Configurar el control de acceso a las funciones con la IAM
Las operaciones de seguridad de Google se integran en la administración de identidades y accesos (IAM) de Google Cloud para proporcionar permisos y funciones predefinidas específicos de las operaciones de seguridad de Google. Los administradores de operaciones de seguridad de Google pueden controlar el acceso a las funciones de estas operaciones mediante la creación de políticas de IAM que vinculen a los usuarios o grupos a funciones predefinidas o a funciones personalizadas de IAM. Esta función no controla el acceso a registros o campos específicos de UDM en un registro de UDM.
En este documento, se describe cómo se integran las operaciones de seguridad de Google con IAM, se describen las diferencias con la función RBAC de operaciones de seguridad de Google, se proporcionan pasos para migrar una instancia de operaciones de seguridad de Google a IAM, se brindan ejemplos de cómo asignar permisos mediante IAM y se resumen los permisos y las funciones predefinidas disponibles en IAM.
Si quieres obtener una descripción detallada de los permisos usados para configurar la autorización en las operaciones de seguridad de Google y los registros de auditoría que producen, consulta Permisos y métodos de la API por grupo de recursos.
Algunas instancias de operaciones de seguridad de Google pueden estar en proceso de migración desde la implementación de la función original de RBAC. En este documento, el nombre RBAC de operaciones de seguridad de Google se usa para hacer referencia al control de acceso basado en funciones basado en funciones que estaba disponible y configurado mediante las operaciones de seguridad de Google, y no con IAM. IAM se usa para describir el control de acceso basado en funciones que se configura mediante IAM.
Cada permiso de operaciones de seguridad de Google se asocia a un recurso y método de la API de Security Operations de Google. Cuando se otorga un permiso a un usuario o grupo, este puede acceder a la función en las operaciones de seguridad de Google y enviar una solicitud con el método de API relacionado.
Cómo se integran las operaciones de seguridad de Google en la IAM
Para usar IAM, las operaciones de seguridad de Google deben estar vinculadas a un proyecto de Google Cloud y deben configurarse con la federación de identidades de personal de Google Cloud como intermediaria en el flujo de autenticación. Para obtener información sobre el flujo de autenticación, consulta Integra las operaciones de seguridad de Google a un proveedor de identidad de terceros.
El equipo de Operaciones de seguridad de Google realiza los siguientes pasos para verificar y controlar el acceso a las funciones:
- Después de acceder a las operaciones de seguridad de Google, un usuario accede a la página de la aplicación de operaciones de seguridad de Google. Como alternativa, el usuario puede enviar una solicitud a la API a las operaciones de seguridad de Google.
- Las operaciones de seguridad de Google verifican los permisos otorgados en las políticas de IAM definidas para ese usuario.
- IAM muestra la información de autorización. Si el usuario accedió a la página de una aplicación, el equipo de operaciones de seguridad de Google habilita el acceso solo a las funciones a las que se le otorgó acceso.
- Si el usuario envió una solicitud a la API y no tiene permiso para realizar la acción solicitada, la respuesta de la API incluye un error. De lo contrario, se muestra una respuesta estándar.
Las operaciones de seguridad de Google proporcionan un conjunto de roles predefinidos con un conjunto definido de permisos que controlan si un usuario puede acceder a la función. La única política de IAM controla el acceso a la función a través de la interfaz web y la API.
Los administradores de operaciones de seguridad de Google crean grupos en su proveedor de identidad, configuran la aplicación de SAML para pasar información de pertenencia a grupos en la aserción y, luego, asocian usuarios y grupos a las funciones predefinidas de IAM de las operaciones de seguridad de Google o a las funciones personalizadas que ellos crearon.
Si hay otros servicios de Google Cloud en el proyecto vinculados a las operaciones de seguridad de Google y deseas limitar a un usuario con el rol de administrador de IAM del proyecto para modificar solo los recursos de las operaciones de seguridad de Google, asegúrate de agregar condiciones de IAM a la política de permisos. Consulta Asigna funciones a usuarios y grupos para ver un ejemplo de cómo hacerlo.
Los administradores personalizan el acceso a las funciones de operaciones de seguridad de Google según el rol de un empleado en tu organización.
Antes de comenzar
- Asegúrate de estar familiarizado con Cloud Shell, el comando de la CLI de gcloud y la consola de Google Cloud.
- Familiarízate con IAM, incluidos los siguientes conceptos:
- Descripción general de IAM
- Descripción general de las funciones y los permisos, las funciones predefinidas frente a las funciones personalizadas y la creación de funciones personalizadas
- Condiciones de IAM.
