Zugriffssteuerung für Features mit IAM konfigurieren

Google Security Operations lässt sich in Identity and Access Management (IAM) von Google Cloud einbinden um Google SecOps-spezifische Berechtigungen und vordefinierte Rollen. Google SecOps-Administratoren können Steuern Sie den Zugriff auf Features, indem Sie IAM-Richtlinien erstellen, die eine Bindung Nutzern oder Gruppen vordefinierte Rollen zuweisen oder benutzerdefinierte IAM-Rollen erstellen. Mit dieser Funktion wird nicht der Zugriff auf bestimmte UDM-Einträge oder Felder in einem UDM-Eintrag gesteuert.

In diesem Dokument wird Folgendes beschrieben:

  • Beschreibt die Einbindung von Google SecOps in IAM.
  • Hier wird erläutert, wie sich vordefinierte IAM-Rollen von den ursprünglichen Feature-RBAC-Gruppen unterscheiden.
  • Enthält Schritte zum Migrieren einer Google SecOps-Instanz zu IAM.
  • Enthält Beispiele für das Zuweisen von Berechtigungen mithilfe von IAM.
  • Fasst die in IAM verfügbaren Berechtigungen und vordefinierten Rollen zusammen.

Liste häufig verwendeter Google SecOps-Berechtigungen und Prüfung erstellte Logs finden Sie unter Berechtigungen und API-Methoden nach Ressourcengruppe. Eine Liste aller Google SecOps-Berechtigungen finden Sie unter Berechtigungsreferenz zu Identity and Access Management.

Sie sind dabei, Ihre Google SecOps-Instanzen zu migrieren der ursprünglichen RBAC-Funktion. In diesem Dokument ist der Name Feature RBAC wird verwendet, wenn auf die zuvor verfügbare funktionsbasierte Zugriffssteuerung verwiesen wird das mit Google SecOps und nicht mit IAM konfiguriert wird. Mit IAM wird die funktionsbasierte Zugriffssteuerung beschrieben. die Sie mit IAM konfigurieren.

Jede Google SecOps-Berechtigung ist einer Google SecOps API zugeordnet und Methode verwendet. Wenn einem Nutzer oder einer Gruppe eine Berechtigung gewährt wird, kann der Nutzer auf die Funktion in Google SecOps zugreifen und eine Anfrage mit der zugehörigen API-Methode senden.

Einbindung von Google SecOps in IAM

Zur Verwendung von IAM muss Google SecOps an eine Google Cloud gebunden sein und muss entweder mit Cloud Identity, Google Workspace, oder die Google Cloud-Mitarbeiteridentitätsföderation als Vermittler bei der Authentifizierung zu einem externen Identitätsanbieter übertragen werden. Informationen zur Drittanbieterauthentifizierung finden Sie unter Google SecOps mit externen Identitätsanbietern integrieren.

Google SecOps führt die folgenden Schritte aus, um den Zugriff auf Funktionen zu verifizieren und zu steuern:

  1. Nach der Anmeldung in Google SecOps greift ein Nutzer auf Google SecOps zu zur Bewerbung. Alternativ kann der Nutzer eine API-Anfrage an Google SecOps senden.
  2. Google SecOps überprüft die in der IAM gewährten Berechtigungen die für diesen Nutzer definiert sind.
  3. IAM gibt die Autorisierungsinformationen zurück. Wenn der Nutzer auf Anwendungsseite ermöglicht Google SecOps nur Zugriff auf die Funktionen, auf die dem Nutzer Zugriff gewährt wurde.
  4. Wenn der Nutzer eine API-Anfrage gesendet hat und nicht berechtigt ist, den angeforderte Aktion enthält die API-Antwort einen Fehler. Andernfalls wird eine Standardantwort zurückgegeben.

Google SecOps bietet eine Reihe vordefinierter Rollen mit festgelegten Berechtigungen die steuern, ob ein Nutzer auf die Funktion zugreifen kann. Die einzelne IAM-Richtlinie steuert den Zugriff auf die Funktion über die Weboberfläche und die API.

Wenn andere Google Cloud-Dienste im Google Cloud-Projekt an Google SecOps und Sie möchten einen Nutzer mit der Rolle „Projekt-IAM-Administrator“ einschränken Wenn Sie nur die Google SecOps-Ressourcen ändern möchten, müssen Sie IAM für die Zulassungsrichtlinie hinzugefügt. Weitere Informationen finden Sie unter Nutzern und Gruppen Rollen zuweisen. finden Sie ein Beispiel dafür.

Administratoren passen den Zugriff auf Google SecOps-Funktionen basierend auf den Rolle in Ihrer Organisation.

Hinweise

Implementierung planen

Sie erstellen IAM-Richtlinien, die die Anforderungen an die Bereitstellung. Sie können entweder vordefinierte Google SecOps-Rollen oder benutzerdefinierte Rollen erstellen.

Überprüfen Sie die Liste der vordefinierten Google SecOps-Rollen und -Berechtigungen anhand der folgenden Kriterien: Anforderungen Ihrer Organisation. Identifizieren Sie, welche Mitglieder Ihrer Organisation Zugriff auf alle Google SecOps-Funktionen haben. Wenn Ihre Organisation IAM-Richtlinien, die sich von den vordefinierten Google SecOps unterscheiden erstellen Sie benutzerdefinierte Rollen, um diese Anforderungen zu erfüllen. Informationen zu Benutzerdefinierte IAM-Rollen, siehe Benutzerdefinierte Rollen erstellen und verwalten

Zusammenfassung der Google SecOps-Rollen und -Berechtigungen

Die folgenden Abschnitte enthalten eine allgemeine Zusammenfassung vordefinierter Rollen.

Die aktuelle Liste der Google SecOps-Berechtigungen finden Sie in Referenz für IAM-Berechtigungen Klicken Sie im Bereich Suchen Sie nach einer Berechtigung und suchen Sie nach dem Begriff chronicle.

Die aktuelle Liste vordefinierter Google SecOps-Rollen finden Sie in Referenz zu einfachen und vordefinierten IAM-Rollen Weniger als Wählen Sie im Bereich Vordefinierte Rollen entweder den Dienst Chronicle API-Rollen aus oder nach dem Begriff chronicle suchen.

Informationen zu API-Methoden und -Berechtigungen finden Sie in der Seiten, auf denen Berechtigungen verwendet werden, und in Cloud-Audit-Logs aufgezeichnete Informationen wenn die API aufgerufen wird, finden Sie weitere Informationen unter Chronicle-Berechtigungen in IAM.

Vordefinierte Google SecOps-Rollen in IAM

Google Security Operations bietet die folgenden vordefinierten Rollen, wie sie in IAM angezeigt werden.

Vordefinierte Rolle in IAM Titel Beschreibung
roles/chronicle.admin Chronicle API-Administrator Vollständiger Zugriff auf Google Security Operations-Anwendungs- und API-Dienste, einschließlich globaler Einstellungen.
roles/chronicle.editor Chronicle API Editor Zugriff zum Ändern des Zugriffs auf Google Security Operations-Anwendungs- und API-Ressourcen.
roles/chronicle.viewer Chronicle API-Betrachter Lesezugriff auf Google Security Operations-Anwendungs- und API-Ressourcen
roles/chronicle.limitedViewer Chronicle API Limited Viewer Gewährt Lesezugriff auf Google Security Operations-Anwendung und API Ressourcen, mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts.

Google SecOps-Berechtigungen in IAM

Google SecOps-Berechtigungen entsprechen genau den Google SecOps-Berechtigungen API-Methoden. Jede Google SecOps-Berechtigung aktiviert eine bestimmte Aktion auf einem Google SecOps-Funktion zu nutzen, wenn Sie die Webanwendung oder die API verwenden. Google SecOps APIs, die mit IAM verwendet werden, befinden sich in der Alpha-Einführungsphase.

Google SecOps-Berechtigungsnamen haben das Format SERVICE.FEATURE.ACTION. Der Berechtigungsname chronicle.dashboards.edit besteht beispielsweise aus Folgendem: Folgendes:

  • chronicle: der Name des Google SecOps API-Dienstes.
  • dashboards: der Name der Funktion.
  • edit: die Aktion, die für das Element ausgeführt werden kann

Der Name der Berechtigung beschreibt die Aktion, die Sie für das Element in Google SecOps Alle Google SecOps-Berechtigungen haben den Dienstnamen chronicle.

Nutzern und Gruppen Rollen zuweisen

In den folgenden Abschnitten finden Sie Anwendungsfälle zum Erstellen von IAM-Beispielen Richtlinien. Der Begriff <project> steht für die Projekt-ID des Projekts. die Sie an Google SecOps gebunden haben.

Nachdem Sie die Chronicle API aktiviert haben, werden die vordefinierten Google SecOps-Rollen und Berechtigungen sind in IAM verfügbar. Außerdem können Sie um die Anforderungen der Organisation zu erfüllen.

Wenn Sie eine neu erstellte Google SecOps-Instanz haben, erstellen Sie IAM-Richtlinien zur Erfüllung von Organisationsanforderungen

Wenn es sich um eine vorhandene Google SecOps-Instanz handelt, lesen Sie Google SecOps für die Feature-Zugriffssteuerung zu IAM migrieren. finden Sie Informationen zur Migration der Instanz zu IAM.

Beispiel: Rolle „Projekt-IAM-Administrator“ in einem dedizierten Projekt zuweisen

In diesem Beispiel ist das Projekt Ihrer Google SecOps-Instanz zugeordnet. Sie gewähren die Rolle Project IAM Admin (Projekt-IAM-Administrator). Rolle für einen Nutzer, damit er die IAM-Rolle des Projekts gewähren und ändern kann Bindungen. Der Nutzer kann alle Google SecOps-Rollen und -Berechtigungen verwalten im Projekt und führen Aufgaben aus, die mit der Rolle Project IAM Admin (Projekt-IAM-Administrator) verknüpft sind.

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Geben Sie im Bereich Hauptkonten hinzufügen die E-Mail-Adresse des verwalteten Kontos in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Projekt-IAM-Administrator aus.
  7. Klicken Sie auf Speichern.
  8. Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.admin gewährt wird wenn Sie die Mitarbeiteridentitätsföderation verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Der folgende Beispielbefehl zeigt, wie einer Gruppe die Rolle chronicle.admin zugewiesen wird wenn Sie Cloud Identity oder Google Workspace verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Ersetzen Sie Folgendes:

Beispiel: Rolle „Projekt-IAM-Administrator“ in einem freigegebenen Projekt zuweisen

In diesem Beispiel wird das Projekt für mehrere Anwendungen verwendet. Sie ist an eine Google SecOps-Instanz und führt Dienste aus, die nicht mit Google SecOps zusammenhängen. Zum Beispiel eine Compute Engine-Ressource, die für einen anderen Zweck verwendet wird.

In diesem Fall können Sie einem Nutzer die Rolle Projekt-IAM-Administrator zuweisen, damit er IAM-Rollenbindungen des Projekts gewähren und ändern und Google SecOps konfigurieren Sie werden auch IAM an die Rollenbindung, um ihren Zugriff auf Google SecOps-bezogene Zugriffe zu beschränken Rollen im Projekt. Dieser Nutzer kann nur Rollen zuweisen, die in der IAM-Bedingung angegeben sind.

Weitere Informationen zu IAM-Bedingungen finden Sie unter Übersicht über IAM-Bedingungen und Bedingte Rollenbindungen verwalten

Rolle über die Google Cloud Console zuweisen

In den folgenden Schritten wird beschrieben, wie Sie einem Nutzer über die Google Cloud Console eine Rolle zuweisen.

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Die Meldung Zugriff auf <project> gewähren wird angezeigt.
  5. Gehen Sie im Dialogfeld Zugriff auf <project> gewähren im Abschnitt Hauptkonten hinzufügen so vor: Geben Sie die E-Mail-Adresse des Nutzers in das Feld Neue Hauptkonten ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Projekt-IAM-Administrator.
  7. Klicken Sie auf + IAM-Bedingung hinzufügen.
  8. Geben Sie im Dialogfeld Bedingung hinzufügen die folgenden Informationen ein: <ph type="x-smartling-placeholder">
      </ph>
    1. Geben Sie einen Titel für die Bedingung ein.
    2. Wählen Sie den Bedingungseditor aus.
    3. Geben Sie die folgende Bedingung ein:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Klicken Sie im Dialogfeld Bedingung hinzufügen auf Speichern.
  2. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
  3. Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Berechtigung chronicle.admin gewährt wird und IAM-Bedingungen anwenden, wenn die Mitarbeiteridentitätsföderation verwendet wird.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für die Mitarbeiter für Ihren Identitätsanbieter erstellt.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Der folgende Beispielbefehl zeigt, wie einer Gruppe die Berechtigung chronicle.admin gewährt wird und IAM-Bedingungen anwenden, wenn Sie Cloud Identity oder Google Workspace verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ersetzen Sie Folgendes:

Beispiel: Einem Nutzer die Rolle „Chonicle API Editor“ zuweisen

In dieser Situation möchten Sie einem Nutzer die Möglichkeit geben, den Zugriff auf Google SecOps API-Ressourcen zu ändern.

Rolle über die Google Cloud Console zuweisen

  1. Öffnen Sie die Google Cloud Console.
  2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.
  3. Wählen Sie IAM & Admin.
  4. Wählen Sie Zugriff gewähren aus. Das Dialogfeld Zugriff auf <project> gewähren wird geöffnet.
  5. Geben Sie im Bereich Hauptkonten hinzufügen in das Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers ein.
  6. Wählen Sie im Abschnitt Rollen zuweisen im Menü Rolle auswählen die Rolle Google SecOps API-Bearbeiter aus.
  7. Klicken Sie im Dialogfeld Zugriff auf <project> gewähren auf Speichern.
  8. Öffnen Sie das IAM > Berechtigungen, um zu prüfen, ob dem Nutzer die richtige Rolle gewährt wurde.

Rolle über die Google Cloud CLI zuweisen

Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.editor gewährt wird wenn Sie die Mitarbeiteridentitätsföderation verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.

  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

    Der folgende Beispielbefehl zeigt, wie einem Nutzer die Rolle chronicle.editor gewährt wird wenn Sie Cloud Identity oder Google Workspace verwenden.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Ersetzen Sie Folgendes:

  • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
  • WORKFORCE_POOL_ID: die Kennung für den Personalpool, der für Ihren Identitätsanbieter erstellt wurde.
  • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

Beispiel: Benutzerdefinierte Rolle erstellen und einer Gruppe zuweisen

Wenn die vordefinierten Google SecOps-Rollen die Berechtigungsgruppe nicht bereitstellen die dem Anwendungsfall Ihrer Organisation entsprechen, können Sie eine benutzerdefinierte Rolle erstellen und Google SecOps-Berechtigungen für diese benutzerdefinierte Rolle. Sie weisen die benutzerdefinierte Rolle zu für einen Nutzer oder eine Gruppe. Weitere Informationen zu benutzerdefinierten IAM-Rollen Weitere Informationen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Mit den folgenden Schritten können Sie eine benutzerdefinierte Rolle mit dem Namen LimitedAdmin erstellen.

  1. Erstellen Sie eine YAML- oder JSON-Datei, in der die benutzerdefinierte Rolle mit dem Namen LimitedAdmin definiert wird. sowie die Berechtigungen, die dieser Rolle gewährt werden. Im Folgenden sehen Sie eine YAML-Beispieldatei.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.getIamPolicy

  2. Erstellen Sie die benutzerdefinierte Rolle. Im folgenden Beispiel für einen gcloud CLI-Befehl zeigt, wie Sie diese benutzerdefinierte Rolle mithilfe der YAML-Datei erstellen, die Sie in aus dem vorherigen Schritt.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID der an Google SecOps gebundenen Projekt, das Sie im Schritt Google SecOps-Instanz an Google Cloud-Projekt binden erstellt haben. Weitere Informationen finden Sie unter Projekte erstellen und verwalten. für eine Beschreibung der Felder, die ein Projekt identifizieren.
    • YAML_FILE_NAME: der Name der Datei, die Sie im vorherigen Schritt.
    • ROLE_NAME: der Name der benutzerdefinierten Rolle, wie in der YAML-Datei definiert.

  3. Weisen Sie die benutzerdefinierte Rolle mithilfe der Google Cloud CLI zu.

    Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle, limitedAdmin, wenn die Mitarbeiteridentitätsföderation verwendet wird.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ersetzen Sie Folgendes:

    Der folgende Beispielbefehl zeigt, wie Sie einer Gruppe von Nutzern benutzerdefinierte Rolle, limitedAdmin bei Verwendung von Cloud Identity oder

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ersetzen Sie Folgendes:

Audit-Logging überprüfen

Nutzeraktionen in Google SecOps und Anfragen an die Google SecOps API werden als Cloud-Audit-Logs aufgezeichnet. Führen Sie den folgenden Befehl aus, um zu prüfen, ob Logs geschrieben werden: führen Sie die folgenden Schritte aus:

  1. Melden Sie sich in Google SecOps als Nutzer mit Zugriffsberechtigungen für alle Funktionen an. Weitere Informationen finden Sie unter In Google SecOps anmelden.
  2. Aktion ausführen, z. B. eine Suche
  3. Verwenden Sie in der Google Cloud Console den Log-Explorer, um die Audit-Logs in der Google SecOps-gebundenes Cloud-Projekt. Die Audit-Logs von Google SecOps enthalten nach dem Dienstnamen chronicle.googleapis.com.

Weitere Informationen zum Aufrufen von Cloud-Audit-Logs finden Sie Siehe Informationen zum Audit-Logging in Google SecOps.

Das folgende Beispiellog wurde geschrieben, wenn der Nutzer alice@example.com die Liste der Parsererweiterungen in Google SecOps angesehen.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Google SecOps für die Feature-Zugriffssteuerung zu IAM migrieren

Anhand der Informationen in diesen Abschnitten können Sie ein vorhandenes SIEM von Google Security Operations migrieren. Instanz von der vorherigen feature-basierten Zugriffssteuerung (Feature RBAC) zu IAM.

Nach der Migration zu IAM können Sie auch die Aktivität auf der Google SecOps-Instanz mithilfe von Cloud-Audit-Logs

Unterschiede zwischen Feature-RBAC und IAM

Obwohl vordefinierte IAM-Rollennamen dem Feature-RBAC ähneln, werden die vordefinierten IAM-Rollen bieten denselben Funktionszugriff wie die ursprünglichen Feature-RBAC-Gruppen. Berechtigungen IAM-Rollen zugewiesen sind, unterscheiden sich geringfügig. Weitere Informationen finden Sie unter Zuordnung von IAM-Berechtigungen zu den einzelnen ursprünglichen Feature-RBAC-Gruppen

Sie können vordefinierte Google SecOps-Rollen unverändert verwenden, die Berechtigungen, die in den einzelnen vordefinierten Rollen definiert wurden, oder erstellen Sie benutzerdefinierte Rollen und weisen Sie Berechtigungen unterscheiden.

Nach der Migration der Google SecOps-Instanz verwalten Sie Rollen, Berechtigungen und IAM-Richtlinien mit IAM in der Google Cloud Console. Die folgenden Google SecOps-Anwendungsseiten wurden geändert, um Nutzer zur Google Cloud Console weiterzuleiten:

  • Nutzer und Google Groups
  • Rollen

In Funktions-RBAC wird jede Berechtigung durch den Funktionsnamen und eine Aktion ausführen. IAM-Berechtigungen werden durch den Ressourcennamen beschrieben und Methode. Die folgende Tabelle veranschaulicht den Unterschied anhand von zwei Beispielen: eins bezieht sich auf Dashboards und das andere auf Feeds.

  • Dashboard-Beispiel: Zur Steuerung des Zugriffs auf Dashboards bietet Feature-RBAC fünf Aktionen die Sie auf Dashboards durchführen können. IAM bietet ähnliche Berechtigungen mit eine zusätzliche dashboards.list, mit der ein Nutzer verfügbare Dashboards auflisten kann.

  • Beispiel für Feeds: Zur Steuerung des Feedzugriffs bietet die RBAC-Funktion sieben Aktionen, die Sie aktivieren oder deaktivieren können. In IAM gibt es vier: feeds.delete, feeds.create, feeds.update und feeds.view.

Feature Berechtigung in Feature-RBAC IAM-Berechtigung Beschreibung der Nutzeraktion
Dashboards Bearbeiten chronicle.dashboards.edit Dashboards bearbeiten
Dashboards Kopieren chronicle.dashboards.copy Dashboards kopieren
Dashboards Erstellen chronicle.dashboards.create Dashboards erstellen
Dashboards Planen chronicle.dashboards.schedule Berichte planen
Dashboards Löschen chronicle.dashboards.delete Berichte löschen
Dashboards – Dies ist nur in IAM verfügbar. chronicle.dashboards.list Verfügbare Dashboards auflisten
Feeds DeleteFeed chronicle.feeds.delete Feed löschen
Feeds CreateFeed chronicle.feeds.create Erstellen Sie einen Feed.
Feeds UpdateFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Feeds EnableFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Feeds DisableFeed chronicle.feeds.update Aktualisieren Sie einen Feed.
Feeds ListFeeds chronicle.feeds.view Geben Sie einen oder mehrere Feeds zurück.
Feeds GetFeed chronicle.feeds.view Geben Sie einen oder mehrere Feeds zurück.

Schritte zum Migrieren vorhandener Berechtigungen für die Zugriffssteuerung

Nachdem Sie die Schritte zur Migration einer vorhandenen Google SecOps-Instanz ausgeführt haben, können Sie auch die Konfiguration der Zugriffssteuerung für Features migrieren.

Google SecOps bietet automatisch generierte Befehle, die neue IAM-Richtlinien entsprechen, die Ihrer vorherigen feature-basierten RBAC entsprechen, die in Google SecOps konfiguriert ist, in der SIEM-Einstellungen > Seite Nutzer und Gruppen

Achten Sie darauf, dass Sie die erforderlichen Berechtigungen haben, die unter Konfigurieren Sie ein Google Cloud-Projekt für Google SecOps und folgen Sie dann den Schritten unter Vorhandene Berechtigungen und Rollen zu IAM migrieren.

Zuordnung von IAM-Berechtigungen zu jeder Feature-RBAC-Gruppe

Die Zuordnungsinformationen in diesem Abschnitt veranschaulichen einige der Unterschiede. Zugriff auf vordefinierte Rollen vor und nach der Migration. Obwohl Feature-RBAC Rollennamen ähneln vordefinierten IAM-Rollen, die Aktionen auf die die einzelnen Zugriffsrechte jeweils unterschiedlich sind. Dieser Abschnitt bietet eine Einführung einige dieser Unterschiede auf.

Chronicle API Limited Viewer

Diese Rolle gewährt Lesezugriff auf die Google SecOps-Anwendung und API-Ressourcen. mit Ausnahme von Erkennungs-Engine-Regeln und RetroHunts. Der Name der Rolle lautet chronicle.limitedViewer.

Diese Rolle ist neu. Eine detaillierte Liste der Berechtigungen finden Sie unter Chronicle API Viewer.

Chronicle API-Betrachter

Diese Rolle bietet Lesezugriff auf die Google SecOps-Anwendung und API Ressourcen. Der Name der Rolle lautet chronicle.viewer.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Viewer.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in IAM only.
chronicle.operations.list None. This is available in IAM only.
chronicle.operations.wait None. This is available in IAM only.
chronicle.instances.report None. This is available in IAM only.
chronicle.collectors.get None. This is available in IAM only.
chronicle.collectors.list None. This is available in IAM only.
chronicle.forwarders.generate None. This is available in IAM only.
chronicle.forwarders.get None. This is available in IAM only.
chronicle.forwarders.list None. This is available in IAM only.

Chronicle API Editor

Mit dieser Rolle können Nutzer den Zugriff auf die Google SecOps-Anwendung und API ändern Ressourcen. Der Name der Rolle lautet chronicle.editor.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Editor.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in IAM only.

Chronicle API-Administrator

Diese Rolle bietet vollständigen Zugriff auf die Google SecOps-Anwendung und API-Dienste, einschließlich globaler Einstellungen. Der Name der Rolle lautet chronicle.admin.

Die folgenden Berechtigungen veranschaulichen einige der Unterschiede zwischen ähnlichen Funktions-RBAC und IAM. Eine detaillierte Liste der Berechtigungen Siehe Chronicle API Admin.

Google SecOps permission Equivalent permission is mapped to this Feature RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in IAM only.
chronicle.collectors.delete None. This is available in IAM only.
chronicle.collectors.update None. This is available in IAM only.
chronicle.forwarders.create None. This is available in IAM only.
chronicle.forwarders.delete None. This is available in IAM only.
chronicle.forwarders.update None. This is available in IAM only.
chronicle.parsingErrors.list None. This is available in IAM only.