Guia do usuário do controle de acesso baseado em função (RBAC)

Compatível com:

O controle de acesso baseado em papéis (RBAC) permite que um administrador personalize o acesso aos recursos do Google Security Operations com base na função de um funcionário na organização.

Antes de começar

O RBAC lê as informações do grupo na resposta SAML dos seguintes nomes de atributos padrão sem diferenciação de maiúsculas e minúsculas:

  • group
  • idpgroup group
  • memberof

Se você usar um nome de atributo personalizado, ele precisará ser fornecido primeiro ao Google Security Operations para que você possa modificar as configurações de RBAC.

Modificar as configurações de RBAC

Para acessar as páginas de perfil e configurações do RBAC, clique em Configurações na barra de navegação.

Perfil

A página Perfil mostra as informações do perfil do usuário (ID do usuário, ID do grupo, papéis atribuídos) e algumas informações adicionais sobre a organização (ID do cliente,número do projeto Google Cloud ,ID do projeto Google Cloud ).

ID de cliente

O ID de cliente está na seção Detalhes da organização da página Perfil.

Fuso horário

Para mudar o fuso horário associado ao seu perfil, clique em Editar ao lado de "Configurações de hora". Selecione o fuso horário adequado e clique em Salvar. Isso muda a hora exibida na maior parte da interface do usuário para corresponder ao fuso horário selecionado. Enquanto

Usuários e grupos

Na página Usuários e grupos, um administrador pode configurar o RBAC.

  1. Clique no link Usuários e grupos no painel de navegação à esquerda. Uma lista de usuários e grupos é mostrada na página Usuários e grupos com as colunas: Usuário/Grupo, Tipo e Função atribuída.

  2. Clique em Atribuir novo para abrir a caixa de diálogo Atribuir função. Nessa caixa de diálogo, é possível concluir as seguintes tarefas:

    • Atribua um ou mais usuários a uma função.
    • Atribua um ou mais grupos a uma função.

    As funções disponíveis são:

    • Padrão
    • ViewerWithNoDetectAccess
    • Leitor
    • Editor
    • Administrador

    Depois de adicionar os IDs de usuário ou grupo e selecionar a função apropriada no menu suspenso ATRIBUIR FUNÇÃO, clique em ATRIBUIR.

    Ao atribuir papéis, observe o seguinte:

    • Ao adicionar usuários ou grupos, verifique se eles existem no seu provedor de identidade (IdP). Ao excluir usuários ou grupos, mantenha pelo menos um usuário ou grupo com a função de administrador no seu IdP. Caso contrário, você vai perder o acesso de administrador.
    • Os IDs de usuário e grupo do IdP diferenciam maiúsculas de minúsculas.
    • Não é possível mudar a função atribuída de um usuário ou grupo usando essa caixa de diálogo. Confira as etapas a seguir para saber como mudar papéis e excluir usuários e grupos.
    • O Google Security Operations gerencia o mapeamento entre usuários, grupos e papéis.
    • Tenha cuidado se o ID do usuário ou do grupo tiver caracteres especiais que, dependendo da origem do texto, podem usar a codificação UTF-8. Depois de clicar em Atribuir, o Google recomenda que você verifique se a nova atribuição foi salva corretamente.

  3. Para mudar a função de um usuário ou grupo, selecione uma nova função no menu suspenso correspondente a esse usuário ou grupo na coluna Função atribuída.

  4. É possível mudar a função padrão atribuída a novos usuários e grupos no menu suspenso de funções no canto superior direito.

  5. Para excluir um usuário ou grupo, clique no ícone de lixeira que aparece no lado direito da linha do usuário ou grupo ao passar o ponteiro sobre ela.

    Se você excluir usuários e grupos que são administradores, e os únicos administradores restantes não estiverem no seu IdP, você vai perder o acesso de administrador.

    Papéis

Os papéis estão associados a um conjunto de permissões de produto. Ao atribuir uma função a um usuário, você concede a ele as permissões associadas a essa função.

O Google Security Operations inclui os seguintes papéis predefinidos:

  • Administrador: gerencia as políticas de controle de acesso baseado em papéis da sua empresa. Também pode editar ou acessar qualquer página do Google Security Operations.
  • Editor: pode editar páginas do Google Security Operations, incluindo a capacidade de criar e editar regras para o Detection Engine.
  • Leitor: pode acessar qualquer página do Google Security Operations, mas não pode fazer mudanças.
  • ViewerWithNoDetectAccess: pode acessar todas as páginas do Google Security Operations que não incluem detecções (principalmente as páginas "Regras" e "Listas de referência").

As aplicações de RBAC incluem o seguinte:

  • Crie e atribua papéis com base nas responsabilidades do trabalho.
  • Criar e atribuir funções com base em locatários ou organizações.
  • Atribua papéis temporários aos analistas para investigar um problema.

Permissões

As permissões fornecem a autorização necessária para realizar uma única ação controlada no Google Security Operations, incluindo (consulte a interface do usuário para a lista completa de permissões):

  • Ver regra
  • Modificar regra
  • Editar feedback
  • Editar lista de referências
  • Ver permissões RBAC

Se um usuário não tiver permissões para uma ação, o recurso associado será desativado. Por exemplo, se o usuário tiver a função de leitor, não será possível criar uma regra (o botão Nova fica desativado no editor de regras), duplicar uma regra (a opção Duplicar fica desativada) ou modificar uma regra existente.

Para conferir as funções e permissões disponíveis para usuários e grupos, faça o seguinte:

  1. Clique no link Funções no painel de navegação à esquerda.

  2. Selecione uma função na coluna "Funções" para ver as permissões concedidas a ela. As permissões associadas a cada função não podem ser alteradas.

A função padrão para usuários e grupos recém-adicionados é "Leitor". Se você selecionar uma das outras funções (por exemplo, "Editor"), o controle Definir como padrão vai ficar disponível. Isso permite que você defina esse papel como padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.