Mengonfigurasi RBAC data untuk pengguna

Halaman ini menjelaskan cara administrator kontrol akses berbasis peran data (RBAC data) dapat mengonfigurasi RBAC data dalam Google Security Operations. Melalui pembuatan dan penetapan cakupan data, yang ditentukan oleh label, Anda dapat memverifikasi bahwa data hanya dapat diakses oleh pengguna yang berwenang.

RBAC data mengandalkan konsep IAM, termasuk peran bawaan, peran kustom, dan kondisi IAM.

Berikut ringkasan umum proses konfigurasi:

1. Rencanakan penerapan Anda: identifikasi berbagai jenis data yang ingin Anda batasi akses penggunanya. Identifikasi berbagai peran dalam organisasi Anda dan tentukan persyaratan akses data untuk setiap peran.

2. Opsional: Buat label khusus: buat label khusus (selain label default) untuk mengategorikan data Anda.

3. Buat cakupan data: tentukan cakupan dengan menggabungkan label yang relevan.

4. Tetapkan cakupan kepada pengguna: tetapkan cakupan ke peran pengguna di IAM berdasarkan tanggung jawab mereka.

Saat RBAC data diaktifkan untuk pertama kalinya, aturan, daftar referensi, dan tabel data tidak memiliki cakupan yang ditetapkan. Hanya pengguna dengan akses global yang memiliki akses ke data. Pengguna yang memiliki cakupan tidak memiliki akses ke data apa pun secara default. Tindakan ini mencegah akses yang tidak diinginkan dan memverifikasi titik awal yang aman. Untuk memberikan akses, tentukan cakupan dan tetapkan cakupan tersebut kepada pengguna, aturan, dan daftar referensi berdasarkan persyaratan Anda.

Sebelum memulai

• Untuk memahami konsep inti RBAC data, berbagai jenis akses, dan peran pengguna yang sesuai, cara kerja label dan cakupan, serta dampak RBAC data pada fitur Google SecOps, lihat Ringkasan RBAC Data.

• Aktifkan instance Google SecOps Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan atau memigrasikan instance Google SecOps.

• Pastikan Anda memiliki peran yang diperlukan.

• RBAC data tidak diaktifkan secara default. Untuk mengaktifkan RBAC data, hubungi Dukungan Google SecOps.

Membuat dan mengelola label kustom

Label kustom adalah metadata yang dapat Anda tambahkan ke data Google SecOps yang diserap SIEM untuk mengategorikan dan mengaturnya berdasarkan nilai yang dinormalisasi UDM.

Misalnya, Anda ingin memantau aktivitas jaringan. Anda ingin melacak peristiwa Dynamic Host Configuration Protocol (DHCP) dari alamat IP tertentu (10.0.0.1) yang Anda duga mungkin disusupi.

Untuk memfilter dan mengidentifikasi peristiwa tertentu ini, Anda dapat membuat label kustom dengan nama Aktivitas DHCP Mencurigakan dengan definisi berikut:

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

Label khusus berfungsi dengan cara berikut:

Google SecOps terus-menerus menyerap log dan peristiwa jaringan ke dalam UDM-nya. Saat peristiwa DHCP diproses, Google SecOps akan memeriksa apakah peristiwa tersebut cocok dengan kriteria label kustom. Jika kolom metadata.event_type adalah NETWORK_DHCP dan jika kolom principal.ip (alamat IP perangkat yang meminta sewa DHCP) adalah 10.0.0.1, Google SecOps akan menerapkan label kustom ke peristiwa tersebut.

Anda dapat menggunakan label Aktivitas DHCP Mencurigakan untuk membuat cakupan dan menetapkan cakupan tersebut kepada pengguna yang relevan. Penetapan cakupan memungkinkan Anda membatasi akses ke peristiwa ini untuk pengguna atau peran tertentu dalam organisasi Anda.

