Daten-RBAC für Nutzer konfigurieren

Auf dieser Seite wird beschrieben, wie Administratoren der datenrollenbasierten Zugriffssteuerung (Daten-RBAC) die Daten-RBAC in Google Security Operations konfigurieren können. Durch das Erstellen und Zuweisen von Datenbereichen, die durch Labels definiert werden, können Sie sicherstellen, dass Daten nur für autorisierte Nutzer zugänglich sind.

Die RBAC für Daten basiert auf IAM-Konzepten wie vordefinierten Rollen, benutzerdefinierten Rollen und IAM-Bedingungen.

Im Folgenden finden Sie einen allgemeinen Überblick über den Konfigurationsprozess:

1. Implementierung planen:Legen Sie die verschiedenen Datentypen fest, auf die Sie den Nutzerzugriff einschränken möchten. Identifizieren Sie die verschiedenen Rollen in Ihrer Organisation und legen Sie die Anforderungen an den Datenzugriff für jede Rolle fest.

2. Optional: Benutzerdefinierte Labels erstellen:Sie können zusätzlich zu den Standardlabels benutzerdefinierte Labels erstellen, um Ihre Daten zu kategorisieren.

3. Datenbereiche erstellen:Definieren Sie Bereiche, indem Sie relevante Labels kombinieren.

4. Nutzern Bereiche zuweisen:Weisen Sie Nutzerrollen in IAM basierend auf den Verantwortlichkeiten Bereiche zu.

Wenn die rollenbasierte Zugriffssteuerung für Daten zum ersten Mal aktiviert wird, sind Regeln, Referenzlisten und Datentabellen nicht mit Bereichen verknüpft. Nur Nutzer mit globalem Zugriff haben Zugriff auf die Daten. Nutzer mit eingeschränktem Zugriff haben standardmäßig keinen Zugriff auf Daten. Dadurch wird unbeabsichtigter Zugriff verhindert und ein sicherer Ausgangspunkt bestätigt. Um Zugriff zu gewähren, definieren Sie Bereiche und weisen Sie sie Nutzern, Regeln und Referenzlisten entsprechend Ihren Anforderungen zu.

Hinweise

• Informationen zu den Kernkonzepten der Daten-RBAC, den verschiedenen Zugriffstypen und den entsprechenden Nutzerrollen, der Funktionsweise von Labels und Bereichen sowie den Auswirkungen der Daten-RBAC auf Google SecOps-Funktionen finden Sie unter Übersicht über die Daten-RBAC.

• Richten Sie Ihre Google SecOps-Instanz ein. Weitere Informationen finden Sie unter Google SecOps-Instanz einrichten oder migrieren.

• Prüfen Sie, ob Sie die erforderlichen Rollen haben.

• Data RBAC ist nicht standardmäßig aktiviert. Wenn Sie RBAC für Daten aktivieren möchten, wenden Sie sich an den Support von Google SecOps.

Benutzerdefinierte Labels erstellen und verwalten

Benutzerdefinierte Labels sind Metadaten, die Sie den in das SIEM aufgenommenen Google SecOps-Daten hinzufügen können, um sie anhand von UDM-normalisierten Werten zu kategorisieren und zu organisieren.

Angenommen, Sie möchten die Netzwerkaktivität überwachen. Sie möchten DHCP-Ereignisse (Dynamic Host Configuration Protocol) von einer bestimmten IP-Adresse (10.0.0.1) erfassen, die Ihrer Meinung nach manipuliert wurde.

Um diese bestimmten Ereignisse zu filtern und zu identifizieren, können Sie ein benutzerdefiniertes Label mit dem Namen „Verdächtige DHCP-Aktivität“ und der folgenden Definition erstellen:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

So funktioniert das benutzerdefinierte Label:

Google SecOps nimmt kontinuierlich Netzwerkprotokolle und ‑ereignisse in das UDM auf. Wenn ein DHCP-Ereignis erfasst wird, prüft Google SecOps, ob es den Kriterien des benutzerdefinierten Labels entspricht. Wenn das Feld metadata.event_type gleich NETWORK_DHCP ist und das Feld principal.ip (die IP-Adresse des Geräts, das den DHCP-Lease anfordert) gleich 10.0.0.1 ist, wendet Google SecOps das benutzerdefinierte Label auf das Ereignis an.

Mit dem Label „Verdächtige DHCP-Aktivität“ können Sie einen Bereich erstellen und den Bereich den entsprechenden Nutzern zuweisen. Mit der Bereichszuweisung können Sie den Zugriff auf diese Ereignisse auf bestimmte Nutzer oder Rollen in Ihrer Organisation beschränken.

