API-Ressourcen zu ändern.

Rolle über die Google Cloud Console zuweisen

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Chronicle gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Das Dialogfeld Zugriff auf <project> gewähren wird geöffnet.
  5. Geben Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Chronicle API Editor aus.
  7. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
  8. Öffnen Sie die Seite IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle zugewiesen wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.editor gewährt wird.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor

Ersetzen Sie Folgendes:

Beispiel: Benutzerdefinierte Rolle erstellen und einer Gruppe zuweisen

Wenn vordefinierte Chronicle-Rollen nicht die Gruppe von Berechtigungen bieten, die dem Anwendungsfall Ihrer Organisation entspricht, können Sie eine benutzerdefinierte Rolle erstellen und dieser benutzerdefinierten Rolle Chronicle-Berechtigungen zuweisen. Sie weisen die benutzerdefinierte Rolle einem Nutzer oder einer Gruppe zu. Weitere Informationen zu benutzerdefinierten IAM-Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Mit den folgenden Schritten können Sie eine benutzerdefinierte Rolle mit dem Namen LimitedAdmin erstellen.

  1. Erstellen Sie eine YAML- oder JSON-Datei, die die benutzerdefinierte Rolle namens LimitedAdmin und die Berechtigungen definiert, die dieser Rolle gewährt werden. Im Folgenden finden Sie ein Beispiel für eine YAML-Datei.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.getIamPolicy

  2. Erstellen Sie die benutzerdefinierte Rolle. Im folgenden Beispiel für einen gcloud CLI-Befehl wird gezeigt, wie Sie diese benutzerdefinierte Rolle mithilfe der YAML-Datei erstellen, die Sie im vorherigen Schritt erstellt haben.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID des Chronicle-gebundenen Projekts, das Sie unter Chronicle-Instanz an ein Google Cloud-Projekt binden erstellt haben. Eine Beschreibung der Felder, die ein Projekt identifizieren, finden Sie unter Projekte erstellen und verwalten.
    • YAML_FILE_NAME: der Name der Datei, die Sie im vorherigen Schritt erstellt haben.
    • ROLE_NAME: der Name der benutzerdefinierten Rolle, wie in der YAML-Datei definiert.

  3. Benutzerdefinierte Rolle über die Google Cloud CLI zuweisen

    Mit dem folgenden Beispielbefehl wird einer Gruppe von Nutzern die benutzerdefinierte Rolle limitedAdmin zugewiesen.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
--role=projects/PROJECT_ID/roles/limitedAdmin

    Ersetzen Sie Folgendes:

Audit-Logging prüfen

Nutzeraktionen in Chronicle und Anfragen an die Chronicle API werden als Cloud-Audit-Logs aufgezeichnet. So prüfen Sie, ob Logs geschrieben werden:

  1. Melden Sie sich in Chronicle als Nutzer mit Berechtigungen für den Zugriff auf beliebige Funktionen an. Weitere Informationen finden Sie unter In Chronicle anmelden.
  2. Ausführen einer Aktion, z. B. einer Suche
  3. Verwenden Sie in der Google Cloud Console den Log-Explorer, um die Audit-Logs im Chronicle-gebundenen Cloud-Projekt anzusehen. Chronicle-Audit-Logs haben den Dienstnamen chronicle.googleapis.com.

Weitere Informationen zum Aufrufen von Cloud-Audit-Logs finden Sie unter Informationen zum Audit-Logging von Chronicle.

Das folgende Beispiellog wurde geschrieben, als der Nutzer alice@example.com die Liste der Parsererweiterungen in Chronicle aufgerufen hat.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Chronicle zu IAM für die Featurezugriffssteuerung migrieren

Verwenden Sie die Informationen in diesen Abschnitten, um eine vorhandene Chronicle SIEM-Instanz vom vorherigen rollenbasierten Chronicle-Zugriffssteuerungsfeature (Chronicle RBAC) zu IAM zu migrieren. Nach der Migration zu IAM können Sie Aktivitäten in der Chronicle-Instanz auch mithilfe von Cloud-Audit-Logs prüfen.

Unterschiede zwischen Chronicle RBAC und IAM

Obwohl vordefinierte IAM-Rollennamen den Chronicle-RBAC-Gruppen ähneln, bieten die vordefinierten IAM-Rollen keinen identischen Featurezugriff wie Chronicle-RBAC-Gruppen. Die jeder vordefinierten IAM-Rolle zugewiesenen Berechtigungen unterscheiden sich geringfügig. Weitere Informationen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen Chronicle-RBAC-Rollen.

Sie können vordefinierte Chronicle-Rollen unverändert verwenden, die in den einzelnen vordefinierten Rollen definierten Berechtigungen ändern oder benutzerdefinierte Rollen erstellen und andere Berechtigungen zuweisen.

Nachdem Sie die Chronicle-Instanz migriert haben, verwalten Sie Rollen, Berechtigungen und IAM-Richtlinien mithilfe von IAM in der Google Cloud Console. Die folgenden Chronicle-Anwendungsseiten werden geändert, um Nutzer zur Google Cloud Console weiterzuleiten:

  • Nutzer und Gruppen
  • Rollen

In Chronicle RBAC wird jede Berechtigung durch den Namen des Features und eine Aktion beschrieben. IAM-Berechtigungen werden durch den Ressourcennamen und die Methode beschrieben. Die folgende Tabelle veranschaulicht den Unterschied anhand von zwei Beispielen. Das eine bezieht sich auf Dashboards und das zweite auf Feeds.

  • Dashboard-Beispiel: Zum Steuern des Zugriffs auf Dashboards bietet Chronicle RBAC fünf Aktionen, die Sie auf Dashboards ausführen können. IAM bietet ähnliche Berechtigungen mit der zusätzlichen dashboards.list, mit der Nutzer verfügbare Dashboards auflisten können.

  • Beispiel für Feeds: Zur Steuerung des Zugriffs auf Feeds bietet Chronicle RBAC sieben Aktionen, die Sie aktivieren oder deaktivieren können. Bei IAM gibt es vier: feeds.delete, feeds.create, feeds.update und feeds.view.

Funktion Berechtigung in Chronicle RBAC IAM-Berechtigung Beschreibung der Nutzeraktion
Dashboards Bearbeiten chronicle.dashboards.edit Dashboards bearbeiten
Dashboards Copy chronicle.dashboards.copy Dashboards kopieren
Dashboards Erstellen chronicle.dashboards.create Dashboards erstellen
Dashboards Zeitplan chronicle.dashboards.schedule Berichte planen
Dashboards Löschen chronicle.dashboards.delete Berichte löschen
Dashboards – Diese Option ist nur in IAM verfügbar. chronicle.dashboards.list Verfügbare Dashboards auflisten
Eingaben DeleteFeed chronicle.feeds.delete Löschen Sie einen Feed.
Eingaben CreateFeed chronicle.feeds.create Erstellen Sie einen Feed.
Eingaben UpdateFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Eingaben EnableFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Eingaben DisableFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Eingaben ListFeeds chronicle.feeds.view Geben Sie einen oder mehrere Feeds zurück.
Eingaben GetFeed chronicle.feeds.view Geben Sie einen oder mehrere Feeds zurück.

Schritte zum Migrieren einer vorhandenen Chronicle-Instanz

Führen Sie die folgenden Schritte aus, um IAM für Ihre vorhandene Chronicle-Instanz zu aktivieren:

  1. Wenden Sie sich an Ihren Chronicle-Ansprechpartner und teilen Sie ihm mit, dass Sie Ihre vorhandene RBAC-Konfiguration zu IAM migrieren möchten. Teilen Sie Ihrem Chronicle-Ansprechpartner die folgenden Informationen mit:
  2. Ihr Chronicle-Ansprechpartner sendet Ihnen eine Datei mit gcloud CLI-Befehlen. Sie führen diese Befehle aus, um Ihre vorhandenen Richtlinien für die Zugriffssteuerung zu entsprechenden IAM-Richtlinien zu migrieren.
  3. Öffnen Sie die Google Cloud Console als Nutzer mit der Rolle iam.workforcePoolAdmin und den Berechtigungen Project Editor und greifen Sie auf das Chronicle-gebundene Projekt zu. Sie haben diesen Nutzer identifiziert oder erstellt, als Sie Chronicle in einen externen Identitätsanbieter eingebunden haben.
  4. Starten Sie eine Cloud Shell-Sitzung.
  5. Führen Sie die vom Chronicle-Mitarbeiter bereitgestellten Befehle aus, um Ihre vorhandene Konfiguration zu IAM zu migrieren. Dadurch wird eine neue IAM-Richtlinie erstellt, die der Konfiguration Ihrer Chronicle RBAC-Zugriffssteuerung entspricht.
  6. Nachdem Sie alle Befehle ausgeführt haben, prüfen Sie auf der Seite IAM > Berechtigungen, ob die IAM-Richtlinien korrekt migriert wurden.
  7. Wenn Sie mit Ihren IAM-Richtlinien zufrieden sind, wenden Sie sich an Ihren Chronicle-Ansprechpartner und teilen Sie ihm mit, dass die IAM-Richtlinien migriert wurden.
  8. Ihr Chronicle-Ansprechpartner führt Schritte zum Aktivieren von IAM für Ihre Chronicle-Instanz aus und setzt sich mit Ihnen in Verbindung, sobald dies abgeschlossen ist.
  9. Prüfen Sie, ob Sie als Nutzer mit der Rolle „Chronicle API Admin“ auf Chronicle zugreifen können.
    1. Melden Sie sich in Chronicle als Nutzer mit der vordefinierten Rolle „Chnicle API Admin“ an. Weitere Informationen finden Sie unter In Chronicle anmelden.
    2. Öffnen Sie das Menü Anwendung > Einstellungen > Nutzer und Gruppen. Die folgende Meldung sollte angezeigt werden: *Rufen Sie zum Verwalten von Nutzern und Gruppen in der Google Cloud Console die Identitäts- und Zugriffsverwaltung (IAM) auf. Weitere Informationen zum Verwalten von Nutzern und Gruppen*
  10. Überprüfen Sie die Berechtigungen für andere Nutzerrollen.
    1. Melden Sie sich in Chronicle als Nutzer mit einer anderen Rolle an. Weitere Informationen finden Sie unter In Chronicle anmelden.
    2. Prüfen Sie, ob die verfügbaren Features in der Anwendung mit den in IAM definierten Berechtigungen übereinstimmen.

Zuordnung von IAM-Berechtigungen zu den einzelnen Chronicle RBAC-Rollen

Im folgenden Abschnitt werden die einzelnen vordefinierten Chronicle-Rollen in IAM und die an jede Rolle gebundenen Berechtigungen zusammengefasst. Außerdem wird ermittelt, welcher Chronicle RBAC-Rolle und Aktion es ähnelt.

Chronicle API Limited Viewer

Diese Rolle gewährt Lesezugriff auf die Chronicle-Anwendung und API-Ressourcen, mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts. Der Rollenname lautet chronicle.limitedViewer.

Die folgenden Berechtigungen sind in der vordefinierten Rolle „Chnicle API Limited Viewer“ in IAM verfügbar.

IAM-Berechtigung Entsprechende Berechtigung, die der folgenden Chronicle RBAC-Rolle zugeordnet ist
chronicle.instances.get Diese Option ist nur in IAM verfügbar.
chronicle.dashboards.get Diese Option ist nur in IAM verfügbar.
chronicle.dashboards.list Diese Option ist nur in IAM verfügbar.
chronicle.multitenantDirectories.get Diese Option ist nur in IAM verfügbar.
chronicle.logs.list Diese Option ist nur in IAM verfügbar.

Chronicle API-Betrachter

Diese Rolle bietet Lesezugriff auf die Chronicle-Anwendung und API-Ressourcen. Der Rollenname lautet chronicle.viewer.

Die folgenden Berechtigungen sind in der vordefinierten Rolle „Chronicle API Viewer“ in IAM verfügbar.

Chronicle permission Equivalent permission is mapped to this Chronicle RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in IAM only.
chronicle.operations.list None. This is available in IAM only.
chronicle.operations.wait None. This is available in IAM only.
chronicle.instances.report None. This is available in IAM only.
chronicle.collectors.get None. This is available in IAM only.
chronicle.collectors.list None. This is available in IAM only.
chronicle.forwarders.generate None. This is available in IAM only.
chronicle.forwarders.get None. This is available in IAM only.
chronicle.forwarders.list None. This is available in IAM only.

Chronicle API Editor

Mit dieser Rolle können Nutzer den Zugriff auf Chronicle-Anwendungs- und API-Ressourcen ändern. Der Rollenname lautet chronicle.editor.

Die folgenden Berechtigungen sind in der vordefinierten Rolle des Chronicle API Editor in IAM verfügbar.

Chronicle permission Equivalent permission is mapped to this Chronicle RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in IAM only.

Chronicle API-Administrator

Diese Rolle bietet vollständigen Zugriff auf die Chronicle-Anwendung und API-Dienste, einschließlich globaler Einstellungen. Der Rollenname lautet chronicle.admin.

Die folgenden Berechtigungen sind in der vordefinierten Rolle des Chronicle API Admin in IAM verfügbar.

Chronicle permission Equivalent permission is mapped to this Chronicle RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in IAM only.
chronicle.collectors.delete None. This is available in IAM only.
chronicle.collectors.update None. This is available in IAM only.
chronicle.forwarders.create None. This is available in IAM only.
chronicle.forwarders.delete None. This is available in IAM only.
chronicle.forwarders.update None. This is available in IAM only.
chronicle.parsingErrors.list None. This is available in IAM only.