SIEM- oder SOAR-Nutzer zu Google SecOps hinzufügen

Unterstützt in:

Dieses Dokument richtet sich an Google Security Operations-Administratoren, die bestimmten Nutzern die Berechtigung erteilen möchten, nur die SIEM-Funktionen in Google SecOps (z. B. die Untersuchung von Rohdaten) oder nur die SOAR-Funktionen von Google SecOps (z. B. die Verwaltung von Fällen) zu verwenden. Aufgrund der Art der Google SecOps-Plattform benötigen beide Nutzergruppen minimale Berechtigungen sowohl für SIEM als auch für SOAR, bevor sie sich in der Plattform anmelden können.

Hinweise

Bei diesen Verfahren wird davon ausgegangen, dass Sie bereits die Google SecOps-Plattform eingerichtet, die Chronicle API aktiviert und mit IAM-Berechtigungen gearbeitet haben. Die folgenden Verfahren können je nachdem, ob Sie einen Cloud Identity-Anbieter oder einen externen Identitätsanbieter konfiguriert haben, leicht variieren.

Nutzer mit reinen SIEM-Berechtigungen einrichten

  1. Definieren Sie entweder eine vordefinierte Rolle oder eine benutzerdefinierte Rolle mit den relevanten SIEM-Berechtigungen:
  2. Ordnen Sie auf einer der beiden Seiten die IdP-Gruppen oder E-Mail-Gruppen den minimalen Parametern für den Kontrollzugriff zu. Gehen Sie dazu so vor:
    • Berechtigungsgruppen:
      • Legen Sie den Lizenztyp auf Standard fest.
      • Legen Sie die Landingpage auf SIEM Search fest.
      • Klicken Sie unter Lese-/Schreibberechtigungen auf den Ein/Aus-Schalter Startseite.
    • SOC-Rollen: Wählen Sie Nur SIEM aus. Sie müssen die SIEM-SOC-Rolle zuerst erstellen, indem Sie sie als neue SOC-Rolle hinzufügen.
    • Umgebungen: Wählen Sie Standard aus.

Nutzer mit reinen SOAR-Berechtigungen einrichten

  1. Definieren Sie entweder eine vordefinierte Rolle oder eine benutzerdefinierte Rolle. Die benutzerdefinierte Rolle muss die folgenden Mindestberechtigungen enthalten:
    • chronicle.instances.get
    • chronicle.preferenceSets.get.
  2. Wenn Sie den Cloud Identity-Anbieter verwenden, ordnen Sie Nutzer-E-Mail-Gruppen auf der Seite zur Zuordnung von E-Mail-Gruppen zu.
  3. Wenn Sie einen externen Identitätsanbieter verwenden, ordnen Sie IdP-Gruppen auf der Seite IdP-Gruppenzuordnung zu. Sie können die Parameter für den Zugriff auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Parameter für die Zugriffssteuerung.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten