Configura il controllo dell'accesso alle funzionalità utilizzando IAM

Google Security Operations si integra con Identity and Access Management (IAM) di Google Cloud per fornire autorizzazioni e ruoli predefiniti specifici per Google Security Operations. Gli amministratori di Google Security Operations possono controllare l'accesso alle funzionalità di Google Security Operations creando criteri IAM che associano utenti o gruppi a ruoli predefiniti o a ruoli IAM personalizzati. Questa funzionalità non controlla l'accesso a record o campi UDM specifici in un record UDM.

Questo documento descrive il modo in cui Google Security Operations si integra con IAM, descrive le differenze rispetto alla funzionalità Google Security Operations RBAC, fornisce i passaggi per eseguire la migrazione di un'istanza di Google Security Operations a IAM, fornisce esempi su come assegnare le autorizzazioni utilizzando IAM e riassume le autorizzazioni e i ruoli predefiniti disponibili in IAM.

Per una descrizione dettagliata delle autorizzazioni utilizzate per configurare l'autorizzazione in Google Security Operations e degli audit log generati, consulta Autorizzazioni e metodi API per gruppo di risorse.

Alcune istanze Google Security Operations potrebbero essere in fase di migrazione dall'implementazione RBAC della funzionalità originale. In questo documento, il nome Google Security Operations RBAC viene utilizzato quando si fa riferimento al controllo dell'accesso basato su ruoli basato su funzionalità disponibile in precedenza e configurato utilizzando Google Security Operations e non IAM. IAM viene utilizzato per descrivere il controllo dell'accesso basato sui ruoli basato sulle funzionalità configurato mediante IAM.

Ogni autorizzazione Google Security Operations è associata a un metodo e a una risorsa dell'API Google Security Operations. Quando a un utente o a un gruppo viene concessa un'autorizzazione, l'utente può accedere alla funzionalità in Google Security Operations e inviare una richiesta utilizzando il metodo API correlato.

Come Google Security Operations si integra con IAM

Per utilizzare IAM, Google Security Operations deve essere associato a un progetto Google Cloud e deve essere configurata con la federazione delle identità per la forza lavoro di Google Cloud come intermediario nel flusso di autenticazione. Per informazioni sul flusso di autenticazione, consulta Integrare Google Security Operations con un provider di identità di terze parti.

Il team Google Security Operations esegue i seguenti passaggi per verificare e controllare l'accesso alle funzionalità:

  1. Dopo aver eseguito l'accesso a Google Security Operations, un utente accede a una pagina di applicazione Google Security Operations. In alternativa, l'utente può inviare una richiesta API a Google Security Operations.
  2. Google Security Operations verifica le autorizzazioni concesse nei criteri IAM definiti per l'utente.
  3. IAM restituisce le informazioni sull'autorizzazione. Se l'utente ha eseguito l'accesso a una pagina dell'applicazione, Google Security Operations consente l'accesso solo alle funzionalità a cui l'utente è autorizzato ad accedere.
  4. Se l'utente ha inviato una richiesta API e non dispone dell'autorizzazione per eseguire l'azione richiesta, la risposta dell'API include un errore. In caso contrario, viene restituita una risposta standard.

Google Security Operations fornisce un insieme di ruoli predefiniti con un insieme definito di autorizzazioni che controllano se un utente può accedere alla funzionalità. Il singolo criterio IAM controlla l'accesso alla funzionalità utilizzando l'interfaccia web e l'API.

Gli amministratori di Google Security Operations creano gruppi nel proprio provider di identità, configurano l'applicazione SAML in modo che trasferisca le informazioni sulle iscrizioni ai gruppi nell'asserzione, quindi associano utenti e gruppi ai ruoli predefiniti in IAM o ai ruoli personalizzati che hanno creato in Google Security Operations.

Se nel progetto Google Cloud sono presenti altri servizi Google Cloud associati a Google Security Operations e vuoi limitare un utente con il ruolo Amministratore IAM del progetto a modificare solo le risorse Google Security Operations, assicurati di aggiungere condizioni IAM al criterio di autorizzazione. Per un esempio di come eseguire questa operazione, consulta Assegnare ruoli a utenti e gruppi.

Gli amministratori personalizzano l'accesso alle funzionalità di Google Security Operations in base al ruolo dei dipendenti nell'organizzazione.

