Mengonfigurasi kontrol akses fitur menggunakan IAM

Didukung di:

RBAC Fitur mengontrol akses pengguna ke fitur atau fungsi tertentu dalam sistem dan menentukan fitur mana yang dapat diakses pengguna berdasarkan peran mereka. Halaman ini menjelaskan cara mengonfigurasi kontrol akses fitur dalam Google Security Operations.

Dalam dokumen ini, istilah RBAC lama digunakan saat merujuk ke sistem kontrol akses yang sebelumnya tersedia dan dikonfigurasi menggunakan Google SecOps, bukan Identity and Access Management (IAM). RBAC Fitur digunakan untuk mendeskripsikan kontrol akses berbasis fitur yang Anda konfigurasi menggunakan IAM.

Google SecOps terintegrasi dengan Google Cloud IAM untuk memberikan izin khusus Google SecOps dan peran bawaan. Administrator SecOps Google dapat mengontrol akses ke fitur dengan membuat kebijakan IAM yang mengikat pengguna atau grup ke peran standar atau dapat membuat peran IAM kustom. Fitur ini tidak mengontrol akses ke kolom atau data UDM tertentu dalam data UDM.

Dokumen ini melakukan hal berikut:

  • Menjelaskan cara Google SecOps berintegrasi dengan IAM.
  • Menjelaskan perbedaan peran RBAC fitur dengan peran RBAC lama.
  • Memberikan langkah-langkah untuk memigrasikan instance Google SecOps ke RBAC fitur.
  • Memberikan contoh cara menetapkan izin menggunakan IAM.
  • Merangkum izin dan peran bawaan yang tersedia di IAM.

Untuk mengetahui daftar izin Google SecOps yang umum digunakan dan log audit yang dihasilkan, lihat Izin dan metode API menurut grup resource. Untuk mengetahui daftar semua izin Google SecOps, lihat Referensi izin Identity and Access Management.

Setiap izin Google SecOps dikaitkan dengan resource dan metode Chronicle API. Jika pengguna atau grup diberi izin, pengguna dapat mengakses fitur di Google SecOps dan mengirim permintaan menggunakan metode API terkait.

Cara Google SecOps berintegrasi dengan IAM

Untuk menggunakan IAM, Google SecOps harus terikat ke project Google Cloud dan harus dikonfigurasi dengan Cloud Identity, Google Workspace, atau Google Cloud federasi identitas tenaga kerja sebagai perantara dalam alur autentikasi ke penyedia identitas pihak ketiga. Untuk mengetahui informasi tentang alur autentikasi pihak ketiga, lihat Mengintegrasikan Google SecOps dengan penyedia identitas pihak ketiga.

SecOps Google melakukan langkah-langkah berikut untuk memverifikasi dan mengontrol akses ke fitur:

  1. Setelah login ke Google SecOps, pengguna akan mengakses halaman aplikasi Google SecOps. Atau, pengguna dapat mengirim permintaan API ke Google SecOps.
  2. Google SecOps memverifikasi izin yang diberikan dalam kebijakan IAM yang ditentukan untuk pengguna tersebut.
  3. IAM menampilkan informasi otorisasi. Jika pengguna mengakses halaman aplikasi, Google SecOps hanya mengizinkan akses ke fitur yang telah diberikan kepada pengguna tersebut.
  4. Jika pengguna mengirim permintaan API, dan tidak memiliki izin untuk melakukan tindakan yang diminta, respons API akan menyertakan error. Jika tidak, respons standar akan ditampilkan.

Google SecOps menyediakan serangkaian peran standar dengan serangkaian izin yang ditentukan yang mengontrol apakah pengguna dapat mengakses fitur tersebut atau tidak. Satu kebijakan IAM mengontrol akses ke fitur menggunakan antarmuka web dan API.

Jika ada layanan lain di project yang terikat ke Google SecOps, dan Anda ingin membatasi pengguna dengan peran Project IAM Admin agar hanya dapat mengubah resource Google SecOps, pastikan untuk menambahkan kondisi IAM ke kebijakan yang diizinkan. Google Cloud Google Cloud Lihat Menetapkan peran kepada pengguna dan grup untuk mengetahui contoh cara melakukannya.

Administrator menyesuaikan akses ke fitur Google SecOps berdasarkan peran karyawan di organisasi Anda.

