本頁面由 Cloud Translation API 翻譯而成。

為使用者設定資料 RBAC

支援的國家/地區：

Google SecOps SIEM

本頁面說明資料角色型存取權控管 (資料 RBAC) 管理員如何在 Google Security Operations 中設定資料 RBAC。透過建立及指派資料範圍 (由標籤定義)，您可以確認只有授權使用者能存取資料。

資料 RBAC 依賴 IAM 概念，包括預先定義的角色、自訂角色和 IAM 條件。

以下是設定程序的概略總覽：

規劃實作方式：找出您要限制使用者存取的資料類型。找出貴機構內的不同角色，並判斷每個角色的資料存取需求。
選用：建立自訂標籤：除了預設標籤外，你也可以建立自訂標籤來分類資料。
建立資料範圍：合併相關標籤來定義範圍。
指派使用者範圍：根據使用者的職責，在 IAM 中為使用者角色指派範圍。

首次啟用資料 RBAC 時，規則、參照清單和資料表不會指派任何範圍。只有具備全域存取權的使用者才能存取資料。根據預設，範圍內使用者無法存取任何資料。這可防止非預期存取，並驗證安全起點。如要授予存取權，請根據需求定義範圍，並將範圍指派給使用者、規則和參照清單。

事前準備

如要瞭解資料 RBAC 的核心概念、不同存取類型和對應的使用者角色、標籤和範圍的運作方式，以及資料 RBAC 對 Google SecOps 功能的影響，請參閱「資料 RBAC 總覽」。
啟用 Google SecOps 執行個體。詳情請參閱「加入或遷移 Google SecOps 執行個體」。
確認您具備必要角色。
根據預設，系統不會啟用資料 RBAC，如要啟用資料 RBAC，請與 Google SecOps 支援團隊聯絡。

建立及管理自訂標籤

自訂標籤是您可以新增至 SIEM 擷取 Google SecOps 資料的中繼資料，用於根據 UDM 標準化值分類及整理資料。

舉例來說，假設您想監控網路活動，您想追蹤特定 IP 位址 (10.0.0.1) 的動態主機設定通訊協定 (DHCP) 事件，因為您懷疑該位址可能遭到入侵。

如要篩選及找出這些特定事件，您可以建立名為「可疑 DHCP 活動」的自訂標籤，並使用下列定義：

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

自訂標籤的運作方式如下：

Google SecOps 會持續將網路記錄和事件擷取至 UDM。Google SecOps 擷取 DHCP 事件時，會檢查事件是否符合自訂標籤的條件。如果 metadata.event_type 欄位為 NETWORK_DHCP，且 principal.ip 欄位 (要求 DHCP 租用的裝置 IP 位址) 為 10.0.0.1，Google SecOps 會將自訂標籤套用至事件。

您可以使用「可疑的 DHCP 活動」標籤建立範圍，並將範圍指派給相關使用者。您可以透過範圍指派功能，限制貴機構中特定使用者或角色的這些事件存取權。

標籤規定和限制

標籤名稱不得重複，長度上限為 63 個字元。只能包含小寫英文字母、數字和連字號。刪除後就無法重複使用。
標籤無法使用參照清單。
標籤無法使用擴充欄位。
標籤不支援規則運算式。

建立自訂標籤

如要建立自訂標籤，請按照下列步驟操作：

登入 Google SecOps。
依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「自訂標籤」分頁中，按一下「建立自訂標籤」。
在「UDM Search」視窗中輸入查詢，然後按一下「Run Search」。

您可以修正查詢內容，然後按一下「執行搜尋」，直到結果顯示您要標記的資料為止。如要進一步瞭解如何執行查詢，請參閱「輸入 UDM 搜尋」。
按一下「建立標籤」。
在「建立標籤」視窗中，選取「另存為新標籤」，然後輸入標籤名稱和說明。
按一下「建立標籤」。

系統會建立新的自訂標籤。資料擷取期間，系統會將這個標籤套用至符合 UDM 查詢的資料。標籤不會套用至已擷取的資料。

修改自訂標籤

您只能修改標籤說明和與標籤相關聯的查詢。標籤名稱無法更新，修改自訂標籤時，變更只會套用至新資料，不會套用至已擷取的資料。

如要修改標籤，請按照下列步驟操作：

登入 Google SecOps。
依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「自訂標籤」分頁中，按一下要編輯標籤的「選單」圖示，然後選取「編輯」。
在「UDM 搜尋」視窗中更新查詢，然後按一下「執行搜尋」。