Prima di iniziare

Pianifica l'implementazione

Sei tu a creare criteri IAM a supporto dei requisiti di deployment della tua organizzazione. Puoi utilizzare i ruoli predefiniti di Google Security Operations o i ruoli personalizzati che crei.

Esamina l'elenco di autorizzazioni e ruoli predefiniti di Google Security Operations in base ai requisiti della tua organizzazione. Identifica quali membri della tua organizzazione devono avere accesso a ciascuna funzionalità delle operazioni di sicurezza di Google. Se la tua organizzazione richiede criteri IAM diversi dai ruoli predefiniti di Google Security Operations, crea ruoli personalizzati per supportare questi requisiti. Per informazioni sui ruoli IAM personalizzati, consulta Creare e gestire i ruoli personalizzati.

Riepilogo di ruoli e autorizzazioni di Google Security Operations

Le seguenti sezioni forniscono un riepilogo generale

Per informazioni su metodi e autorizzazioni dell'API Google Security Operations, sulle pagine dell'interfaccia utente in cui vengono utilizzate le autorizzazioni e sulle informazioni registrate in Cloud Audit Logs quando l'API viene chiamata, consulta Autorizzazioni Chronicle in IAM.

L'elenco più aggiornato di autorizzazioni per le operazioni di sicurezza di Google è disponibile nel riferimento sulle autorizzazioni IAM. Nella sezione Cerca un'autorizzazione, cerca il termine chronicle.

L'elenco più aggiornato di ruoli SecOps predefiniti di Google è disponibile nella pagina di riferimento sui ruoli IAM di base e predefiniti. Nella sezione Ruoli predefiniti, seleziona il servizio Ruoli API Chronicle o cerca il termine chronicle.

Ruoli predefiniti di Google Security Operations in IAM

Google Security Operations fornisce i seguenti ruoli predefiniti così come vengono visualizzati in IAM.

Ruolo predefinito in IAM Titolo Descrizione
roles/chronicle.admin Amministratore API Google Security Operations Accesso completo ai servizi API e alle applicazioni Google Security Operations, incluse le impostazioni globali.
roles/chronicle.editor Editor API Google Security Operations Accesso in modifica alle risorse dell'applicazione e dell'API Google Security Operations.
roles/chronicle.viewer Visualizzatore API Google Security Operations Accesso in sola lettura alle risorse dell'applicazione e dell'API Google Security Operations
roles/chronicle.limitedViewer Visualizzatore limitato API Google Security Operations Concede l'accesso in sola lettura alle risorse dell'applicazione e dell'API Google Security Operations, esclusi le regole del motore di rilevamento e le conversioni retrospettive.

Autorizzazioni Google Security Operations in IAM

Le autorizzazioni Google Security Operations corrispondono a quelle dei metodi dell'API Google Security Operations. Ogni autorizzazione di Google Security Operations consente un'azione specifica su una funzionalità specifica di Google Security Operations quando si utilizza l'applicazione web o l'API. Le API Google Security Operations utilizzate con IAM sono in fase di lancio alpha.

I nomi delle autorizzazioni delle operazioni di sicurezza di Google sono nel formato SERVICE.FEATURE.ACTION. Ad esempio, il nome dell'autorizzazione chronicle.dashboards.edit è costituito da quanto segue:

  • chronicle: il nome del servizio API Google Security Operations.
  • dashboards: il nome della funzionalità.
  • edit: l'azione che può essere eseguita sulla funzionalità.

Il nome dell'autorizzazione descrive l'azione che puoi eseguire sulla funzionalità in Google Security Operations. Tutte le autorizzazioni delle operazioni di sicurezza di Google hanno il nome del servizio chronicle.

Assegna i ruoli a utenti e gruppi

Le sezioni seguenti forniscono casi d'uso di esempio per la creazione di criteri IAM. Il termine <project> viene utilizzato per rappresentare l'ID del progetto associato a Google Security Operations.

Dopo aver abilitato l'API Chronicle, le autorizzazioni e i ruoli predefiniti di Google Security Operations diventano disponibili in IAM e puoi creare criteri per supportare i requisiti dell'organizzazione.

Se hai un'istanza Google Security Operations appena creata, inizia a creare criteri IAM per soddisfare i requisiti dell'organizzazione.