Sebelum memulai

Merencanakan penerapan Anda

Buat kebijakan IAM yang mendukung persyaratan deployment organisasi Anda. Anda dapat menggunakan peran standar Google SecOps atau peran khusus yang Anda buat.

Tinjau daftar peran dan izin bawaan Google SecOps berdasarkan persyaratan organisasi Anda. Identifikasi anggota organisasi Anda yang harus memiliki akses ke setiap fitur Google SecOps. Jika organisasi Anda memerlukan kebijakan IAM yang berbeda dengan peran Google SecOps yang telah ditentukan sebelumnya, buat peran kustom untuk mendukung persyaratan ini. Untuk mengetahui informasi tentang peran kustom IAM, lihat Membuat dan mengelola peran kustom.

Ringkasan peran dan izin SecOps Google

Bagian berikut memberikan ringkasan umum tentang peran yang telah ditetapkan.

Daftar izin Google SecOps terbaru ada di referensi izin IAM. Di bagian Telusuri izin, telusuri istilah chronicle.

Daftar peran bawaan Google Security Operations yang paling baru ada di Referensi peran dasar dan bawaan IAM. Di bagian Predefined roles, pilih layanan Chronicle API roles atau telusuri istilah chronicle.

Untuk mengetahui informasi tentang metode dan izin API, halaman tempat izin digunakan, dan informasi yang dicatat di Cloud Audit Logs saat API dipanggil, lihat Izin Chronicle di IAM.

Peran bawaan Google SecOps di IAM

Google SecOps menyediakan peran bawaan berikut sebagaimana yang muncul di IAM.

Peran bawaan di IAM Judul Deskripsi
roles/chronicle.admin Admin Chronicle API Akses penuh ke aplikasi dan layanan API Google SecOps, termasuk setelan global.
roles/chronicle.editor Chronicle API Editor Mengubah akses ke aplikasi Google SecOps dan resource API.
roles/chronicle.viewer Chronicle API Viewer Akses hanya baca ke aplikasi Google SecOps dan resource API
roles/chronicle.limitedViewer Chronicle API Limited Viewer Memberikan akses hanya baca ke resource aplikasi dan API Google SecOps, tidak termasuk aturan mesin deteksi dan retrohunt.

Izin Google SecOps di IAM

Izin Google SecOps terkait one-to-one dengan metode API Chronicle. Setiap izin Google SecOps memungkinkan tindakan tertentu pada fitur Google SecOps tertentu saat menggunakan aplikasi web atau API. Google SecOps API yang digunakan dengan IAM berada dalam tahap peluncuran Alfa.

Nama izin Google SecOps mengikuti format SERVICE.FEATURE.ACTION. Misalnya, nama izin chronicle.dashboards.edit terdiri dari berikut:

  • chronicle: nama layanan Chronicle API.
  • dashboards: nama fitur.
  • edit: tindakan yang dapat dilakukan pada fitur.

Nama izin menjelaskan tindakan yang dapat Anda lakukan pada fitur di Google SecOps. Semua izin Google SecOps memiliki nama layanan chronicle.

Menetapkan peran kepada pengguna dan grup

Bagian berikut memberikan contoh kasus penggunaan untuk membuat kebijakan IAM. Istilah <project> digunakan untuk merepresentasikan project ID project yang Anda ikat ke Google SecOps.

Setelah mengaktifkan Chronicle API, peran dan izin bawaan Google SecOps tersedia di IAM dan Anda dapat membuat kebijakan untuk mendukung persyaratan organisasi.

Jika Anda memiliki instance Google SecOps yang baru dibuat, mulailah membuat kebijakan IAM untuk memenuhi persyaratan organisasi.

Jika ini adalah instance Google SecOps yang sudah ada, lihat Memigrasikan Google SecOps ke IAM untuk kontrol akses fitur untuk mengetahui informasi tentang memigrasikan instance ke IAM.

Contoh: Menetapkan peran Admin IAM Project dalam project khusus

Dalam contoh ini, project dikhususkan untuk instance Google SecOps Anda. Anda memberikan peran Admin IAM Project kepada pengguna sehingga mereka dapat memberikan dan mengubah binding peran IAM project. Pengguna dapat mengelola semua peran dan izin Google SecOps dalam project dan melakukan tugas yang diberikan oleh peran Project IAM Admin.

Menetapkan peran menggunakan konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan konsol Google Cloud .

  1. Buka konsol Google Cloud .
  2. Pilih project yang terikat ke Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Berikan Akses ke <project> akan muncul.
  5. Di bagian Add Principals, masukkan alamat email akun terkelola di kolom New principals.
  6. Di bagian Assign Roles, pada Select a role menu, pilih peran Project IAM Admin.
  7. Klik Simpan.
  8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna diberi peran yang benar.

Tetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna saat menggunakan workforce identity federation.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin

Ganti kode berikut:

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada grup saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member "user:USER_EMAIL" \
  --role=roles/chronicle.admin

Ganti kode berikut:

Contoh: Menetapkan peran Admin IAM Project dalam project bersama

Dalam contoh ini, project digunakan untuk beberapa aplikasi. Project ini terikat ke instance Google SecOps dan menjalankan layanan yang tidak terkait dengan Google SecOps. Misalnya, resource Compute Engine yang digunakan untuk tujuan lain.

Dalam hal ini, Anda dapat memberikan peran Project IAM Admin kepada pengguna agar mereka dapat memberikan dan mengubah binding peran IAM project serta mengonfigurasi Google SecOps. Anda juga akan menambahkan IAM ke pengikatan peran untuk membatasi akses mereka hanya ke peran yang terkait dengan Google SecOps dalam project. Pengguna ini hanya dapat memberikan peran yang ditentukan dalam kondisi IAM.

Untuk mengetahui informasi selengkapnya tentang kondisi IAM, lihat Ringkasan IAM Conditions dan Mengelola binding peran bersyarat.

Menetapkan peran menggunakan konsol Google Cloud

Langkah-langkah berikut menjelaskan cara memberikan peran kepada pengguna menggunakan konsol Google Cloud .

  1. Buka konsol Google Cloud .
  2. Pilih project yang terikat ke Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Berikan Akses ke <project> akan muncul.
  5. Di dialog Berikan Akses ke <project>, di bagian Tambahkan Akun Utama, masukkan alamat email pengguna di kolom Akun Utama Baru.
  6. Di bagian Assign Roles, pada Select a role menu, pilih peran Project IAM Admin.
  7. Klik + Tambahkan Kondisi IAM.
  8. Di dialog Tambahkan kondisi, masukkan informasi berikut:
    1. Masukkan Judul untuk kondisi.
    2. Pilih Editor kondisi.
    3. Masukkan kondisi berikut:
  api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])
  1. Klik Simpan di dialog Tambahkan kondisi.
  2. Klik Simpan di dialog Beri Akses ke <project>.
  3. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna diberi peran yang benar.

Tetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada pengguna dan menerapkan kondisi IAM saat menggunakan workload identity federation.

gcloud projects add-iam-policy-binding PROJECT_ID  \
--member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
--role=roles/chronicle.admin\
--condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ganti kode berikut:

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.admin kepada grup dan menerapkan kondisi IAM saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.admin\
  --condition=^:^'expression=api.getAttribute(iam.googleapis.com/modifiedGrantsByRole,[]).hasOnly([roles/chronicle.googleapis.com/limitedViewer, roles/chronicle.googleapis.com/viewer, roles/chronicle.googleapis.com/editor, roles/chronicle.googleapis.com/admin])':'title=Chronicle Role Admin'

Ganti kode berikut:

Contoh: Menetapkan peran Editor Chronicle API kepada pengguna

Dalam situasi ini, Anda ingin memberi pengguna kemampuan untuk mengubah akses ke resource Chronicle API.

Menetapkan peran menggunakan konsol Google Cloud

  1. Buka konsol Google Cloud .
  2. Pilih project yang terikat ke Google SecOps.
  3. Pilih IAM & Admin.
  4. Pilih Berikan Akses. Dialog Berikan Akses ke <project> akan terbuka.
  5. Di bagian Tambahkan akun utama, di kolom Akun utama baru, masukkan alamat email pengguna.
  6. Di bagian Assign Roles, pada Select a role menu, pilih peran Chronicle API Editor.
  7. Klik Simpan di dialog Beri Akses ke <project>.
  8. Buka halaman IAM > Izin untuk memverifikasi bahwa pengguna diberi peran yang benar.