您可以修正查詢內容，然後按一下「執行搜尋」，直到結果顯示您要標記的資料為止。如要進一步瞭解如何執行查詢，請參閱「輸入 UDM 搜尋」。
按一下 [儲存變更]。

自訂標籤已修改。

刪除自訂標籤

刪除標籤後，系統就不會再將新資料與該標籤建立關聯。已與標籤建立關聯的資料仍會與該標籤保持關聯。刪除後，您無法復原自訂標籤，也無法使用標籤名稱建立新標籤。

依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「自訂標籤」分頁中，按一下要刪除標籤的「選單」圖示，然後選取「刪除」。
點選「刪除」。
在確認視窗中，按一下「確認」。

自訂標籤已刪除。

查看自訂標籤

如要查看自訂標籤詳細資料，請按照下列步驟操作：

依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「自訂標籤」分頁中，按一下要編輯的標籤旁邊的「選單」，然後選取「查看」。

系統會顯示標籤詳細資料。

建立及管理範圍

您可以在 Google SecOps 使用者介面中建立及管理資料範圍，然後透過 IAM 將這些範圍指派給使用者或群組。您可以套用標籤來建立範圍，定義具有該範圍的使用者可存取的資料。

建立範圍

如要建立範圍，請按照下列步驟操作：

登入 Google SecOps。
依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「範圍」分頁中，按一下「建立範圍」。
在「Create new scope」(建立新範圍) 視窗中，執行下列操作：
1. 輸入「範圍名稱」和「說明」。
2. 在「使用標籤定義範圍存取權」 >「允許存取」中，執行下列操作：
  - 如要選取要授予使用者存取權的標籤和相應值，請按一下「允許特定標籤」。
    
    在範圍定義中，相同類型的標籤 (例如記錄類型) 會使用 OR 運算子合併，不同類型的標籤 (例如記錄類型和命名空間) 則會使用 AND 運算子合併。如要進一步瞭解標籤如何定義範圍內的資料存取權，請參閱「使用允許和拒絕標籤控管資料可見度」一文。
  - 如要授予所有資料的存取權，請選取「允許存取所有內容」。
3. 如要排除部分標籤的存取權，請選取「排除特定標籤」，然後選取要拒絕使用者存取的標籤類型和相應值。
  
  如果在範圍內套用多個拒絕存取標籤，只要與任何標籤相符，系統就會拒絕存取。
4. 按一下「測試範圍」，確認標籤套用至範圍的方式。
5. 在「UDM Search」視窗中輸入查詢，然後按一下「Run Search」。
  
  您可以修正查詢內容，然後按一下「執行搜尋」，直到結果顯示您要標記的資料為止。如要進一步瞭解如何執行查詢，請參閱「輸入 UDM 搜尋」。
6. 按一下「建立範圍」。
7. 在「建立範圍」視窗中，確認範圍名稱和說明，然後按一下「建立範圍」。

範圍已建立。您必須將範圍指派給使用者，才能授予他們存取範圍內資料的權限。

修改範圍

您只能修改範圍說明和相關聯的標籤。範圍名稱無法更新。更新範圍後，與該範圍相關聯的使用者會受到新標籤的限制。系統不會根據更新後的範圍重新比對規則。

如要修改範圍，請按照下列步驟操作：

登入 Google SecOps。
依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「範圍」分頁中，按一下要編輯範圍的「選單」圖示，然後選取「編輯」。
按一下「編輯」，編輯範圍說明。
在「使用標籤定義範圍存取權」部分，視需要更新標籤和對應值。
按一下「測試範圍」，確認新標籤如何套用至範圍。
在「UDM Search」視窗中輸入查詢，然後按一下「Run Search」。

您可以修正查詢內容，然後按一下「執行搜尋」，直到結果顯示您要標記的資料為止。如要進一步瞭解如何執行查詢，請參閱「輸入 UDM 搜尋」。
按一下 [儲存變更]。

範圍已修改。

刪除範圍

刪除範圍後，使用者就無法存取與該範圍相關聯的資料。刪除後，範圍名稱無法重複使用，建立新範圍。

如要刪除範圍，請執行下列步驟：

登入 Google SecOps。
依序點選「設定」 >「SIEM 設定」 >「資料存取」。
在「範圍」分頁中，針對要刪除的範圍點按「選單」圖示。
點選「刪除」。