Se si tratta di un'istanza Google Security Operations esistente, consulta Eseguire la migrazione di Google Security Operations a IAM per il controllo dell'accesso alle funzionalità per informazioni sulla migrazione dell'istanza a IAM.

Esempio: assegnare il ruolo Amministratore IAM progetto in un progetto dedicato

In questo esempio, il progetto è dedicato all'istanza Google Security Operations. Concedi il ruolo Amministratore IAM progetto a un utente in modo che possa concedere e modificare le associazioni di ruoli IAM del progetto. L'utente può amministrare tutti i ruoli e le autorizzazioni di Google Security Operations nel progetto ed eseguire le attività concesse dal ruolo Amministratore IAM progetto.

Assegna il ruolo utilizzando la console Google Cloud

I passaggi seguenti spiegano come concedere un ruolo a un utente utilizzando la console Google Cloud.

  1. Apri la console Google Cloud.
  2. Seleziona il progetto associato a Google Security Operations.
  3. Seleziona IAM e amministrazione.
  4. Seleziona Concedi l'accesso. Viene visualizzata la finestra Concedi l'accesso a <project>.
  5. Nella sezione Aggiungi entità, inserisci l'indirizzo email dell'utente nel campo Nuove entità.
  6. Nella sezione Assegna ruoli, nel menu Seleziona un ruolo, seleziona il ruolo Amministratore IAM progetto.
  7. Fai clic su Salva.
  8. Apri la pagina IAM > Autorizzazioni per verificare all'utente sia stato concesso il ruolo corretto.

Assegna il ruolo utilizzando Google Cloud CLI

Il comando di esempio riportato di seguito mostra come concedere a un utente il ruolo chronicle.admin.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Sostituisci quanto segue:

Esempio: assegnare il ruolo Amministratore IAM progetto in un progetto condiviso

In questo esempio, il progetto viene utilizzato per più applicazioni. È associato a un'istanza Google Security Operations ed esegue servizi non correlati a Google Security Operations. ad esempio una risorsa Compute Engine utilizzata per un altro scopo.

In questo caso, puoi concedere il ruolo Amministratore IAM progetto a un utente in modo che possa concedere e modificare le associazioni dei ruoli IAM del progetto e configurare Google Security Operations. Aggiungerai anche IAM all'associazione dei ruoli per limitare il loro accesso solo ai ruoli correlati alle operazioni di sicurezza di Google nel progetto. Questo utente può concedere solo i ruoli specificati nella condizione IAM.

Per ulteriori informazioni sulle condizioni IAM, consulta la Panoramica delle condizioni IAM e Gestire le associazioni di ruoli condizionali.

Assegna il ruolo utilizzando la console Google Cloud

I passaggi seguenti spiegano come concedere un ruolo a un utente utilizzando la console Google Cloud.

  1. Apri la console Google Cloud.
  2. Seleziona il progetto associato a Google Security Operations.
  3. Seleziona IAM e amministrazione.
  4. Seleziona Concedi l'accesso. Viene visualizzata la finestra Concedi l'accesso a <project>.
  5. Nella finestra di dialogo Concedi l'accesso a <project>, nella sezione Aggiungi entità, inserisci l'indirizzo email dell'utente nel campo Nuove entità.
  6. Nella sezione Assegna ruoli, nel menu Seleziona un ruolo, seleziona il ruolo Amministratore IAM progetto.
  7. Fai clic su + Aggiungi condizione IAM.

  8. Nella finestra di dialogo Aggiungi condizione, inserisci le seguenti informazioni:

    1. Inserisci un Titolo per la condizione.
    2. Seleziona l'Editor condizioni.
    3. Inserisci la seguente condizione:
    api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
    1. Fai clic su Salva nella finestra di dialogo Aggiungi condizione.
    2. Fai clic su Salva nella finestra di dialogo Concedi l'accesso a <project>.
    3. Apri la pagina IAM > Autorizzazioni per verificare all'utente sia stato concesso il ruolo corretto.

Assegna il ruolo utilizzando Google Cloud CLI

Il comando di esempio riportato di seguito mostra come concedere a un utente il ruolo chronicle.admin e applicare le condizioni IAM.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Sostituisci quanto segue:

Esempio: assegnare il ruolo Editor API Chronicle a un utente

In questo caso, vuoi consentire a un utente di modificare l'accesso alle risorse dell'API Google Security Operations.

Assegna il ruolo utilizzando la console Google Cloud

  1. Apri la console Google Cloud.
  2. Seleziona il progetto associato a Google Security Operations.
  3. Seleziona IAM e amministrazione.
  4. Seleziona Concedi l'accesso. Viene visualizzata la finestra di dialogo Concedi l'accesso a <project>.
  5. Nella sezione Aggiungi entità, inserisci l'indirizzo email dell'utente nel campo Nuove entità.
  6. Nella sezione Assegna ruoli, nel menu Seleziona un ruolo, seleziona il ruolo Editor API Google Security Operations.
  7. Fai clic su Salva nella finestra di dialogo Concedi l'accesso a <project>.
  8. Apri la pagina IAM > Autorizzazioni per verificare all'utente sia stato concesso il ruolo corretto.

Assegna il ruolo utilizzando Google Cloud CLI

Il comando di esempio riportato di seguito mostra come concedere a un utente il ruolo chronicle.editor.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.editor

Sostituisci quanto segue:

Esempio: creare e assegnare un ruolo personalizzato a un gruppo

Se i ruoli predefiniti di Google Security Operations non forniscono il gruppo di autorizzazioni adatto al caso d'uso della tua organizzazione, puoi creare un ruolo personalizzato e assegnare le autorizzazioni di Google Security Operations a quel ruolo personalizzato. Puoi assegnare il ruolo personalizzato a un utente o a un gruppo Per maggiori informazioni sui ruoli IAM personalizzati, consulta Creazione e gestione di ruoli personalizzati.

I passaggi seguenti ti consentono di creare un ruolo personalizzato denominato LimitedAdmin.

  1. Crea un file YAML o JSON che definisce il ruolo personalizzato, denominato LimitedAdmin, e le autorizzazioni concesse a questo ruolo. Di seguito è riportato un esempio di file YAML.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.getIamPolicy

  2. Crea il ruolo personalizzato. Il comando gcloud CLI di esempio seguente mostra come creare questo ruolo personalizzato utilizzando il file YAML che hai creato nel passaggio precedente.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Sostituisci quanto segue:

  3. Assegna il ruolo personalizzato utilizzando Google Cloud CLI

    Il comando di esempio riportato di seguito mostra come concedere a un gruppo di utenti il ruolo personalizzato limitedAdmin.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
--role=projects/PROJECT_ID/roles/limitedAdmin

    Sostituisci quanto segue:

Verifica audit logging

Le azioni degli utenti in Google Security Operations e le richieste all'API Google Security Operations vengono registrate come Cloud Audit Logs. Per verificare che i log vengano scritti, segui questi passaggi:

  1. Accedi a Google Security Operations come utente con privilegi per accedere a qualsiasi funzionalità. Per ulteriori informazioni, vedi Accedere a Google Security Operations.
  2. Eseguire un'azione, ad esempio eseguire una ricerca.
  3. Nella console Google Cloud, utilizza Esplora log per visualizzare gli audit log nel progetto Cloud associato alle operazioni di sicurezza di Google. Gli audit log di Google Security Operations hanno il seguente nome di servizio chronicle.googleapis.com.

Per ulteriori informazioni su come visualizzare Cloud Audit Logs, consulta Informazioni sugli audit log di Google Security Operations.

Di seguito è riportato un log di esempio scritto quando l'utente alice@example.com ha visualizzato l'elenco di estensioni del parser in Google Security Operations.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Esegui la migrazione delle operazioni di sicurezza di Google a IAM per il controllo dell'accesso alle funzionalità

Utilizza le informazioni in queste sezioni per eseguire la migrazione di un'istanza SIEM esistente di Google Security Operations dalla precedente funzionalità di controllo dell'accesso basata sui ruoli di Google Security Operations (Google Security Operations RBAC) a IAM. Dopo aver eseguito la migrazione a IAM, puoi anche controllare l'attività sull'istanza Google Security Operations utilizzando Cloud Audit Logs.

Differenze tra Google Security Operations RBAC e IAM

Sebbene i nomi dei ruoli IAM predefiniti siano simili ai gruppi RBAC di Google Security Operations, i ruoli predefiniti IAM non forniscono un accesso alle funzionalità identico ai gruppi RBAC di Google Security Operations. Le autorizzazioni assegnate a ciascun ruolo IAM predefinito sono leggermente diverse. Per maggiori informazioni, consulta Come vengono mappate le autorizzazioni IAM a ogni ruolo RBAC delle operazioni di sicurezza di Google.

Puoi utilizzare i ruoli predefiniti di Google Security Operations così come sono, modificare le autorizzazioni definite in ciascun ruolo predefinito o creare ruoli personalizzati e assegnare un insieme diverso di autorizzazioni.

Dopo aver eseguito la migrazione dell'istanza Google Security Operations, potrai gestire ruoli, autorizzazioni e criteri IAM utilizzando IAM nella console Google Cloud. Le seguenti pagine dell'applicazione Google Security Operations vengono modificate per indirizzare gli utenti alla console Google Cloud:

  • Utenti e gruppi
  • Ruoli

In Google Security Operations RBAC, ogni autorizzazione è descritta dal nome della funzionalità e da un'azione. Le autorizzazioni IAM sono descritte dal nome e dal metodo della risorsa. La seguente tabella illustra la differenza con due esempi, uno relativo alle dashboard e il secondo ai feed.

  • Esempio di dashboard: per controllare l'accesso alle dashboard, Google Security Operations RBAC fornisce cinque azioni che puoi eseguire sulle dashboard. IAM fornisce autorizzazioni simili con un'ulteriore, dashboards.list, che consente a un utente di elencare le dashboard disponibili.

  • Esempio di feed: per controllare l'accesso ai feed, Google Security Operations RBAC fornisce sette azioni che puoi attivare o disattivare. Con IAM ci sono quattro opzioni: feeds.delete, feeds.create, feeds.update e feeds.view.

Selezione delle Autorizzazione in Google Security Operations RBAC Autorizzazioni IAM Descrizione dell'azione utente
Dashboard Modifica chronicle.dashboards.edit Modifica dashboard
Dashboard Copia chronicle.dashboards.copy Copia dashboard
Dashboard Creazione chronicle.dashboards.create Creare dashboard
Dashboard Pianificazione chronicle.dashboards.schedule Pianificare i report
Dashboard Eliminazione chronicle.dashboards.delete Elimina report
Dashboard Nessuno. Questa opzione è disponibile solo in IAM. chronicle.dashboards.list Elenca dashboard disponibili
Feed DeleteFeed chronicle.feeds.delete Eliminare un feed.
Feed CreateFeed chronicle.feeds.create Crea un feed.
Feed UpdateFeed chronicle.feeds.update Aggiornare un feed.
Feed EnableFeed chronicle.feeds.update Aggiornare un feed.
Feed DisableFeed chronicle.feeds.update Aggiornare un feed.
Feed ListFeeds chronicle.feeds.view Restituisci uno o più feed.
Feed GetFeed chronicle.feeds.view Restituisci uno o più feed.

Passaggi per eseguire la migrazione di un'istanza Google Security Operations esistente

Per abilitare IAM sull'istanza Google Security Operations esistente, segui questi passaggi:

  1. Contatta il tuo rappresentante delle operazioni di sicurezza di Google e comunica che vuoi eseguire la migrazione della tua configurazione RBAC esistente a IAM. Fornisci al rappresentante delle operazioni di sicurezza di Google le seguenti informazioni:
  2. Il rappresentante Google Security Operations ti invierà un file contenente i comandi gcloud CLI. Eseguirai questi comandi per eseguire la migrazione dei criteri di controllo dell'accesso esistenti ai criteri IAM equivalenti.
  3. Apri la console Google Cloud come utente con il ruolo iam.workforcePoolAdmin e le autorizzazioni Project Editor e accedi al progetto associato alle operazioni di sicurezza di Google. Hai identificato o creato questo utente quando hai integrato Google Security Operations con un provider di identità di terze parti.
  4. Avvia una sessione di Cloud Shell.
  5. Esegui i comandi forniti dal rappresentante Google Security Operations per eseguire la migrazione della configurazione esistente a IAM. Viene creato un nuovo criterio IAM equivalente alla configurazione controllo dell'accesso Google Security Operations RBAC.
  6. Dopo aver eseguito tutti i comandi, verifica che la migrazione dei criteri IAM sia stata eseguita correttamente nella pagina IAM > Autorizzazioni.
  7. Una volta soddisfatti i criteri IAM, contatta il tuo rappresentante Google Security Operations e informalo che è stata eseguita la migrazione dei criteri IAM.
  8. Il rappresentante Google Security Operations eseguirà la procedura per abilitare IAM sulla tua istanza Google Security Operations e ti contatterà al termine dell'operazione.
  9. Verifica di poter accedere a Google Security Operations come utente con il ruolo Amministratore API Google Security Operations.
    1. Accedi a Google Security Operations come utente con il ruolo predefinito Amministratore API Google Security Operations. Per ulteriori informazioni, vedi Accedere a Google Security Operations.
    2. Apri il menu Applicazione > Impostazioni > Utenti e gruppi. Dovresti visualizzare il messaggio: *Per gestire utenti e gruppi, vai a Identity Access Management (IAM) nella console Google Cloud. Scopri di più sulla gestione di utenti e gruppi*.
  10. Verifica le autorizzazioni per gli altri ruoli utente.
    1. Accedi a Google Security Operations come utente con un altro ruolo. Per ulteriori informazioni, consulta Accedere a Google Security Operations.
    2. Verifica che le funzionalità disponibili nell'applicazione corrispondano alle autorizzazioni definite in IAM.