Persyaratan dan batasan label

• Nama label harus unik dan dapat memiliki panjang maksimum 63 karakter. Nama hanya boleh berisi huruf kecil, karakter numerik, dan tanda hubung. Kunci tersebut tidak dapat digunakan kembali setelah dihapus.
• Label tidak dapat menggunakan daftar referensi.
• Label tidak dapat menggunakan kolom pengayaan.
• Label tidak mendukung ekspresi reguler.

Buat label khusus

Untuk membuat label kustom, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Label kustom, klik Buat label kustom.

4. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin Anda beri label. Untuk mengetahui informasi selengkapnya tentang cara menjalankan kueri, lihat artikel Memasukkan Penelusuran UDM.

5. Klik Buat label.

6. Di jendela Buat label, pilih Simpan sebagai label baru, lalu masukkan nama dan deskripsi label.

7. Klik Buat label.

   Label kustom baru dibuat. Selama penyerapan data, label ini diterapkan ke data yang cocok dengan kueri UDM. Label tidak diterapkan pada data yang sudah diserap.

Ubah label khusus

Anda hanya dapat mengubah deskripsi label dan kueri yang terkait dengan label. Nama label tidak dapat diperbarui. Saat Anda mengubah label kustom, perubahan hanya diterapkan pada data baru dan bukan pada data yang sudah diproses.

Untuk mengubah label, lakukan langkah-langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Label kustom, klik more_vert Menu pada label yang ingin Anda edit, lalu pilih Edit.

4. Di jendela Penelusuran UDM, perbarui kueri Anda, lalu klik Jalankan Penelusuran.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin Anda beri label. Untuk mengetahui informasi selengkapnya tentang cara menjalankan kueri, lihat artikel Memasukkan Penelusuran UDM.

5. Klik Simpan perubahan.

Label kustom diubah.

Menghapus label kustom

Menghapus label akan mencegah data baru dikaitkan dengannya. Data yang sudah dikaitkan dengan label akan tetap dikaitkan dengan label tersebut. Setelah dihapus, Anda tidak dapat memulihkan label kustom atau menggunakan kembali nama label untuk membuat label baru.

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label kustom, klik more_vert Menu untuk label yang ingin Anda hapus, lalu pilih Hapus.

3. Klik Hapus.

4. Di jendela konfirmasi, klik Konfirmasi.

Label kustom dihapus.

Melihat label khusus

Untuk melihat detail label kustom, lakukan hal berikut:

1. Klik Setelan > Setelan SIEM > Akses Data.

2. Di tab Label kustom, klik more_vert Menu pada label yang ingin Anda edit, lalu pilih Lihat.

   Detail label akan ditampilkan.

Membuat dan mengelola cakupan

Anda dapat membuat dan mengelola cakupan data dalam antarmuka pengguna Google SecOps, lalu menetapkan cakupan tersebut kepada pengguna atau grup melalui IAM. Anda dapat membuat cakupan dengan menerapkan label yang menentukan data yang dapat diakses oleh pengguna dengan cakupan tersebut.

Membuat cakupan

Untuk membuat cakupan, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik Buat cakupan.

4. Di jendela Create new scope, lakukan hal berikut:

   1. Masukkan Nama cakupan dan Deskripsi.

   2. Di Tentukan akses cakupan dengan label > Izinkan akses, lakukan hal berikut:

      • Untuk memilih label dan nilai yang sesuai yang ingin Anda berikan aksesnya kepada pengguna, klik Izinkan label tertentu.

        Dalam definisi cakupan, label dengan jenis yang sama (misalnya, jenis log) digabungkan menggunakan operator OR, sedangkan label dengan jenis yang berbeda (misalnya, jenis log dan namespace) digabungkan menggunakan operator AND. Untuk mengetahui informasi selengkapnya tentang cara label menentukan akses data dalam cakupan, lihat Visibilitas data dengan label izinkan dan tolak.

      • Untuk memberikan akses ke semua data, pilih Izinkan akses ke semuanya.