- Realiza todos los pasos en Vincula las operaciones de seguridad de Google a un proyecto de Google Cloud para configurar un proyecto que se vincule a las operaciones de seguridad de Google.
- Realiza todos los pasos de la sección Integra las operaciones de seguridad de Google con un proveedor de identidad de terceros para configurar la autenticación a través de un proveedor de identidad (IdP) externo.
- Después de vincular un proyecto a tu instancia de operaciones de seguridad de Google y configurarla con la federación de identidades de personal, asegúrate de que la instancia de operaciones de seguridad de Google tenga el rendimiento esperado. Consulta Verifica o configura el control de acceso a las funciones de operaciones de seguridad de Google.
Planifica la implementación
Debes crear políticas de IAM que cumplan con los requisitos de implementación de tu organización. Puedes usar las funciones predefinidas de las operaciones de seguridad de Google o las funciones personalizadas que crees.
Revisa la lista de roles y permisos predefinidos de las operaciones de seguridad de Google en función de los requisitos de tu organización. Identifica qué miembros de tu organización deben tener acceso a cada función de las operaciones de seguridad de Google. Si tu organización requiere políticas de IAM que difieren de las funciones predefinidas de las operaciones de seguridad de Google, crea funciones personalizadas para cumplir con estos requisitos. Para obtener información sobre las funciones personalizadas de IAM, consulta Crea y administra funciones personalizadas.
Resumen de los roles y permisos de las operaciones de seguridad de Google
En las siguientes secciones, se proporciona un resumen de alto nivel
Para obtener información sobre los métodos y permisos de la API de Google Security Operations, las páginas de la IU en las que se usan los permisos y la información registrada en los Registros de auditoría de Cloud cuando se llama a la API, consulta Permisos de Chronicle en IAM.
La lista más reciente de permisos de las operaciones de seguridad de Google se encuentra en la referencia de permisos de IAM. En la sección Buscar un permiso, busca el término chronicle
.
La lista más actual de roles predefinidos de Google SecOps se encuentra en la referencia de roles básicos y predefinidos de IAM. En la sección Funciones predefinidas, selecciona el servicio Funciones de la API de Chronicle o busca el término chronicle
.
Roles predefinidos de las operaciones de seguridad de Google en IAM
Las operaciones de seguridad de Google proporcionan los siguientes roles predefinidos a medida que aparecen en IAM.
Roles predefinidos en IAM | Título | Descripción |
---|---|---|
roles/chronicle.admin |
Administrador de la API de Google Security Operations | Acceso total a los servicios de la API y de la aplicación de Security Operations de Google, incluida la configuración global. |
roles/chronicle.editor |
Editor de la API de Google Security Operations | Modificar el acceso a los recursos de la API y de la aplicación de operaciones de seguridad de Google |
roles/chronicle.viewer |
Visualizador de la API de Google Security Operations | Acceso de solo lectura a los recursos de la API y la aplicación de operaciones de seguridad de Google |
roles/chronicle.limitedViewer |
Visualizador limitado de la API de Google Security Operations | Otorga acceso de solo lectura a los recursos de la API y de la aplicación de operaciones de seguridad de Google, excepto las reglas del motor de detección y las cazas retroactivas. |
Permisos de las operaciones de seguridad de Google en IAM
Los permisos de las operaciones de seguridad de Google se corresponden uno a uno con los métodos de la API de operaciones de seguridad de Google. Cada permiso de las operaciones de seguridad de Google habilita una acción específica en una función específica de las operaciones de seguridad de Google cuando se usa la aplicación web o la API. Las APIs de operaciones de seguridad de Google que se usan con la IAM se encuentran en la etapa de lanzamiento Alfa.
Los nombres de los permisos de las operaciones de seguridad de Google siguen el formato SERVICE.FEATURE.ACTION
.
Por ejemplo, el nombre del permiso chronicle.dashboards.edit
consta de lo siguiente:
chronicle
: Es el nombre del servicio de la API de Google Security Operations.dashboards
: Es el nombre del atributo.edit
: Es la acción que se puede realizar en el componente.
El nombre del permiso describe la acción que puedes realizar en la función en las operaciones de seguridad de Google. Todos los permisos de operaciones de seguridad de Google tienen el nombre de servicio chronicle
.
Asigna roles a usuarios y grupos
En las siguientes secciones, se proporcionan casos de uso de ejemplo para crear políticas de IAM. El término <project>
se usa para representar el ID del proyecto que vinculaste a las operaciones de seguridad de Google.