Modalità di mappatura delle autorizzazioni IAM a ogni ruolo Google Security Operations RBAC

La seguente sezione riassume ogni ruolo predefinito di Google Security Operations in IAM e le autorizzazioni associate a ciascun ruolo. Identifica inoltre a quale ruolo e azione Google Security Operations RBAC è simile.

Visualizzatore limitato API Chronicle

Questo ruolo concede l'accesso di sola lettura alle risorse dell'API e dell'applicazione Google Security Operations, escluse le regole del motore di rilevamento e le conversioni future. Il nome del ruolo è chronicle.limitedViewer.

Le seguenti autorizzazioni sono disponibili nel ruolo predefinito Visualizzatore limitato API Google Security Operations in IAM.

Autorizzazione IAM Autorizzazione equivalente mappata al seguente ruolo Google Security Operations RBAC
chronicle.instances.get Questa opzione è disponibile solo in IAM.
chronicle.dashboards.get Questa opzione è disponibile solo in IAM.
chronicle.dashboards.list Questa opzione è disponibile solo in IAM.
chronicle.multitenantDirectories.get Questa opzione è disponibile solo in IAM.
chronicle.logs.list Questa opzione è disponibile solo in IAM.

Visualizzatore API Chronicle

Questo ruolo fornisce accesso di sola lettura all'applicazione e alle risorse API di Google Security Operations. Il nome del ruolo è chronicle.viewer.

Le seguenti autorizzazioni sono disponibili nel ruolo predefinito Visualizzatore API Google Security Operations in IAM.

Google Security Operations permission Equivalent permission is mapped to this Google Security Operations RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in IAM only.
chronicle.operations.list None. This is available in IAM only.
chronicle.operations.wait None. This is available in IAM only.
chronicle.instances.report None. This is available in IAM only.
chronicle.collectors.get None. This is available in IAM only.
chronicle.collectors.list None. This is available in IAM only.
chronicle.forwarders.generate None. This is available in IAM only.
chronicle.forwarders.get None. This is available in IAM only.
chronicle.forwarders.list None. This is available in IAM only.

Editor API Chronicle

Questo ruolo consente agli utenti di modificare l'accesso all'applicazione e alle risorse API di Google Security Operations. Il nome del ruolo è chronicle.editor.

Le seguenti autorizzazioni sono disponibili nel ruolo predefinito Editor API Google Security Operations in IAM.

Google Security Operations permission Equivalent permission is mapped to this Google Security Operations RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in IAM only.

Amministratore API Chronicle

Questo ruolo fornisce l'accesso completo ai servizi API e ad applicazioni Google Security Operations, incluse le impostazioni globali. Il nome del ruolo è chronicle.admin.

Le seguenti autorizzazioni sono disponibili nel ruolo predefinito Amministratore API Google Security Operations in IAM.

Google Security Operations permission Equivalent permission is mapped to this Google Security Operations RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in IAM only.
chronicle.collectors.delete None. This is available in IAM only.
chronicle.collectors.update None. This is available in IAM only.
chronicle.forwarders.create None. This is available in IAM only.
chronicle.forwarders.delete None. This is available in IAM only.
chronicle.forwarders.update None. This is available in IAM only.
chronicle.parsingErrors.list None. This is available in IAM only.