Anforderungen und Einschränkungen für Labels

• Labelnamen müssen eindeutig sein und dürfen maximal 63 Zeichen lang sein. Sie dürfen nur Kleinbuchstaben, numerische Zeichen und Bindestriche enthalten. Sie können nach dem Löschen nicht wiederverwendet werden.
• Für Labels können keine Referenzlisten verwendet werden.
• Für Labels können keine Anreicherungsfelder verwendet werden.
• Labels unterstützen keine regulären Ausdrücke.

Benutzerdefiniertes Label erstellen

So erstellen Sie ein benutzerdefiniertes Label:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels auf Benutzerdefiniertes Label erstellen.

4. Geben Sie im Fenster UDM Search (UDM-Suche) Ihre Anfrage ein und klicken Sie auf Run Search (Suche ausführen).

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie labeln möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

5. Klicken Sie auf Label erstellen.

6. Wählen Sie im Fenster Label erstellen die Option Als neues Label speichern aus und geben Sie den Namen und die Beschreibung des Labels ein.

7. Klicken Sie auf Label erstellen.

   Ein neues benutzerdefiniertes Label wird erstellt. Bei der Datenerfassung wird dieses Label auf Daten angewendet, die der UDM-Abfrage entsprechen. Das Label wird nicht auf bereits aufgenommene Daten angewendet.

Benutzerdefiniertes Label ändern

Sie können nur die Labelbeschreibung und die mit einem Label verknüpfte Abfrage ändern. Labelnamen können nicht aktualisiert werden. Wenn Sie ein benutzerdefiniertes Label ändern, werden die Änderungen nur auf neue Daten angewendet, nicht auf bereits aufgenommene Daten.

So ändern Sie ein Label:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf more_vert Menü und wählen Sie Bearbeiten aus.

4. Aktualisieren Sie im Fenster UDM Search (UDM-Suche) Ihre Abfrage und klicken Sie auf Run Search (Suche ausführen).

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie labeln möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

5. Klicken Sie auf Änderungen speichern.

Das benutzerdefinierte Label wird geändert.

Benutzerdefiniertes Label löschen

Wenn Sie ein Label löschen, können keine neuen Daten mehr damit verknüpft werden. Daten, die bereits mit dem Label verknüpft sind, bleiben damit verknüpft. Nach dem Löschen können Sie das benutzerdefinierte Label nicht wiederherstellen und den Labelnamen nicht wiederverwenden, um neue Labels zu erstellen.

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels für das Label, das Sie löschen möchten, auf das more_vert-Menü Menü und wählen Sie Löschen aus.

3. Klicken Sie auf Löschen.

4. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Das benutzerdefinierte Label wird gelöscht.

Benutzerdefiniertes Label ansehen

So rufen Sie die Details eines benutzerdefinierten Labels auf:

1. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

2. Klicken Sie auf dem Tab Benutzerdefinierte Labels neben dem Label, das Sie bearbeiten möchten, auf das more_vert Dreistrich-Menü und wählen Sie Ansehen aus.

   Die Labeldetails werden angezeigt.

Bereiche erstellen und verwalten

Sie können Datenbereiche in der Google SecOps-Benutzeroberfläche erstellen und verwalten und diese Bereiche dann über IAM Nutzern oder Gruppen zuweisen. Sie können einen Bereich erstellen, indem Sie Labels anwenden, die die Daten definieren, auf die ein Nutzer mit dem Bereich Zugriff hat.

Bereiche erstellen

So erstellen Sie einen Bereich:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche auf Bereich erstellen.

4. Führen Sie im Fenster Neuen Bereich erstellen die folgenden Schritte aus:

   1. Geben Sie einen Bereichsnamen und eine Beschreibung ein.

   2. Gehen Sie unter Zugriffsbereich mit Labels definieren > Zugriff zulassen so vor:

      • Klicken Sie auf Bestimmte Labels zulassen, um die Labels und die entsprechenden Werte auszuwählen, auf die Sie Nutzern Zugriff gewähren möchten.

        In einer Bereichsdefinition werden Labels desselben Typs (z. B. Logtyp) mit dem OR-Operator kombiniert, während Labels unterschiedlicher Typen (z. B. Logtyp und Namespace) mit dem AND-Operator kombiniert werden. Weitere Informationen dazu, wie Labels den Datenzugriff in Bereichen definieren, finden Sie unter Datensichtbarkeit mit „Zulassen“- und „Verweigern“-Labels.

      • Wenn Sie Zugriff auf alle Daten gewähren möchten, wählen Sie Zugriff auf alles zulassen aus.