Tetapkan peran menggunakan Google Cloud CLI

Contoh perintah berikut menunjukkan cara memberikan peran chronicle.editor kepada pengguna saat menggunakan federasi identitas tenaga kerja.

gcloud projects add-iam-policy-binding PROJECT_ID  \
  --member=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/USER_EMAIL \
  --role=roles/chronicle.editor

Ganti kode berikut:

  • PROJECT_ID: project ID project yang terikat dengan Google SecOps yang Anda buat di Mengikat instance Google SecOps ke project Google Cloud . Lihat Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.
  • WORKFORCE_POOL_ID: ID untuk Kumpulan tenaga kerja yang dibuat untuk Penyedia Identitas Anda.

  • USER_EMAIL: alamat email pengguna.

    Contoh perintah berikut menunjukkan cara memberikan peran chronicle.editor kepada pengguna saat menggunakan Cloud Identity atau Google Workspace.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER_EMAIL \
  --role=roles/chronicle.editor

Ganti kode berikut:

Contoh: Membuat dan menetapkan peran khusus ke grup

Jika peran standar Google SecOps tidak memberikan grup izin yang sesuai dengan kasus penggunaan organisasi Anda, Anda dapat membuat peran khusus dan menetapkan izin Google SecOps ke peran khusus tersebut. Anda menetapkan peran khusus kepada pengguna atau grup. Untuk mengetahui informasi selengkapnya tentang peran kustom IAM, lihat Membuat dan mengelola peran kustom.

Langkah-langkah berikut memungkinkan Anda membuat peran khusus bernama LimitedAdmin.

  1. Buat file YAML atau JSON yang menentukan peran khusus, yang disebut LimitedAdmin, dan izin yang diberikan ke peran ini. Berikut adalah contoh file YAML.

    title: "LimitedAdmin"
description: "Admin role with some permissions removed"
stage: "ALPHA"
includedPermissions:
- chronicle.collectors.create
- chronicle.collectors.delete
- chronicle.collectors.get
- chronicle.collectors.list
- chronicle.collectors.update
- chronicle.dashboards.copy
- chronicle.dashboards.create
- chronicle.dashboards.delete
- chronicle.dashboards.get
- chronicle.dashboards.list
- chronicle.extensionValidationReports.get
- chronicle.extensionValidationReports.list
- chronicle.forwarders.create
- chronicle.forwarders.delete
- chronicle.forwarders.generate
- chronicle.forwarders.get
- chronicle.forwarders.list
- chronicle.forwarders.update
- chronicle.instances.get
- chronicle.instances.report
- chronicle.legacies.legacyGetCuratedRulesTrends
- chronicle.legacies.legacyGetRuleCounts
- chronicle.legacies.legacyGetRulesTrends
- chronicle.legacies.legacyUpdateFinding
- chronicle.logTypeSchemas.list
- chronicle.multitenantDirectories.get
- chronicle.operations.cancel
- chronicle.operations.delete
- chronicle.operations.get
- chronicle.operations.list
- chronicle.operations.wait
- chronicle.parserExtensions.activate
- chronicle.parserExtensions.create
- chronicle.parserExtensions.delete
- chronicle.parserExtensions.generateKeyValueMappings
- chronicle.parserExtensions.get
- chronicle.parserExtensions.legacySubmitParserExtension
- chronicle.parserExtensions.list
- chronicle.parserExtensions.removeSyslog
- chronicle.parsers.activate
- chronicle.parsers.activateReleaseCandidate
- chronicle.parsers.copyPrebuiltParser
- chronicle.parsers.create
- chronicle.parsers.deactivate
- chronicle.parsers.delete
- chronicle.parsers.get
- chronicle.parsers.list
- chronicle.parsers.runParser
- chronicle.parsingErrors.list
- chronicle.validationErrors.list
- chronicle.validationReports.get
- resourcemanager.projects.get

  2. Buat peran khusus. Contoh perintah gcloud CLI berikut menunjukkan cara membuat peran khusus ini menggunakan file YAML yang Anda buat di langkah sebelumnya.

    gcloud iam roles create ROLE_NAME \
--project=PROJECT_ID \
--file=YAML_FILE_NAME

    Ganti kode berikut:

  3. Tetapkan peran kustom menggunakan Google Cloud CLI.

    Contoh perintah berikut menunjukkan cara memberikan peran kustom, limitedAdmin, kepada sekelompok pengguna saat menggunakan workforce identity federation.

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ganti kode berikut:

    Contoh perintah berikut menunjukkan cara memberikan peran kustom, limitedAdmin, kepada sekelompok pengguna saat menggunakan Cloud Identity atau .

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=groupid:GROUP_ID \
  --role=projects/PROJECT_ID/roles/limitedAdmin

    Ganti kode berikut:

Memverifikasi logging audit

Tindakan pengguna di Google SecOps dan permintaan ke Chronicle API dicatat sebagai Cloud Audit Logs. Untuk memverifikasi bahwa log sedang ditulis, lakukan langkah-langkah berikut:

  1. Login ke Google SecOps sebagai pengguna dengan hak istimewa untuk mengakses fitur apa pun. Lihat Login ke Google SecOps untuk mengetahui informasi selengkapnya.
  2. Lakukan tindakan, seperti melakukan Penelusuran.
  3. Di konsol Google Cloud , gunakan Logs Explorer untuk melihat log audit di project Cloud yang terikat dengan Google SecOps. Log audit Google SecOps memiliki nama layanan berikut chronicle.googleapis.com.

Untuk mengetahui informasi selengkapnya tentang cara melihat Cloud Audit Logs, lihat Informasi logging audit Google SecOps.

Berikut adalah contoh log yang ditulis saat pengguna alice@example.com melihat daftar ekstensi parser di Google SecOps.

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "alice@example.com"
    },
    "requestMetadata": {
      "callerIp": "private",
      "callerSuppliedUserAgent": "abc_client",
      "requestAttributes": {
        "time": "2023-03-27T21:09:43.897772385Z",
        "reason": "8uSywAYeWhxBRiBhdXRoIFVwVGljay0-REFUIGV4Y2abcdef",
        "auth": {}
      },
      "destinationAttributes": {}
    },
    "serviceName": "chronicle.googleapis.com",
    "methodName": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
    "authorizationInfo": [
      {
        "resource": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
        "permission": "chronicle.parserExtensions.list",
        "granted": true,
        "resourceAttributes": {}
      }
    ],
    "resourceName": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-",
    "numResponseItems": "12",
    "request": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsRequest",
      "parent": "projects/100000000000/locations/us/instances/aaaa0aa0-000A-00a0-0000-0000a0aa0a1/logTypes/-"
    },
    "response": {
      "@type": "type.googleapis.com/google.cloud.chronicle.v1main.ListParserExtensionsResponse"
    }
  },
  "insertId": "1h0b0e0a0",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "dev-sys-server001",
      "method": "google.cloud.chronicle.v1main.ParserService.ListParserExtensions",
      "service": "chronicle.googleapis.com"
    }
  },
  "timestamp": "2023-03-27T21:09:43.744940164Z",
  "severity": "INFO",
  "logName": "projects/dev-sys-server001/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2023-03-27T21:09:44.863100753Z"
}

Memigrasikan Google SecOps untuk menampilkan RBAC bagi kontrol akses fitur

Gunakan informasi di bagian ini untuk memigrasikan instance SIEM Google Security Operations yang ada dari sistem RBAC lama ke RBAC fitur.

Setelah bermigrasi ke RBAC fitur, Anda juga dapat mengaudit aktivitas di instance Google SecOps menggunakan Cloud Audit Logs.

Perbedaan antara RBAC lama dan RBAC fitur

Meskipun nama peran bawaan RBAC fitur serupa dengan peran RBAC lama, peran bawaan RBAC fitur tidak memberikan akses fitur yang identik dengan peran RBAC lama. Izin yang ditetapkan untuk setiap peran RBAC fitur bawaan sedikit berbeda. Untuk mengetahui informasi selengkapnya, lihat Cara pemetaan peran IAM RBAC fitur ke peran RBAC lama.

Anda dapat menggunakan peran bawaan Google SecOps apa adanya, mengubah izin yang ditentukan dalam setiap peran bawaan, atau membuat peran khusus dan menetapkan serangkaian izin yang berbeda.

Setelah memigrasikan instance Google SecOps, Anda mengelola peran, izin, dan kebijakan RBAC fitur menggunakan IAM di konsol Google Cloud . Halaman aplikasi Google SecOps berikut dimodifikasi untuk mengarahkan pengguna ke konsol Google Cloud :

  • Pengguna & Grup
  • Peran

Di RBAC lama, setiap izin dijelaskan berdasarkan nama fitur dan tindakan. Izin IAM dalam RBAC fitur dijelaskan berdasarkan nama dan metode resource. Tabel berikut menggambarkan perbedaannya dengan dua contoh, satu terkait Dasbor dan yang kedua terkait Feed.

  • Contoh dasbor: Untuk mengontrol akses ke Dasbor, RBAC lama menyediakan lima tindakan yang dapat Anda lakukan pada dasbor. RBAC fitur memberikan izin IAM serupa dengan satu izin tambahan, dashboards.list, yang memungkinkan pengguna mencantumkan dasbor yang tersedia.

  • Contoh feed: Untuk mengontrol akses ke Feed, RBAC lama menyediakan tujuh tindakan yang dapat Anda aktifkan atau nonaktifkan. Dengan RBAC fitur, ada empat: feeds.delete, feeds.create, feeds.update, dan feeds.view.

Fitur Izin di RBAC lama Izin IAM di RBAC fitur Deskripsi tindakan pengguna
Dasbor Edit chronicle.dashboards.edit Mengedit dasbor
Dasbor Salin chronicle.dashboards.copy Menyalin dasbor
Dasbor Buat chronicle.dashboards.create Membuat dasbor
Dasbor Jadwal chronicle.dashboards.schedule Menjadwalkan laporan
Dasbor Hapus chronicle.dashboards.delete Menghapus laporan
Dasbor Tidak ada. Fitur ini hanya tersedia di RBAC. chronicle.dashboards.list Mencantumkan dasbor yang tersedia
Feed DeleteFeed chronicle.feeds.delete Menghapus feed.
Feed CreateFeed chronicle.feeds.create Buat feed.
Feed UpdateFeed chronicle.feeds.update Perbarui feed.
Feed EnableFeed chronicle.feeds.update Perbarui feed.
Feed DisableFeed chronicle.feeds.update Perbarui feed.
Feed ListFeeds chronicle.feeds.view Menampilkan satu atau beberapa feed.
Feed GetFeed chronicle.feeds.view Menampilkan satu atau beberapa feed.

Langkah-langkah untuk memigrasikan izin kontrol akses yang ada

Setelah menyelesaikan langkah-langkah untuk memigrasikan instance Google SecOps yang ada, Anda juga dapat memigrasikan konfigurasi kontrol akses fitur.

Google SecOps menyediakan perintah yang dibuat secara otomatis yang membuat kebijakan IAM RBAC fitur baru yang setara dengan RBAC lama Anda, yang dikonfigurasi di Google SecOps, di halaman SIEM Settings > Users and Groups.

Pastikan Anda memiliki izin yang diperlukan seperti yang dijelaskan dalam Mengonfigurasi project Google Cloud untuk Google SecOps, lalu ikuti langkah-langkah dalam Memigrasikan izin dan peran yang ada ke IAM.

Cara pemetaan peran IAM RBAC fitur ke peran RBAC lama

Informasi pemetaan di bagian ini menggambarkan beberapa perbedaan akses untuk peran bawaan sebelum dan setelah migrasi. Meskipun nama peran RBAC lama mirip dengan peran bawaan IAM RBAC fitur, tindakan yang dapat diakses oleh setiap peran tersebut berbeda. Bagian ini memberikan pengantar untuk beberapa perbedaan tersebut.

Chronicle API Limited Viewer

Peran ini memberikan akses hanya baca ke aplikasi Google SecOps dan resource API, kecuali aturan mesin deteksi dan retrohunt. Nama perannya adalah chronicle.limitedViewer.

Untuk mengetahui daftar izin yang mendetail, lihat Chronicle API Viewer.

Chronicle API Viewer

Peran ini memberikan akses hanya baca ke resource aplikasi dan API Google SecOps. Nama perannya adalah chronicle.viewer.

Izin berikut mengilustrasikan beberapa perbedaan antara peran RBAC lama dan peran RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Chronicle API Viewer.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.get Viewer
chronicle.ruleDeployments.list Viewer
chronicle.rules.verifyRuleText Viewer
chronicle.rules.get Viewer
chronicle.rules.list Viewer
chronicle.legacies.legacyGetRuleCounts Viewer
chronicle.legacies.legacyGetRulesTrends Viewer
chronicle.rules.listRevisions Viewer
chronicle.legacies.legacyGetCuratedRulesTrends Viewer
chronicle.ruleExecutionErrors.list Viewer
chronicle.curatedRuleSets.get Viewer
chronicle.curatedRuleSetDeployments.get Viewer
chronicle.curatedRuleSets.list Viewer
chronicle.curatedRuleSetDeployments.list Viewer
chronicle.curatedRuleSetCategories.get Viewer
chronicle.curatedRuleSetCategories.list Viewer
chronicle.curatedRuleSetCategories.countAllCuratedRuleSetDetections Viewer
chronicle.curatedRuleSets.countCuratedRuleSetDetections Viewer
chronicle.curatedRules.get Viewer
chronicle.curatedRules.list Viewer
chronicle.referenceLists.list Viewer
chronicle.referenceLists.get Viewer
chronicle.referenceLists.verifyReferenceList Viewer
chronicle.retrohunts.get Viewer
chronicle.retrohunts.list Viewer
chronicle.dashboards.schedule Editor
chronicle.operations.get None. This is available in feature RBAC only.
chronicle.operations.list None. This is available in feature RBAC only.
chronicle.operations.wait None. This is available in feature RBAC only.
chronicle.instances.report None. This is available in feature RBAC only.
chronicle.collectors.get None. This is available in feature RBAC only.
chronicle.collectors.list None. This is available in feature RBAC only.
chronicle.forwarders.generate None. This is available in feature RBAC only.
chronicle.forwarders.get None. This is available in feature RBAC only.
chronicle.forwarders.list None. This is available in feature RBAC only.

Chronicle API Editor

Peran ini memungkinkan pengguna mengubah akses ke aplikasi dan resource API Google SecOps. Nama perannya adalah chronicle.editor.

Izin berikut menggambarkan beberapa perbedaan antara peran RBAC lama dan RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Editor Chronicle API.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.ruleDeployments.update Editor
chronicle.rules.update Editor
chronicle.rules.create Editor
chronicle.referenceLists.create Editor
chronicle.referenceLists.update Editor
chronicle.rules.runRetrohunt Editor
chronicle.retrohunts.create Editor
chronicle.curatedRuleSetDeployments.batchUpdate Editor
chronicle.curatedRuleSetDeployments.update Editor
chronicle.dashboards.copy Editor
chronicle.dashboards.edit Editor
chronicle.dashboards.create Editor
chronicle.legacies.legacyUpdateFinding Editor
chronicle.dashboards.delete Editor
chronicle.operations.delete None. This is available in feature RBAC only.

Admin Chronicle API

Peran ini memberikan akses penuh ke aplikasi Google SecOps dan layanan API, termasuk setelan global. Nama perannya adalah chronicle.admin.

Izin berikut menggambarkan beberapa perbedaan antara peran RBAC lama dan RBAC fitur yang serupa. Untuk mengetahui daftar izin yang mendetail, lihat Admin API Chronicle.

Feature RBAC IAM permission Equivalent permission is mapped to this legacy RBAC role
chronicle.parserExtensions.delete Admin
chronicle.parsers.copyPrebuiltParser Admin
chronicle.extensionValidationReports.get Admin
chronicle.extensionValidationReports.list Admin
chronicle.validationErrors.list Admin
chronicle.parsers.runParser Admin
chronicle.parserExtensions.get Admin
chronicle.parserExtensions.list Admin
chronicle.validationReports.get Admin
chronicle.parserExtensions.create Admin
chronicle.parserExtensions.removeSyslog Admin
chronicle.parsers.activate Admin
chronicle.parserExtensions.activate Admin
chronicle.parsers.activateReleaseCandidate Admin
chronicle.parsers.deactivate Admin
chronicle.parsers.deactivate Admin
chronicle.parserExtensions.generateKeyValuechronicle.Mappings Admin
chronicle.parserExtensions.legacySubmitParserExtension Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.activate Admin
chronicle.parsers.list Admin
chronicle.parsers.create Admin
chronicle.parsers.delete Admin
chronicle.feeds.delete Admin
chronicle.feeds.create Admin
chronicle.feeds.update Admin
chronicle.feeds.enable Admin
chronicle.feeds.disable Admin
chronicle.feeds.list Admin
chronicle.feeds.get Admin
chronicle.feedSourceTypeSchemas.list Admin
chronicle.logTypeSchemas.list Admin
chronicle.operations.cancel Editor
chronicle.collectors.create None. This is available in feature RBAC only.
chronicle.collectors.delete None. This is available in feature RBAC only.
chronicle.collectors.update None. This is available in feature RBAC only.
chronicle.forwarders.create None. This is available in feature RBAC only.
chronicle.forwarders.delete None. This is available in feature RBAC only.
chronicle.forwarders.update None. This is available in feature RBAC only.
chronicle.parsingErrors.list None. This is available in feature RBAC only.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.