注意： 刪除範圍後，您就無法重複使用該範圍名稱。
在確認視窗中，按一下「確認」。

範圍已刪除。

查看範圍

如要查看範圍詳細資料，請按照下列步驟操作：

登入 Google SecOps。
依序點選「設定」 >「資料存取權」。
在「範圍」分頁中，針對要查看的範圍按一下「選單」圖示，然後選取「查看」。

系統會顯示範圍詳細資料。

指派範圍給使用者

如要控管具有受限權限的使用者資料存取權，必須指派範圍。為使用者指派特定範圍，可決定他們能查看及互動的資料。如果使用者獲派多個範圍，就能存取所有範圍的合併資料。您可以將適當的範圍指派給需要全域存取權的使用者，讓他們查看及處理所有資料。

如要將範圍指派給使用者，請按照下列步驟操作：

前往 Google Cloud 控制台的「IAM」頁面。

前往身分與存取權管理頁面
選取與 Google SecOps 綁定的專案。
按一下「授予存取權」。
在「New principals」(新增主體) 欄位中，執行下列操作：
1. 如果您使用員工身分聯盟或其他第三方驗證機制，請新增主體 ID，如下所示：
```
principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
```
  更改下列內容：
  - POOL_ID：為身分識別提供者建立的集區 ID。
  - USER_EMAIL：使用者的電子郵件地址。
2. 如果您使用 Cloud Identity 或 Google Workspace，請按照下列步驟新增主體 ID：
```
user:USER_EMAIL
```
  更改下列內容：
  - USER_EMAIL：使用者的電子郵件地址。
在「指派角色」 >「選取角色」選單中，選取所需角色。如要新增多個角色，請按一下「新增其他角色」。如要瞭解需要新增哪些角色，請參閱「使用者角色」一文。
如要將範圍指派給使用者，請在指派給使用者的 Chronicle 受限資料存取角色中新增條件 (不適用於全域存取角色)。
1. 針對「Chronicle Restricted Data Access」角色，按一下「新增 IAM 條件」。系統會顯示「新增條件」視窗。
2. 輸入條件標題和說明 (選填)。
3. 新增條件運算式。
  
  您可以使用「條件建構工具」或「條件編輯器」新增條件運算式。
  
  條件建構工具提供互動式介面，可選取運算式的條件類型、運算子和其他適用詳細資料。您可以使用下列運算子建立精確的規則，透過單一 IAM 條件控管多個範圍的存取權：
- ENDS_WITH：檢查範圍名稱是否以特定字詞結尾。如要比對完全相符的字詞，請在字詞前加上 /。
  
  假設有一個名為 projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename 的資料存取範圍。
  - ENDS_WITH /scopename 與確切名稱相符，並評估為範例範圍的 true。
  - ENDS_WITH scopename 會比對所有以「scopename」結尾的名稱，並評估為範例範圍和 projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/testscopename 的 true。
- STARTS_WITH：檢查範圍名稱是否以特定字詞開頭。舉例來說，STARTS_WITH projects/project1 會授予「project1」中所有範圍的存取權。
- EQUALS_TO：檢查名稱是否與特定字詞或詞組完全相符。這只會授予一個範圍的存取權。舉例來說，在範例範圍中，EQUALS_TO projects/1234/locations/us/instances/2342-434-44-3434-343434/dataAccessScopes/scopename 的評估結果為 true。
如要為角色新增範圍，建議採取下列做法：
1. 在「條件類型」中選取「名稱」，在「運算子」中選取運算子，然後在「值」中輸入範圍名稱。
  
  /<scopename>
2. 如要指派多個範圍，請使用 OR 運算子新增更多條件。每個角色繫結最多可新增 12 個條件。如要新增超過 12 個條件，請建立多個角色繫結，並在每個繫結中新增最多 12 個條件。
  
  如要進一步瞭解條件，請參閱 IAM 條件總覽。
3. 按一下 [儲存]。
  
  條件編輯器提供文字介面，可使用 CEL 語法手動輸入運算式。
4. 輸入下列運算式：
```
(scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
```
5. 按一下「執行 Linter」驗證 CEL 語法。
6. 按一下 [儲存]。
  
  注意： 條件式角色繫結不會覆寫沒有條件的角色繫結。如果主體繫結至角色，且角色繫結沒有條件，主體一律會擁有該角色。將主體新增至相同角色的條件繫結不會有任何影響。
按一下「測試變更」，即可查看變更對使用者資料存取權的影響。
按一下 [儲存]。

使用者現在可以存取與範圍相關聯的資料。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。