Después de habilitar la API de Chronicle, los permisos y las funciones predefinidas de las operaciones de seguridad de Google estarán disponibles en IAM y podrás crear políticas para respaldar los requisitos de la organización.
Si tienes una instancia de operaciones de seguridad de Google recién creada, comienza a crear políticas de IAM para cumplir con los requisitos de la organización.
Si se trata de una instancia existente de operaciones de seguridad de Google, consulta Migra las operaciones de seguridad de Google a IAM para el control de acceso a las funciones y obtén información sobre cómo migrar la instancia a IAM.
Ejemplo: Asigna el rol Administrador de IAM de proyecto en un proyecto dedicado
En este ejemplo, el proyecto está dedicado a tu instancia de operaciones de seguridad de Google. Otorgas la función de administrador de IAM del proyecto a un usuario para que pueda otorgar y modificar las vinculaciones de funciones de IAM del proyecto. El usuario puede administrar todas las funciones y los permisos de las operaciones de seguridad de Google en el proyecto y realizar tareas que otorga la función de Administrador de IAM del proyecto.
Asigna el rol con la consola de Google Cloud
En los siguientes pasos, se describe cómo otorgar un rol a un usuario con la consola de Google Cloud.
- Abre la consola de Google Cloud.
- Selecciona el proyecto que está vinculado a las operaciones de seguridad de Google.
- Selecciona IAM y administración.
- Selecciona Otorgar acceso. Aparecerá la opción Otorgar acceso a
<project>
. - En la sección Agregar principales, ingresa la dirección de correo electrónico del usuario en el campo Principales nuevas.
- En la sección Asignar roles, en el menú Selecciona un rol, elige el rol Administrador de IAM del proyecto.
- Haz clic en Guardar.
- Abre la página IAM > Permisos para verificar que se le otorgó el rol correcto al usuario.
Asigna el rol con Google Cloud CLI
En el siguiente comando de ejemplo, se muestra cómo otorgar a un usuario el rol chronicle.admin
.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto vinculado a las operaciones de seguridad de Google que creaste en Vincula una instancia de operaciones de seguridad de Google al proyecto de Google Cloud. Consulta Cómo crear y administrar proyectos para obtener una descripción de los campos que identifican un proyecto.WORKFORCE_POOL_ID
: Es el identificador del grupo de trabajadores que se creó para tu proveedor de identidad.USER_EMAIL
: la dirección de correo electrónico del usuario.
Ejemplo: Asigna el rol Administrador de IAM de proyecto en un proyecto compartido
En este ejemplo, el proyecto se usa para varias aplicaciones. Está vinculado a una instancia de operaciones de seguridad de Google y ejecuta servicios que no están relacionados con este tipo de operaciones. Por ejemplo, un recurso de Compute Engine que se usa con otro propósito.
En este caso, puedes otorgar la función de Administrador de IAM del proyecto a un usuario para que pueda otorgar y modificar las vinculaciones de funciones de IAM del proyecto y configurar las operaciones de seguridad de Google. También agregarás IAM a la vinculación de funciones para limitar su acceso solo a los roles relacionados con las operaciones de seguridad de Google en el proyecto. Este usuario solo puede otorgar los roles especificados en la condición de IAM.
Para obtener más información sobre las condiciones de IAM, consulta Descripción general de las condiciones de IAM y Administra las vinculaciones de funciones condicionales.
Asigna el rol con la consola de Google Cloud
En los siguientes pasos, se describe cómo otorgar un rol a un usuario con la consola de Google Cloud.
- Abre la consola de Google Cloud.
- Selecciona el proyecto que está vinculado a las operaciones de seguridad de Google.
- Selecciona IAM y administración.
- Selecciona Otorgar acceso. Aparecerá la opción Otorgar acceso a
<project>
. - En el cuadro de diálogo Otorgar acceso a
<project>
, en la sección Agregar principales, ingresa la dirección de correo electrónico del usuario en el campo Principales nuevas. - En la sección Asignar funciones, en el menú Selecciona un rol, elige el rol Administrador de IAM del proyecto.
- Haz clic en + Agregar condición de IAM.
En el cuadro de diálogo Agregar condición, ingresa la siguiente información:
- Ingresa un Título para la condición.
- Selecciona el Editor de condición.
- Ingresa la siguiente condición:
api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
- Haz clic en Guardar en el cuadro de diálogo Agregar condición.
- Haz clic en Guardar en el diálogo Otorgar acceso a
<project>
. - Abre la página IAM > Permisos para verificar que se le otorgó el rol correcto al usuario.
Asigna el rol con Google Cloud CLI
En el siguiente comando de ejemplo, se muestra cómo otorgar a un usuario la función chronicle.admin
y aplicar condiciones de IAM.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto vinculado a las operaciones de seguridad de Google que creaste en Vincula una instancia de operaciones de seguridad de Google al proyecto de Google Cloud. Consulta Cómo crear y administrar proyectos para obtener una descripción de los campos que identifican un proyecto.WORKFORCE_POOL_ID
: Es el identificador del grupo de trabajadores que se creó para tu proveedor de identidad.USER_EMAIL
: la dirección de correo electrónico del usuario.
Ejemplo: Asigna el rol de Editor de la API de Chronicle a un usuario
En esta situación, debes permitir que un usuario modifique el acceso a los recursos de la API de Google Security Operations.
Asigna el rol con la consola de Google Cloud
- Abre la consola de Google Cloud.
- Selecciona el proyecto que está vinculado a las operaciones de seguridad de Google.
- Selecciona IAM y administración.
- Selecciona Otorgar acceso. Se abrirá el diálogo Otorgar acceso a
<project>
. - En la sección Agregar principales, en el campo Principales nuevas, ingresa la dirección de correo electrónico del usuario.
- En la sección Asignar roles, en el menú Selecciona un rol, elige el rol Editor de la API de Google Security Operations.
- Haz clic en Guardar en el diálogo Otorgar acceso a
<project>
. - Abre la página IAM > Permisos para verificar que se le otorgó el rol correcto al usuario.
Asigna el rol con Google Cloud CLI
En el siguiente comando de ejemplo, se muestra cómo otorgar a un usuario el rol chronicle.editor
.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto vinculado a las operaciones de seguridad de Google que creaste en Vincula una instancia de operaciones de seguridad de Google al proyecto de Google Cloud. Consulta Cómo crear y administrar proyectos para obtener una descripción de los campos que identifican un proyecto.WORKFORCE_POOL_ID
: Es el identificador del grupo de trabajadores que se creó para tu proveedor de identidad.USER_EMAIL
: la dirección de correo electrónico del usuario.
Ejemplo: Crea y asigna un rol personalizado a un grupo
Si las funciones predefinidas de las operaciones de seguridad de Google no proporcionan el grupo de permisos que se adapta al caso práctico de tu organización, puedes crear una función personalizada y asignarle permisos de operaciones de seguridad de Google. Asignas el rol personalizado a un usuario o grupo. Para obtener más información sobre las funciones personalizadas de IAM, consulta Crea y administra funciones personalizadas.
Los siguientes pasos te permiten crear una función personalizada llamada LimitedAdmin
.
Crea un archivo YAML o JSON que defina el rol personalizado, llamado
LimitedAdmin
, y los permisos otorgados a este rol. El siguiente es un ejemplo de archivo YAML.title: "LimitedAdmin" description: "Admin role with some permissions removed" stage: "ALPHA" includedPermissions: - chronicle.collectors.create - chronicle.collectors.delete - chronicle.collectors.get - chronicle.collectors.list - chronicle.collectors.update - chronicle.dashboards.copy - chronicle.dashboards.create - chronicle.dashboards.delete - chronicle.dashboards.get - chronicle.dashboards.list - chronicle.extensionValidationReports.get - chronicle.extensionValidationReports.list - chronicle.forwarders.create - chronicle.forwarders.delete - chronicle.forwarders.generate - chronicle.forwarders.get - chronicle.forwarders.list - chronicle.forwarders.update - chronicle.instances.get - chronicle.instances.report - chronicle.legacies.legacyGetCuratedRulesTrends - chronicle.legacies.legacyGetRuleCounts - chronicle.legacies.legacyGetRulesTrends - chronicle.legacies.legacyUpdateFinding - chronicle.logTypeSchemas.list - chronicle.multitenantDirectories.get - chronicle.operations.cancel - chronicle.operations.delete - chronicle.operations.get - chronicle.operations.list - chronicle.operations.wait - chronicle.parserExtensions.activate - chronicle.parserExtensions.create - chronicle.parserExtensions.delete - chronicle.parserExtensions.generateKeyValueMappings - chronicle.parserExtensions.get - chronicle.parserExtensions.legacySubmitParserExtension - chronicle.parserExtensions.list - chronicle.parserExtensions.removeSyslog - chronicle.parsers.activate - chronicle.parsers.activateReleaseCandidate - chronicle.parsers.copyPrebuiltParser - chronicle.parsers.create - chronicle.parsers.deactivate - chronicle.parsers.delete - chronicle.parsers.get - chronicle.parsers.list - chronicle.parsers.runParser - chronicle.parsingErrors.list - chronicle.validationErrors.list - chronicle.validationReports.get - resourcemanager.projects.getIamPolicy
Crea el rol personalizado. El siguiente comando de gcloud CLI de ejemplo muestra cómo crear este rol personalizado con el archivo YAML que creaste en el paso anterior.
gcloud iam roles create ROLE_NAME \ --project=PROJECT_ID \ --file=YAML_FILE_NAME
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto vinculado a las operaciones de seguridad de Google que creaste en Vincula una instancia de operaciones de seguridad de Google al proyecto de Google Cloud. Consulta Cómo crear y administrar proyectos para obtener una descripción de los campos que identifican un proyecto.YAML_FILE_NAME
: Es el nombre del archivo que creaste en el paso anterior.ROLE_NAME
: Es el nombre del rol personalizado como se define en el archivo YAML.
Asigna el rol personalizado con Google Cloud CLI.
En el siguiente comando de ejemplo, se muestra cómo otorgar a un grupo de usuarios la función personalizada,
limitedAdmin
.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \ --role=projects/PROJECT_ID/roles/limitedAdmin
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto vinculado a las operaciones de seguridad de Google que creaste en Vincula una instancia de operaciones de seguridad de Google al proyecto de Google Cloud. Consulta Cómo crear y administrar proyectos para obtener una descripción de los campos que identifican un proyecto.WORKFORCE_POOL_ID
: Es el identificador del grupo de trabajadores que se creó para tu proveedor de identidad.GROUP_ID
: Es el identificador de grupo creado en la federación de identidades de personal. Consulta Representa a los usuarios de grupos de trabajadores en las políticas de IAM para obtener información sobre el identificador de grupo creado en la federación de identidades de personal. Consulta Representa a los usuarios del grupo de trabajadores en las políticas de IAM para obtener información sobreGROUP_ID
.GROUP_ID
.
Verifica el registro de auditoría
Las acciones de los usuarios en Google Security Operations y las solicitudes a la API de Google Security Operations se registran como registros de auditoría de Cloud. Para verificar que se escriban los registros, sigue estos pasos:
- Accede a las operaciones de seguridad de Google como un usuario con privilegios para acceder a cualquier función. Para obtener más información, consulta Cómo acceder a las operaciones de seguridad de Google.
- Realizar una acción, como realizar una búsqueda
- En la consola de Google Cloud, usa el Explorador de registros para ver los registros de auditoría en el proyecto de Cloud vinculado a las operaciones de seguridad de Google. Los registros de auditoría de las operaciones de seguridad de Google tienen el siguiente nombre de servicio
chronicle.googleapis.com
.
Para obtener más información sobre cómo ver los Registros de auditoría de Cloud, consulta la información del registro de auditoría de las operaciones de seguridad de Google.
El siguiente es un ejemplo de registro escrito cuando el usuario alice@example.com
vio la lista de extensiones del analizador en las operaciones de seguridad de Google.
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"authenticationInfo": {
"principalEmail": "alice@example.com"
},
"requestMetadata": {
"callerIp": "private",
"callerSuppliedUserAgent": "abc_client",
"requestAttributes": {
"time": "2023-03-27T21:09:43.897772385Z",
"reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
"auth": {}
},
"destinationAttributes": {}
},
"serviceName": "chronicle.googleapis.com",
"methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"authorizationInfo": [
{
"resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"permission": "chronicle.parserExtensions.list",
"granted": true,
"resourceAttributes": {}
}
],
"resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
"numResponseItems": "12",
"request": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
"parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
},
"response": {
"@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
}
},
"insertId": "1h0b0e0a0",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "dev-sys-server001",
"method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
"service": "chronicle.googleapis.com"
}
},
"timestamp": "2023-03-27T21:09:43.744940164Z",
"severity": "INFO",
"logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
"receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}
Migra las operaciones de seguridad de Google a IAM para controlar el acceso a las funciones.
Usa la información de estas secciones para migrar una instancia de SIEM de operaciones de seguridad de Google existente de la función de control de acceso basado en funciones de las operaciones de seguridad de Google anterior (RBAC de operaciones de seguridad de Google) a IAM. Después de migrar a IAM, también puedes auditar la actividad en la instancia de operaciones de seguridad de Google con Registros de auditoría de Cloud.
Diferencias entre IAM y RBAC de operaciones de seguridad de Google
Aunque los nombres de las funciones predefinidas de IAM son similares a los grupos de RBAC de operaciones de seguridad de Google, las funciones predefinidas de IAM no proporcionan un acceso a las funciones idéntico al de los grupos de RBAC de operaciones de seguridad de Google. Los permisos asignados a cada función predefinida de IAM son ligeramente diferentes. Para obtener más información, consulta Cómo se asignan los permisos de IAM a cada función de RBAC de operaciones de seguridad de Google.
Puedes usar las funciones predefinidas de las operaciones de seguridad de Google tal como están, cambiar los permisos definidos en cada función predefinida o crear funciones personalizadas y asignar un conjunto diferente de permisos.
Después de migrar la instancia de operaciones de seguridad de Google, puedes administrar los roles, los permisos y las políticas de IAM con IAM en la consola de Google Cloud. Las siguientes páginas de la aplicación de operaciones de seguridad de Google se modifican para dirigir a los usuarios a la consola de Google Cloud:
- Usuarios y grupos
- Funciones
En el RBAC de operaciones de seguridad de Google, cada permiso se describe por el nombre de la función y una acción. Los permisos de IAM se describen por el nombre y el método del recurso. En la siguiente tabla, se muestra la diferencia con dos ejemplos: uno relacionado con los paneles y el otro con los feeds.
Ejemplo de panel: Para controlar el acceso a los paneles, el RBAC de operaciones de seguridad de Google proporciona cinco acciones que puedes realizar en los paneles. IAM proporciona permisos similares con un
dashboards.list
adicional, que permite a un usuario enumerar los paneles disponibles.Ejemplo de feeds: Para controlar el acceso a los feeds, el RBAC de operaciones de seguridad de Google proporciona siete acciones que puedes habilitar o inhabilitar. Con IAM hay cuatro:
feeds.delete
,feeds.create
,feeds.update
yfeeds.view
.
Atributo | Permiso en el RBAC de operaciones de seguridad de Google | Permisos de IAM | Descripción de la acción del usuario |
---|---|---|---|
Paneles | Editar | chronicle.dashboards.edit |
Edita paneles |
Paneles | Copiar | chronicle.dashboards.copy |
Copiar paneles |
Paneles | Crear | chronicle.dashboards.create |
Crear paneles |
Paneles | Programa | chronicle.dashboards.schedule |
Programar informes |
Paneles | Borrar | chronicle.dashboards.delete |
Borrar informes |
Paneles | Ninguno Solo está disponible en IAM. | chronicle.dashboards.list |
Enumera los paneles disponibles |
Feeds | DeleteFeed | chronicle.feeds.delete |
Borra un feed. |
Feeds | CreateFeed | chronicle.feeds.create |
Crea un feed. |
Feeds | UpdateFeed | chronicle.feeds.update |
Actualiza un feed. |
Feeds | EnableFeed | chronicle.feeds.update |
Actualiza un feed. |
Feeds | DisableFeed | chronicle.feeds.update |
Actualiza un feed. |
Feeds | ListFeeds | chronicle.feeds.view |
Muestra uno o más feeds. |
Feeds | GetFeed | chronicle.feeds.view |
Muestra uno o más feeds. |
Pasos para migrar una instancia existente de operaciones de seguridad de Google
Para habilitar IAM en tu instancia existente de operaciones de seguridad de Google, sigue estos pasos:
- Comunícate con tu representante de operaciones de seguridad de Google y dile que deseas migrar tu configuración de RBAC existente a IAM. Proporciona la siguiente información a tu representante de Operaciones de seguridad de Google:
- El ID del proyecto vinculado a la instancia de operaciones de seguridad de Google. Lo definiste cuando lo creaste cuando vinculaste las operaciones de seguridad de Google al proyecto de Google Cloud.
- Ruta de acceso de frontend, que es parte de tu URL de operaciones de seguridad de Google.
- El ID del grupo de trabajadores. La definiste cuando configuraste la federación de identidades de personal.
- El representante de Operaciones de seguridad de Google te enviará un archivo que contiene los comandos de gcloud CLI. Debes ejecutar estos comandos para migrar tus políticas de control de acceso existentes a políticas de IAM equivalentes.