   3. Wenn Sie den Zugriff auf bestimmte Labels ausschließen möchten, wählen Sie Bestimmte Labels ausschließen aus und wählen Sie dann den Labeltyp und die entsprechenden Werte aus, auf die Nutzer keinen Zugriff haben sollen.

      Wenn innerhalb eines Bereichs mehrere Labels für den Zugriff verweigern angewendet werden, wird der Zugriff verweigert, wenn eines dieser Labels übereinstimmt.

   4. Klicken Sie auf Bereich testen, um zu prüfen, wie die Labels auf den Bereich angewendet werden.

   5. Geben Sie im Fenster UDM Search (UDM-Suche) Ihre Anfrage ein und klicken Sie auf Run Search (Suche ausführen).

      Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie labeln möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

   6. Klicken Sie auf Bereich erstellen.

   7. Bestätigen Sie im Fenster Bereich erstellen den Namen und die Beschreibung des Bereichs und klicken Sie auf Bereich erstellen.

Der Bereich wird erstellt. Sie müssen den Bereich Nutzern zuweisen, um ihnen Zugriff auf die Daten im Bereich zu gewähren.

Bereich ändern

Sie können nur die Bereichsbeschreibung und die zugehörigen Labels ändern. Bereichsnamen können nicht aktualisiert werden. Nachdem Sie einen Bereich aktualisiert haben, werden die Nutzer, die mit dem Bereich verknüpft sind, gemäß den neuen Labels eingeschränkt. Die Regeln, die an den Bereich gebunden sind, werden nicht mit dem aktualisierten Bereich neu abgeglichen.

So ändern Sie einen Bereich:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie bearbeiten möchten, auf das more_vert Menü und wählen Sie Bearbeiten aus.

4. Klicken Sie auf edit Bearbeiten, um die Beschreibung des Bereichs zu bearbeiten.

5. Aktualisieren Sie im Bereich Bereichszugriff mit Labels definieren die Labels und die entsprechenden Werte nach Bedarf.

6. Klicken Sie auf Bereich testen, um zu prüfen, wie die neuen Labels auf den Bereich angewendet werden.

7. Geben Sie im Fenster UDM Search (UDM-Suche) Ihre Anfrage ein und klicken Sie auf Run Search (Suche ausführen).

   Sie können die Abfrage verfeinern und auf Suche ausführen klicken, bis in den Ergebnissen die Daten angezeigt werden, die Sie labeln möchten. Weitere Informationen zum Ausführen einer Abfrage finden Sie unter UDM-Suche eingeben.

8. Klicken Sie auf Änderungen speichern.

Der Bereich wird geändert.

Bereich löschen

Wenn ein Bereich gelöscht wird, haben Nutzer keinen Zugriff mehr auf die mit dem Bereich verknüpften Daten. Nach dem Löschen kann der Bereichsname nicht mehr zum Erstellen neuer Bereiche verwendet werden.

So löschen Sie einen Bereich:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > SIEM-Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie löschen möchten, auf more_vert Menü.

4. Klicken Sie auf Löschen.

5. Klicken Sie im Bestätigungsfenster auf Bestätigen.

Der Bereich wird gelöscht.

Bereich ansehen

So rufen Sie Details zu Bereichen auf:

1. In Google SecOps anmelden

2. Klicken Sie auf Einstellungen > Datenzugriff.

3. Klicken Sie auf dem Tab Bereiche neben dem Bereich, den Sie aufrufen möchten, auf more_vert Menü und wählen Sie Anzeigen aus.

Die Details zum Bereich werden angezeigt.

Nutzern Bereiche zuweisen

Die Zuweisung von Bereichen ist erforderlich, um den Datenzugriff für Nutzer mit eingeschränkten Berechtigungen zu steuern. Durch die Zuweisung bestimmter Bereiche an Nutzer wird festgelegt, welche Daten sie aufrufen und mit denen sie interagieren können. Wenn einem Nutzer mehrere Bereiche zugewiesen sind, erhält er Zugriff auf die kombinierten Daten aus allen diesen Bereichen. Sie können Nutzern, die globalen Zugriff benötigen, die entsprechenden Bereiche zuweisen, damit sie alle Daten ansehen und damit interagieren können.

So weisen Sie einem Nutzer einen Bereich zu:

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Wählen Sie das Projekt aus, das an Google SecOps gebunden ist.

3. Klicken Sie auf person_add Zugriff erlauben.

4. Führen Sie im Feld Neue Hauptkonten die folgenden Schritte aus:

   1. Wenn Sie die Workforce Identity-Föderation oder eine andere Drittanbieterauthentifizierung verwenden, fügen Sie Ihre Prinzipal-ID so hinzu:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Ersetzen Sie Folgendes:

      • POOL_ID: die Kennung für den Pool, der für Ihren Identitätsanbieter erstellt wurde.
      • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

   2. Wenn Sie Cloud Identity oder Google Workspace verwenden, fügen Sie Ihre Prinzipal-ID so hinzu:

      user:USER_EMAIL

      Ersetzen Sie Folgendes:

      • USER_EMAIL: Die E-Mail-Adresse des Nutzers.

5. Wählen Sie im Menü Rollen zuweisen > Rolle auswählen die gewünschte Rolle aus. Klicken Sie auf Weitere Rolle hinzufügen, um mehrere Rollen hinzuzufügen. Informationen dazu, welche Rollen hinzugefügt werden müssen, finden Sie unter Nutzerrollen.

6. Wenn Sie dem Nutzer einen Bereich zuweisen möchten, fügen Sie der Rolle „Chronicle Restricted Data Access“ (Eingeschränkter Datenzugriff für Chronicle) Bedingungen hinzu, die dem Nutzer zugewiesen ist. Das gilt nicht für Rollen mit globalem Zugriff.

   1. Klicken Sie neben der Rolle Chronicle Restricted Data Access auf IAM-Bedingung hinzufügen. Das Fenster Bedingung hinzufügen wird angezeigt.

   2. Geben Sie den Titel der Bedingung und die optionale Beschreibung ein.

   3. Fügen Sie den Bedingungsausdruck hinzu.

      Sie können einen Bedingungsausdruck entweder mit dem Builder für IAM-Bedingungen oder dem Bedingungseditor hinzufügen.

      Der Builder für IAM-Bedingungen bietet eine interaktive Oberfläche, in der Sie die gewünschte Bedingung, den Operator und andere anwendbare Details zum Ausdruck auswählen können. Mit den folgenden Operatoren können Sie präzise Regeln erstellen, um den Zugriff auf mehrere Bereiche mit einer einzigen IAM-Bedingung zu steuern:

   • ENDS_WITH: Prüft, ob der Bereichsname mit einem bestimmten Wort endet. Wenn Sie genau das Wort finden möchten, fügen Sie vor dem Wort ein / ein.

     Betrachten wir den Beispielbereich für den Datenzugriff mit dem Namen projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename entspricht dem genauen Namen und wird für den Beispielbereich als true ausgewertet.

     • ENDS_WITH scopename stimmt mit jedem Namen überein, der mit „scopename“ endet, und wird für den Beispielbereich und auch für projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename als true ausgewertet.

   • STARTS_WITH: Prüft, ob der Bereichsname mit einem bestimmten Wort beginnt. Beispiel: STARTS_WITH projects/project1 gewährt Zugriff auf alle Bereiche in „project1“.

   • EQUALS_TO: Prüft, ob der Name genau mit einem bestimmten Wort oder einer bestimmten Wortgruppe übereinstimmt. Dadurch wird nur Zugriff auf einen Bereich gewährt. Beispiel: EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename wird für den Beispielbereich als true ausgewertet.

   So fügen Sie der Rolle Bereiche hinzu:

   1. Wählen Sie unter Bedingungstyp die Option Name und unter Operator den Operator aus und geben Sie den Bereichsnamen unter Wert ein.

      /<scopename>

   2. Wenn Sie mehrere Bereiche zuweisen möchten, fügen Sie mit dem ODER-Operator weitere Bedingungen hinzu. Sie können jeder Rollenbindung bis zu 12 Bedingungen hinzufügen. Wenn Sie mehr als 12 Bedingungen hinzufügen möchten, erstellen Sie mehrere Rollenbindungen und fügen Sie jeder dieser Bindungen bis zu 12 Bedingungen hinzu.

      Weitere Informationen zu Bedingungen finden Sie in der Übersicht über IAM Conditions.

   3. Klicken Sie auf Speichern.

      Der Bedingungseditor bietet eine textbasierte Oberfläche zur manuellen Eingabe eines Ausdrucks mit der CEL-Syntax.

   4. Geben Sie den folgenden Ausdruck ein:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Klicken Sie auf Linter ausführen, um die CEL-Syntax zu validieren.

   6. Klicken Sie auf Speichern.

7. Klicken Sie auf Änderungen testen, um zu sehen, wie sich Ihre Änderungen auf den Nutzerzugriff auf die Daten auswirken.

8. Klicken Sie auf Speichern.

Die Nutzer können jetzt auf die Daten zugreifen, die mit den Bereichen verknüpft sind.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten