Configure o controlo de acesso a funcionalidades através da IAM

Compatível com:

O RBAC de funcionalidades controla o acesso dos utilizadores a funcionalidades específicas num sistema e determina as funcionalidades acessíveis aos utilizadores com base nas respetivas funções. Esta página descreve como pode configurar o controlo de acesso a funcionalidades no Google Security Operations.

Neste documento, o termo RBAC antigo é usado quando se refere ao sistema de controlo de acesso disponível anteriormente que é configurado através do Google SecOps e não da gestão de identidade e acesso (IAM). O CABF de funcionalidades é usado para descrever o controlo de acesso baseado em funcionalidades que configura através do IAM.

O Google SecOps integra-se com o Google Cloud IAM para fornecer autorizações específicas do Google SecOps e funções predefinidas. Os administradores do Google SecOps podem controlar o acesso às funcionalidades criando políticas de IAM que associam utilizadores ou grupos a funções predefinidas ou podem criar funções de IAM personalizadas. Esta funcionalidade não controla o acesso a registos UDM específicos nem a campos num registo UDM.

Este documento faz o seguinte:

  • Descreve como o Google SecOps se integra com a IAM.
  • Explica como as funções RBAC de funcionalidades são diferentes das funções RBAC antigas.
  • Fornece passos para migrar uma instância do Google SecOps para incluir o RBAC.
  • Fornece exemplos de como atribuir autorizações através do IAM.
  • Resume as autorizações e as funções predefinidas disponíveis no IAM.

Para ver uma lista de autorizações do Google SecOps usadas com frequência e os registos de auditoria que produzem, consulte o artigo Autorizações e métodos da API por grupo de recursos. Para ver uma lista de todas as autorizações do Google SecOps, consulte o referência de autorizações de gestão de identidades e acessos.

Cada autorização do Google SecOps está associada a um recurso e a um método da API Chronicle. Quando é concedida uma autorização a um utilizador ou a um grupo, o utilizador pode aceder à funcionalidade no Google SecOps e enviar um pedido através do método API relacionado.

Como o Google SecOps se integra com a IAM

Para usar o IAM, o Google SecOps tem de estar associado a um projeto e tem de ser configurado com o Cloud ID, o Google Workspace ou a federação de identidades da força de trabalho como intermediário no fluxo de autenticação para um fornecedor de identidade de terceiros. Google CloudGoogle Cloud Para informações sobre o fluxo de autenticação de terceiros, consulte o artigo Integre o Google SecOps com um fornecedor de identidade de terceiros.

A Google SecOps executa os seguintes passos para validar e controlar o acesso às funcionalidades:

  1. Depois de iniciar sessão no Google SecOps, um utilizador acede a uma página da aplicação do Google SecOps. Em alternativa, o utilizador pode enviar um pedido de API para o Google SecOps.
  2. A Google SecOps valida as autorizações concedidas nas políticas de IAM definidas para esse utilizador.
  3. O IAM devolve as informações de autorização. Se o utilizador acedeu a uma página da aplicação, o Google SecOps permite o acesso apenas às funcionalidades às quais o utilizador recebeu acesso.
  4. Se o utilizador enviou um pedido de API e não tem autorização para realizar a ação pedida, a resposta da API inclui um erro. Caso contrário, é devolvida uma resposta padrão.

O Google SecOps fornece um conjunto de funções predefinidas com um conjunto definido de autorizações que controlam se um utilizador pode aceder à funcionalidade. A política de IAM única controla o acesso à funcionalidade através da interface Web e da API.

Se existirem outros serviços Google Cloud no projeto associado ao Google SecOps e quiser limitar um utilizador com a função de administrador da IAM do projeto para modificar apenas os recursos do Google SecOps, certifique-se de que adiciona condições da IAM à política de autorização. Google Cloud Consulte o artigo Atribua funções a utilizadores e grupos para ver um exemplo de como o fazer.

Os administradores personalizam o acesso às funcionalidades do Google SecOps com base na função de um funcionário na sua organização.

Antes de começar

Planeie a implementação

Crie políticas de IAM que suportem os requisitos de implementação da sua organização. Pode usar funções predefinidas do Google SecOps ou funções personalizadas que criar.

Reveja a lista de funções e autorizações predefinidas do Google SecOps em função dos requisitos da sua organização. Identifique os membros da sua organização que devem ter acesso a cada funcionalidade do Google SecOps. Se a sua organização exigir políticas de IAM diferentes das funções predefinidas do Google SecOps, crie funções personalizadas para suportar estes requisitos. Para informações sobre as funções personalizadas do IAM, consulte o artigo Crie e faça a gestão de funções personalizadas.

Resumo das funções e autorizações do Google SecOps

As secções seguintes oferecem um resumo de alto nível das funções predefinidas.

A lista mais atual de autorizações do Google SecOps encontra-se na referência de autorizações da IAM. Na secção Pesquisar uma autorização, pesquise o termo chronicle.

A lista mais atualizada de funções predefinidas do Google Security Operations encontra-se na referência de funções básicas e predefinidas do IAM. Na secção Funções predefinidas, selecione o serviço Funções da API Chronicle ou pesquise o termo chronicle.

Para obter informações sobre os métodos e as autorizações da API, as páginas onde as autorizações são usadas e as informações registadas nos registos de auditoria do Google Cloud quando a API é chamada, consulte o artigo Autorizações do Chronicle no IAM.

Funções predefinidas do Google SecOps na IAM

O Google SecOps fornece as seguintes funções predefinidas, tal como aparecem no IAM.

Função predefinida no IAM Título Descrição
roles/chronicle.admin Administrador da API Chronicle Acesso total à aplicação Google SecOps e aos serviços de API, incluindo definições globais.
roles/chronicle.editor Editor de APIs do Chronicle Modificar o acesso à aplicação Google SecOps e aos recursos da API.
roles/chronicle.viewer Visualizador da API Chronicle Acesso só de leitura aos recursos da API e da aplicação do Google SecOps
roles/chronicle.limitedViewer Visualizador limitado da API Chronicle Concede acesso só de leitura aos recursos da API e da aplicação Google SecOps, excluindo as regras do motor de deteção e as retrocaças.

Autorizações do Google SecOps no IAM

As autorizações do Google SecOps correspondem individualmente aos métodos da API Chronicle. Cada autorização do Google SecOps permite uma ação específica numa funcionalidade específica do Google SecOps quando usa a aplicação Web ou a API. As APIs Google SecOps usadas com o IAM estão na fase de lançamento alfa.

Os nomes das autorizações do Google SecOps seguem o formato SERVICE.FEATURE.ACTION. Por exemplo, o nome da autorização chronicle.dashboards.edit é composto pelo seguinte:

  • chronicle: o nome do serviço da API Chronicle.
  • dashboards: o nome da funcionalidade.
  • edit: a ação que pode ser realizada na funcionalidade.

O nome da autorização descreve a ação que pode realizar na funcionalidade no Google SecOps. Todas as autorizações do Google SecOps têm o nome do serviço chronicle.

Atribua funções a utilizadores e grupos

As secções seguintes fornecem exemplos de utilização para a criação de políticas de IAM. O termo <project> é usado para representar o ID do projeto que associou ao Google SecOps.

Depois de ativar a API Chronicle, as funções e as autorizações predefinidas do Google SecOps ficam disponíveis no IAM, e pode criar políticas para suportar os requisitos da organização.

Se tiver uma instância do Google SecOps criada recentemente, comece a criar políticas de IAM para cumprir os requisitos da organização.

Se esta for uma instância existente do Google SecOps, consulte o artigo Migre o Google SecOps para o IAM para o controlo de acesso a funcionalidades para ver informações sobre a migração da instância para o IAM.

Exemplo: atribua a função de administrador do IAM do projeto num projeto dedicado

Neste exemplo, o projeto é dedicado à sua instância do Google SecOps. Concede a função de administrador de IAM do projeto a um utilizador para que possa conceder e modificar as associações de funções de IAM do projeto. O utilizador pode administrar todas as funções e autorizações do Google SecOps no projeto e realizar tarefas concedidas pela função Project IAM Admin.

Atribua a função através da Google Cloud consola

Os passos seguintes descrevem como conceder uma função a um utilizador através da Google Cloud consola.

  1. Abra a Google Cloud consola.
  2. Selecione o projeto associado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Conceder acesso. É apresentada a opção Conceder acesso a <project>.
  5. Na secção Adicionar membros, introduza o endereço de email da conta gerida no campo Novos membros.
  6. Na secção Atribuir funções, no menu Selecionar uma função, selecione a função Administrador de IAM do projeto.
  7. Clique em Guardar.
  8. Abra a página IAM > Autorizações para verificar se foi concedida a função correta ao utilizador.

