Añadir usuarios de SIEM o SOAR a Google SecOps

Este documento está dirigido a los administradores de Google Security Operations que quieran conceder permiso a usuarios específicos para que usen solo las funciones de SIEM de Google SecOps (como investigar datos sin procesar) o solo las funciones de SOAR de Google SecOps (como gestionar casos). Debido a la naturaleza de la plataforma Google SecOps, ambos conjuntos de usuarios necesitan permisos mínimos tanto en el SIEM como en el SOAR para poder iniciar sesión en la plataforma.

Antes de empezar

Estos procedimientos se basan en la suposición de que ya has incorporado la plataforma Google SecOps, has habilitado la API de Chronicle y has empezado a trabajar con permisos de gestión de identidades y accesos. Los siguientes procedimientos pueden variar ligeramente en función de si has configurado un proveedor de identidades de Cloud Identity o un proveedor de identidades de terceros.

Configurar usuarios con permisos de SIEM

1. Define un rol predefinido o un rol personalizado con los permisos de SIEM pertinentes:
   • Si usas el proveedor de identidades de Cloud, asigna grupos de correo de usuarios en la página de asignación de grupos de correo.
   • Si utilizas un proveedor de identidades externo, asigna grupos de IdP en la página de asignación de grupos de IdP.
2. En cualquiera de las páginas, asigna los grupos del proveedor de identidades o los grupos de correo a los parámetros de control de acceso mínimos de la siguiente manera:
   • Grupos de permisos:
     • Selecciona el tipo de licencia Estándar.
     • Define la página de destino como Búsqueda de SIEM.
     • En Permisos de lectura y escritura, haz clic en el interruptor Página principal.
   • Roles de SOC: selecciona Solo SIEM. Primero debes crear el rol de SOC de SIEM añadiéndolo como nuevo rol de SOC.
   • Entornos: selecciona Predeterminado.

Configurar usuarios con permisos de SOAR

1. Define un rol predefinido o un rol personalizado. El rol personalizado debe contener los siguientes permisos mínimos:
   • chronicle.instances.get
   • chronicle.preferenceSets.get.
2. Si usas el proveedor de identidades de Cloud, asigna grupos de correo de usuarios a la página de asignación de grupos de correo.
3. Si utilizas un proveedor de identidades de terceros, asigna grupos de IdP en la página de asignación de grupos de IdP. Puedes elegir los parámetros de acceso de control que se adapten a tus necesidades. Para obtener más información, consulta los parámetros de control de acceso.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.