- Abre la consola de Google Cloud como un usuario con el rol
iam.workforcePoolAdmin
y los permisosProject Editor
, y accede al proyecto vinculado a las operaciones de seguridad de Google. Identificaste o creaste este usuario cuando integraste las operaciones de seguridad de Google con un proveedor de identidad de terceros. - Inicia una sesión de Cloud Shell.
- Ejecuta los comandos que proporciona el representante de operaciones de seguridad de Google para migrar tu configuración existente a IAM. Esto crea una nueva política de IAM equivalente a tu configuración de control de acceso del RBAC de operaciones de seguridad de Google.
- Después de ejecutar todos los comandos, confirma que las políticas de IAM se migraron correctamente en la página IAM > Permisos.
- Cuando te sientas cómodo con tus políticas de IAM, comunícate con tu representante de operaciones de seguridad de Google y dile que se migraron las políticas de IAM.
- Tu representante de Operaciones de seguridad de Google llevará a cabo los pasos necesarios para habilitar IAM en tu instancia de operaciones de seguridad de Google y se comunicará contigo cuando se complete.
- Verifica que puedes acceder a las operaciones de seguridad de Google como usuario con la función de administrador de la API de operaciones de seguridad de Google.
- Accede a Operaciones de seguridad de Google como un usuario con la función predefinida de Administrador de la API de operaciones de seguridad de Google. Para obtener más información, consulta Cómo acceder a las operaciones de seguridad de Google.
- Abre el menú Aplicación > Configuración > Usuarios y grupos. Deberías ver el siguiente mensaje: *Para administrar usuarios y grupos, ve a Identity Access Management (IAM) en la consola de Google Cloud. Obtén más información para administrar usuarios y grupos.*
- Verifica los permisos de otros roles del usuario.
- Accede a las operaciones de seguridad de Google como un usuario con un rol diferente. Consulta Cómo acceder a las operaciones de seguridad de Google para obtener más información.
- Verifica que las funciones disponibles en la aplicación coincidan con los permisos definidos en IAM.
Cómo se asignan los permisos de IAM a cada rol de RBAC de operaciones de seguridad de Google
En la siguiente sección, se resume cada función predefinida de las operaciones de seguridad de Google en IAM y los permisos vinculados a cada función. También identifica a qué rol y acción de Operaciones de seguridad de Google de RBAC es similar.
Visualizador limitado de la API de Chronicle
Esta función otorga acceso de solo lectura a la aplicación de operaciones de seguridad de Google y a los recursos de la API, excepto las reglas del motor de detección y las cazas retroactivas. El nombre de la función es chronicle.limitedViewer
.
Los siguientes permisos están disponibles en la función predefinida de Visualizador limitado de la API de Google Security Operations en IAM.
Permisos de IAM | Permiso equivalente asignado al siguiente rol de RBAC de operaciones de seguridad de Google |
---|---|
chronicle.instances.get |
Solo está disponible en IAM. |
chronicle.dashboards.get |
Solo está disponible en IAM. |
chronicle.dashboards.list |
Solo está disponible en IAM. |
chronicle.multitenantDirectories.get |
Solo está disponible en IAM. |
chronicle.logs.list |
Solo está disponible en IAM. |
Visualizador de API de Chronicle
Esta función proporciona acceso de solo lectura a los recursos de la API y de la aplicación de operaciones de seguridad de Google. El nombre de la función es chronicle.viewer
.
Los siguientes permisos están disponibles en la función predefinida de Visualizador de la API de operaciones de seguridad de Google en IAM.
Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
---|---|
chronicle.ruleDeployments.get |
Viewer |
chronicle.ruleDeployments.list |
Viewer |
chronicle.rules.verifyRuleText |
Viewer |
chronicle.rules.get |
Viewer |
chronicle.rules.list |
Viewer |
chronicle.legacies.legacyGetRuleCounts |
Viewer |
chronicle.legacies.legacyGetRulesTrends |
Viewer |
chronicle.rules.listRevisions |
Viewer |
chronicle.legacies.legacyGetCuratedRulesTrends |
Viewer |
chronicle.ruleExecutionErrors.list |
Viewer |
chronicle.curatedRuleSets.get |
Viewer |
chronicle.curatedRuleSetDeployments.get |
Viewer |
chronicle.curatedRuleSets.list |
Viewer |
chronicle.curatedRuleSetDeployments.list |
Viewer |
chronicle.curatedRuleSetCategories.get |
Viewer |
chronicle.curatedRuleSetCategories.list |
Viewer |
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections |
Viewer |
chronicle.curatedRuleSets.countCuratedRuleSetDetections |
Viewer |
chronicle.curatedRules.get |
Viewer |
chronicle.curatedRules.list |
Viewer |
chronicle.referenceLists.list |
Viewer |
chronicle.referenceLists.get |
Viewer |
chronicle.referenceLists.verifyReferenceList |
Viewer |
chronicle.retrohunts.get |
Viewer |
chronicle.retrohunts.list |
Viewer |
chronicle.dashboards.schedule |
Editor |
chronicle.operations.get |
None. This is available in IAM only. |
chronicle.operations.list |
None. This is available in IAM only. |
chronicle.operations.wait |
None. This is available in IAM only. |
chronicle.instances.report |
None. This is available in IAM only. |
chronicle.collectors.get |
None. This is available in IAM only. |
chronicle.collectors.list |
None. This is available in IAM only. |
chronicle.forwarders.generate |
None. This is available in IAM only. |
chronicle.forwarders.get |
None. This is available in IAM only. |
chronicle.forwarders.list |
None. This is available in IAM only. |
Editor de la API de Chronicle
Esta función permite a los usuarios modificar el acceso a los recursos de la API y de la aplicación de operaciones de seguridad de Google. El nombre de la función es chronicle.editor
.
Los siguientes permisos están disponibles en la función predefinida de Editor de la API de operaciones de seguridad de Google en IAM.
Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
---|---|
chronicle.ruleDeployments.update |
Editor |
chronicle.rules.update |
Editor |
chronicle.rules.create |
Editor |
chronicle.referenceLists.create |
Editor |
chronicle.referenceLists.update |
Editor |
chronicle.rules.runRetrohunt |
Editor |
chronicle.retrohunts.create |
Editor |
chronicle.curatedRuleSetDeployments.batchUpdate |
Editor |
chronicle.curatedRuleSetDeployments.update |
Editor |
chronicle.dashboards.copy |
Editor |
chronicle.dashboards.edit |
Editor |
chronicle.dashboards.create |
Editor |
chronicle.legacies.legacyUpdateFinding |
Editor |
chronicle.dashboards.delete |
Editor |
chronicle.operations.delete |
None. This is available in IAM only. |
Administrador de la API de Chronicle
Esta función proporciona acceso completo a la aplicación de operaciones de seguridad de Google y a los servicios de la API, incluida la configuración global. El nombre de la función es chronicle.admin
.
Los siguientes permisos están disponibles en la función predefinida de Administrador de la API de operaciones de seguridad de Google en IAM.
Google Security Operations permission | Equivalent permission is mapped to this Google Security Operations RBAC role |
---|---|
chronicle.parserExtensions.delete |
Admin |
chronicle.parsers.copyPrebuiltParser |
Admin |
chronicle.extensionValidationReports.get |
Admin |
chronicle.extensionValidationReports.list |
Admin |
chronicle.validationErrors.list |
Admin |
chronicle.parsers.runParser |
Admin |
chronicle.parserExtensions.get |
Admin |
chronicle.parserExtensions.list |
Admin |
chronicle.validationReports.get |
Admin |
chronicle.parserExtensions.create |
Admin |
chronicle.parserExtensions.removeSyslog |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parserExtensions.activate |
Admin |
chronicle.parsers.activateReleaseCandidate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parsers.deactivate |
Admin |
chronicle.parserExtensions.generateKeyValuechronicle.Mappings |
Admin |
chronicle.parserExtensions.legacySubmitParserExtension |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.activate |
Admin |
chronicle.parsers.list |
Admin |
chronicle.parsers.create |
Admin |
chronicle.parsers.delete |
Admin |
chronicle.feeds.delete |
Admin |
chronicle.feeds.create |
Admin |
chronicle.feeds.update |
Admin |
chronicle.feeds.enable |
Admin |
chronicle.feeds.disable |
Admin |
chronicle.feeds.list |
Admin |
chronicle.feeds.get |
Admin |
chronicle.feedSourceTypeSchemas.list |
Admin |
chronicle.logTypeSchemas.list |
Admin |
chronicle.operations.cancel |
Editor |
chronicle.collectors.create |
None. This is available in IAM only. |
chronicle.collectors.delete |
None. This is available in IAM only. |
chronicle.collectors.update |
None. This is available in IAM only. |
chronicle.forwarders.create |
None. This is available in IAM only. |
chronicle.forwarders.delete |
None. This is available in IAM only. |
chronicle.forwarders.update |
None. This is available in IAM only. |
chronicle.parsingErrors.list |
None. This is available in IAM only. |