   3. Untuk mengecualikan akses ke beberapa label, pilih Kecualikan label tertentu, lalu pilih jenis label dan nilai yang sesuai yang aksesnya ingin Anda tolak untuk pengguna.

      Jika beberapa label tolak akses diterapkan dalam cakupan, akses akan ditolak jika cocok dengan salah satu label tersebut.

   4. Klik Uji cakupan untuk memverifikasi cara penerapan label ke cakupan.

   5. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

      Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin Anda beri label. Untuk mengetahui informasi selengkapnya tentang cara menjalankan kueri, lihat artikel Memasukkan Penelusuran UDM.

   6. Klik Buat cakupan.

   7. Di jendela Buat cakupan, konfirmasi nama dan deskripsi cakupan, lalu klik Buat cakupan.

Cakupan dibuat. Anda harus menetapkan cakupan kepada pengguna untuk memberi mereka akses ke data dalam cakupan.

Mengubah cakupan

Anda hanya dapat mengubah deskripsi cakupan dan label terkait. Nama cakupan tidak dapat diperbarui. Setelah Anda memperbarui cakupan, pengguna yang terkait dengan cakupan tersebut akan dibatasi sesuai dengan label baru. Aturan yang terikat dengan cakupan tidak dicocokkan ulang dengan aturan yang diperbarui.

Untuk mengubah cakupan, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik more_vert Menu yang sesuai dengan cakupan yang ingin Anda edit, lalu pilih Edit.

4. Klik edit Edit untuk mengedit deskripsi cakupan.

5. Di bagian Tentukan akses cakupan dengan label, perbarui label dan nilai yang sesuai sesuai kebutuhan.

6. Klik Uji cakupan untuk memverifikasi cara penerapan label baru ke cakupan.

7. Di jendela UDM Search, ketik kueri Anda, lalu klik Run Search.

   Anda dapat menyaring kueri dan mengklik Jalankan Penelusuran hingga hasilnya menampilkan data yang ingin Anda beri label. Untuk mengetahui informasi selengkapnya tentang cara menjalankan kueri, lihat artikel Memasukkan Penelusuran UDM.

8. Klik Simpan perubahan.

Cakupan diubah.

Hapus cakupan

Jika cakupan dihapus, pengguna tidak memiliki akses ke data yang terkait dengan cakupan tersebut. Setelah dihapus, nama cakupan tidak dapat digunakan kembali untuk membuat cakupan baru.

Untuk menghapus cakupan, lakukan langkah-langkah berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Setelan SIEM > Akses Data.

3. Di tab Cakupan, klik more_vert Menu pada cakupan yang ingin Anda hapus.

4. Klik Hapus.

5. Di jendela konfirmasi, klik Konfirmasi.

Cakupan dihapus.

Lihat cakupan

Untuk melihat detail cakupan, lakukan hal berikut:

1. Login ke Google SecOps.

2. Klik Setelan > Akses Data.

3. Di tab Scopes, klik more_vert Menu pada cakupan yang ingin Anda lihat, lalu pilih View.

Detail cakupan ditampilkan.

Menetapkan cakupan kepada pengguna

Penetapan cakupan diperlukan untuk mengontrol akses data bagi pengguna dengan izin terbatas. Menetapkan cakupan tertentu kepada pengguna akan menentukan data yang dapat mereka lihat dan gunakan. Saat pengguna diberi beberapa cakupan, mereka akan mendapatkan akses ke gabungan data dari semua cakupan tersebut. Anda dapat menetapkan cakupan yang sesuai kepada pengguna yang memerlukan akses global sehingga mereka dapat melihat dan berinteraksi dengan semua data.

Untuk menetapkan cakupan kepada pengguna, lakukan hal berikut:

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Pilih project yang terikat ke Google SecOps.

3. Klik person_add Berikan akses.

4. Di kolom New principals, lakukan hal berikut:

   1. Jika Anda menggunakan workforce identity federation atau autentikasi pihak ketiga lainnya, tambahkan ID utama Anda sebagai berikut:

      principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS

      Ganti kode berikut:

      • POOL_ID: ID untuk pool yang dibuat untuk penyedia identitas Anda.
      • USER_EMAIL: alamat email pengguna.

   2. Jika Anda menggunakan Cloud Identity atau Google Workspace, tambahkan ID utama Anda sebagai berikut:

      user:USER_EMAIL

      Ganti kode berikut:

      • USER_EMAIL: alamat email pengguna.

5. Di menu Tetapkan peran > Pilih peran, pilih peran yang diperlukan. Klik Tambahkan peran lain untuk menambahkan beberapa peran. Untuk memahami peran mana yang perlu ditambahkan, lihat Peran pengguna.

6. Untuk menetapkan cakupan kepada pengguna, tambahkan kondisi ke peran Akses Data Terbatas Chronicle yang ditetapkan kepada pengguna (tidak berlaku untuk peran akses global).

   1. Klik Tambahkan kondisi IAM untuk peran Chronicle Restricted Data Access. Jendela Tambahkan kondisi akan muncul.

   2. Masukkan judul kondisi dan deskripsi opsional.

   3. Tambahkan ekspresi kondisi.

      Anda dapat menambahkan ekspresi kondisi menggunakan Pembuat kondisi atau Editor kondisi.

      Pembuat kondisi menyediakan antarmuka interaktif untuk memilih jenis kondisi, operator, dan detail lain yang berlaku terkait ekspresi. Operator berikut memungkinkan Anda membuat aturan yang tepat untuk mengontrol akses ke beberapa cakupan dengan satu kondisi IAM:

   • ENDS_WITH: memeriksa apakah nama cakupan diakhiri dengan kata tertentu. Untuk mencocokkan kata persis, tambahkan / sebelum kata.

     Pertimbangkan contoh cakupan akses data bernama projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename.

     • ENDS_WITH /scopename cocok dengan nama persis dan dievaluasi sebagai true untuk cakupan contoh.

     • ENDS_WITH scopename cocok dengan nama apa pun yang diakhiri dengan "scopename" dan dievaluasi sebagai true untuk cakupan contoh dan juga untuk projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename.

   • STARTS_WITH: memeriksa apakah nama cakupan dimulai dengan kata tertentu. Misalnya, STARTS_WITH projects/project1 memberikan akses ke semua cakupan dalam "project1".

   • EQUALS_TO: memeriksa apakah nama sama persis dengan kata atau frasa tertentu. Tindakan ini hanya memberikan akses ke satu cakupan. Misalnya, EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename dievaluasi sebagai true untuk cakupan contoh.

   Untuk menambahkan cakupan ke peran, sebaiknya lakukan hal berikut:

   1. Pilih Nama di Jenis kondisi, operator di Operator, dan masukkan nama cakupan di Nilai.

      /<scopename>

   2. Untuk menetapkan beberapa cakupan, tambahkan lebih banyak kondisi menggunakan operator OR. Anda dapat menambahkan hingga 12 kondisi untuk setiap pengikatan peran. Untuk menambahkan lebih dari 12 kondisi, buat beberapa binding peran dan tambahkan hingga 12 kondisi ke setiap binding ini.

      Untuk mengetahui informasi selengkapnya tentang kondisi, lihat Ringkasan kondisi IAM.

   3. Klik Simpan.

      Editor kondisi menyediakan antarmuka berbasis teks untuk memasukkan ekspresi secara manual menggunakan sintaksis CEL.

   4. Masukkan ekspresi berikut:

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))

   5. Klik Jalankan Linter untuk memvalidasi sintaks CEL.

   6. Klik Simpan.

7. Klik Uji perubahan untuk melihat pengaruh perubahan Anda terhadap akses pengguna ke data.

8. Klik Simpan.

Pengguna kini dapat mengakses data yang terkait dengan cakupan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.