Atribua a função através da Google Cloud CLI

O comando de exemplo seguinte demonstra como conceder a um utilizador a função chronicle.admin quando usar a federação de identidades da força de trabalho.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Substitua o seguinte:

O comando de exemplo seguinte demonstra como conceder a função chronicle.admin a um grupo quando usa o Cloud ID ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Substitua o seguinte:

Exemplo: atribua a função de administrador do IAM do projeto num projeto partilhado

Neste exemplo, o projeto é usado para várias aplicações. Está associado a uma instância do Google SecOps e executa serviços que não estão relacionados com o Google SecOps. Por exemplo, um recurso do Compute Engine usado para outro fim.

Neste caso, pode conceder a função de administrador de IAM do projeto a um utilizador para que este possa conceder e modificar as associações de funções de IAM do projeto e configurar o Google SecOps. Também vai adicionar IAMs à associação de funções para limitar o respetivo acesso apenas a funções relacionadas com o Google SecOps no projeto. Este utilizador só pode conceder funções especificadas na condição do IAM.

Para mais informações sobre as condições de IAM, consulte os artigos Vista geral das condições de IAM e Gerir associações de funções condicionais.

Atribua a função através da Google Cloud consola

Os passos seguintes descrevem como conceder uma função a um utilizador através da Google Cloud consola.

  1. Abra a Google Cloud consola.
  2. Selecione o projeto associado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Conceder acesso. É apresentada a opção Conceder acesso a <project>.
  5. Na caixa de diálogo Conceder acesso a <project>, na secção Adicionar responsáveis, introduza o endereço de email do utilizador no campo Novos responsáveis.
  6. Na secção Atribuir funções, no menu Selecionar uma função, selecione a função Administrador de IAM do projeto.
  7. Clique em + Adicionar condição de IAM.
  8. Na caixa de diálogo Adicionar condição, introduza as seguintes informações:
    1. Introduza um título para a condição.
    2. Selecione o Editor de condições.
    3. Introduza a seguinte condição:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Clique em Guardar na caixa de diálogo Adicionar condição.
  2. Clique em Guardar na caixa de diálogo Conceder acesso a <project>.
  3. Abra a página IAM > Autorizações para verificar se foi concedida a função correta ao utilizador.

Atribua a função através da Google Cloud CLI

O comando de exemplo seguinte demonstra como conceder a um utilizador a função chronicle.admin e aplicar condições da IAM quando usar a federação de identidades da força de trabalho.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Substitua o seguinte:

O comando de exemplo seguinte demonstra como conceder a um grupo a função chronicle.admin e aplicar condições da IAM quando usa o Cloud ID ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Substitua o seguinte:

Exemplo: atribua a função de editor da API Chronicle a um utilizador

Nesta situação, quer dar a um utilizador a capacidade de modificar o acesso aos recursos da API Chronicle.

Atribua a função através da Google Cloud consola

  1. Abra a Google Cloud consola.
  2. Selecione o projeto associado ao Google SecOps.
  3. Selecione IAM e administrador.
  4. Selecione Conceder acesso. É aberta a caixa de diálogo Conceder acesso a <project>.
  5. Na secção Adicionar membros, no campo Novos membros, introduza o endereço de email do utilizador.
  6. Na secção Atribuir funções, no menu Selecionar uma função, selecione a função Editor da API Chronicle.
  7. Clique em Guardar na caixa de diálogo Conceder acesso a <project>.
  8. Abra a página IAM > Autorizações para verificar se foi concedida a função correta ao utilizador.

Atribua a função através da Google Cloud CLI

O comando de exemplo seguinte demonstra como conceder a um utilizador a função chronicle.editor quando usar a federação de identidades da força de trabalho.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Substitua o seguinte:

  • PROJECT_ID: o ID do projeto associado ao Google SecOps que criou em Associar uma instância do Google SecOps ao projeto Google Cloud . Consulte o artigo Criar e gerir projetos para ver uma descrição dos campos que identificam um projeto.
  • WORKFORCE_POOL_ID: o identificador do Workforce Pool criado para o seu fornecedor de identidade.

  • USER_EMAIL: o endereço de email do utilizador.

    O comando de exemplo seguinte demonstra como conceder a um utilizador a função chronicle.editor quando usa o Cloud Identity ou o Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Substitua o seguinte:

Exemplo: crie e atribua uma função personalizada a um grupo

Se as funções predefinidas do Google SecOps não fornecerem o grupo de autorizações que satisfazem o exemplo de utilização da sua organização, pode criar uma função personalizada e atribuir autorizações do Google SecOps a essa função personalizada. Atribui a função personalizada a um utilizador ou grupo. Para mais informações sobre as funções personalizadas do IAM, consulte o artigo Crie e faça a gestão de funções personalizadas.

Os passos seguintes permitem-lhe criar uma função personalizada denominada LimitedAdmin.

  1. Crie um ficheiro YAML ou JSON que defina a função personalizada, denominada LimitedAdmin, e as autorizações concedidas a esta função. Segue-se um exemplo de um ficheiro YAML.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.get

  2. Crie a função personalizada. O exemplo seguinte do comando da CLI gcloud demonstra como criar esta função personalizada através do ficheiro YAML que criou no passo anterior.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Substitua o seguinte:

  3. Atribua a função personalizada através da CLI do Google Cloud.

    O comando de exemplo seguinte demonstra como conceder a um grupo de utilizadores a função personalizada limitedAdmin quando usar a federação de identidades da força de trabalho.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Substitua o seguinte:

    O comando de exemplo seguinte demonstra como conceder a um grupo de utilizadores a função personalizada limitedAdmin quando usa o Cloud Identity ou o .

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Substitua o seguinte:

Valide o registo de auditoria

As ações do utilizador no Google SecOps e os pedidos à API Chronicle são registados como registos de auditoria na nuvem. Para verificar se os registos estão a ser escritos, siga os passos abaixo:

  1. Inicie sessão no Google SecOps como um utilizador com privilégios para aceder a qualquer funcionalidade. Consulte o artigo Inicie sessão no Google SecOps para mais informações.
  2. Realizar uma ação, como fazer uma pesquisa.
  3. Na Google Cloud consola, use o Explorador de registos para ver os registos de auditoria no projeto do Google Cloud associado ao Google SecOps. Os registos de auditoria do Google SecOps têm o seguinte nome do serviço: chronicle.googleapis.com.

Para mais informações sobre como ver os registos de auditoria do Cloud, consulte as informações de registo de auditoria do Google SecOps.

Segue-se um exemplo de registo escrito quando o utilizador alice@example.com viu a lista de extensões do analisador no Google SecOps.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Migre o Google SecOps para o CABF para o controlo de acesso a funcionalidades

Use as informações nestas secções para migrar uma instância do SIEM do Google Security Operations existente do sistema RBAC antigo para o RBAC de funcionalidades.

Depois de migrar para o RBAC de funcionalidades, também pode auditar a atividade na instância do Google SecOps através dos registos de auditoria do Google Cloud.

Diferenças entre a RBAC antiga e a RBAC de funcionalidades

Embora os nomes das funções predefinidas do CABF de funcionalidades sejam semelhantes aos das funções do CABF antigo, as funções predefinidas do CABF de funcionalidades não oferecem um acesso idêntico às funcionalidades como as funções do CABF antigo. As autorizações atribuídas a cada função RBAC de funcionalidade predefinida são ligeiramente diferentes. Para mais informações, consulte o artigo Como as funções de IAM de CABF de funcionalidades são mapeadas para funções de CABF antigas.

Pode usar as funções predefinidas do Google SecOps tal como estão, alterar as autorizações definidas em cada função predefinida ou criar funções personalizadas e atribuir um conjunto diferente de autorizações.

Depois de migrar a instância do Google SecOps, vai gerir as funções, as autorizações e as políticas de CABF de funcionalidades através do IAM na Google Cloud consola. As seguintes páginas da aplicação Google SecOps são modificadas para direcionar os utilizadores para a Google Cloud consola:

  • Utilizadores e grupos
  • Funções

Na RBAC antiga, cada autorização é descrita pelo nome da funcionalidade e por uma ação. As autorizações de IAM no RBAC de funcionalidades são descritas pelo nome do recurso e pelo método. A tabela seguinte ilustra a diferença com dois exemplos, um relacionado com painéis de controlo e o segundo relacionado com feeds.

  • Exemplo de painel de controlo: para controlar o acesso aos painéis de controlo, o CABF antigo oferece cinco ações que pode realizar nos painéis de controlo. O RBAC de funcionalidades oferece autorizações IAM semelhantes com uma autorização adicional, dashboards.list, que permite a um utilizador listar os painéis de controlo disponíveis.

  • Exemplo de feeds: para controlar o acesso a feeds, o CABF antigo oferece sete ações que pode ativar ou desativar. Com o RBAC de funcionalidades, existem quatro: feeds.delete, feeds.create, feeds.update e feeds.view.

Funcionalidade Autorização no RBAC antigo Autorização de IAM no CABF de funcionalidades Descrição da ação do utilizador
Painéis de controlo Editar chronicle.dashboards.edit Edite painéis de controlo
Painéis de controlo Copiar chronicle.dashboards.copy Copie painéis de controlo
Painéis de controlo Criar chronicle.dashboards.create Crie painéis de controlo
Painéis de controlo Agendar chronicle.dashboards.schedule Agende relatórios
Painéis de controlo Eliminar chronicle.dashboards.delete Elimine relatórios
Painéis de controlo Nenhum. Esta opção está disponível apenas na RBAC de funcionalidades. chronicle.dashboards.list Listar painéis de controlo disponíveis
Feeds DeleteFeed chronicle.feeds.delete Elimine um feed.
Feeds CreateFeed chronicle.feeds.create Crie um feed.
Feeds UpdateFeed chronicle.feeds.update Atualize um feed.
Feeds EnableFeed chronicle.feeds.update Atualize um feed.
Feeds DisableFeed chronicle.feeds.update Atualize um feed.
Feeds ListFeeds chronicle.feeds.view Devolve um ou mais feeds.
Feeds GetFeed chronicle.feeds.view Devolve um ou mais feeds.

Passos para migrar as autorizações de controlo de acesso existentes

Depois de concluir os passos para migrar uma instância existente do Google SecOps, também pode migrar a configuração do controlo de acesso a funcionalidades.

O Google SecOps fornece comandos gerados automaticamente que criam novas políticas de IAM de RBAC de funcionalidades equivalentes ao seu RBAC antigo, que está configurado no Google SecOps, na página Definições do SIEM > Utilizadores e grupos.

Certifique-se de que tem as autorizações necessárias descritas no artigo Configure um Google Cloud projeto para o Google SecOps e, em seguida, siga os passos em Migre as autorizações e as funções existentes para o IAM.

Como as funções IAM de CABF de funcionalidades são mapeadas para funções de CABF antigas

As informações de mapeamento nesta secção ilustram algumas das diferenças no acesso para funções predefinidas antes e depois da migração. Embora os nomes das funções do CABF antigo sejam semelhantes às funções predefinidas do IAM do CABF de funcionalidades, as ações às quais cada um dá acesso são diferentes. Esta secção apresenta uma introdução a algumas destas diferenças.

Visualizador limitado da API Chronicle

Esta função concede acesso só de leitura à aplicação Google SecOps e aos recursos da API, excluindo regras do motor de deteção e retrocaças. O nome da função é chronicle.limitedViewer.

Para uma lista detalhada das autorizações, consulte o Chronicle API Viewer.

Visualizador da API Chronicle

Esta função fornece acesso só de leitura aos recursos da API e da aplicação Google SecOps. O nome da função é chronicle.viewer.

As seguintes autorizações ilustram algumas das diferenças entre as funções de RBAC herdadas e as funções de RBAC de funcionalidades semelhantes. Para uma lista detalhada das autorizações, consulte o Chronicle API Viewer.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in feature RBAC only.
chronicle.operations.list None. This is available in feature RBAC only.
chronicle.operations.wait None. This is available in feature RBAC only.
chronicle.instances.report None. This is available in feature RBAC only.
chronicle.collectors.get None. This is available in feature RBAC only.
chronicle.collectors.list None. This is available in feature RBAC only.
chronicle.forwarders.generate None. This is available in feature RBAC only.
chronicle.forwarders.get None. This is available in feature RBAC only.
chronicle.forwarders.list None. This is available in feature RBAC only.

Editor de APIs do Chronicle

Esta função permite que os utilizadores modifiquem o acesso aos recursos da API e da aplicação Google SecOps. O nome da função é chronicle.editor.

As seguintes autorizações ilustram algumas das diferenças entre as funções de RBAC semelhantes e as funções de RBAC de funcionalidades. Para uma lista detalhada das autorizações, consulte o Editor da API Chronicle.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in feature RBAC only.

Administrador da API Chronicle

Esta função oferece acesso total à aplicação Google SecOps e aos serviços de API, incluindo as definições globais. O nome da função é chronicle.admin.

As seguintes autorizações ilustram algumas das diferenças entre as funções de RBAC semelhantes e as funções de RBAC de funcionalidades. Para ver uma lista detalhada das autorizações, consulte o artigo Administrador da API Chronicle.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in feature RBAC only.
chronicle.collectors.delete None. This is available in feature RBAC only.
chronicle.collectors.update None. This is available in feature RBAC only.
chronicle.forwarders.create None. This is available in feature RBAC only.
chronicle.forwarders.delete None. This is available in feature RBAC only.
chronicle.forwarders.update None. This is available in feature RBAC only.
chronicle.parsingErrors.list None. This is available in feature RBAC only.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.