Agrega usuarios de SIEM o SOAR a Google SecOps

Este documento está dirigido a los administradores de Google Security Operations que desean otorgar permiso a usuarios específicos para que usen solo las funciones de SIEM en Google SecOps (como investigar datos sin procesar) o solo las funciones de SOAR de Google SecOps (como administrar casos). Debido a la naturaleza de la plataforma de Google SecOps, ambos conjuntos de usuarios necesitan permisos mínimos de SIEM y SOAR para poder acceder a la plataforma.

Antes de comenzar

Estos procedimientos se basan en la suposición de que ya te integraste a la plataforma de Google SecOps, habilitaste la API de Chronicle y comenzaste a trabajar con permisos de IAM. Los siguientes procedimientos pueden variar ligeramente, según si configuraste un proveedor de Cloud Identity o un proveedor de identidad de terceros.

Cómo configurar usuarios con permisos solo de SIEM

1. Define un rol predefinido o un rol personalizado con los permisos de SIEM relevantes:
   • Si usaste el proveedor de identidad de Cloud, asigna el correo electrónico de un usuario en la página de asignación de grupos de IdP.
   • Si usaste un proveedor de identidad de terceros, asigna los grupos en la página de asignación de grupos de IdP.
2. En ambos casos, en la pantalla de asignación de grupos de IdP, asigna el correo electrónico o el grupo a los parámetros de acceso de control mínimos, como se indica a continuación:
   • Grupos de permisos:
     • Establece el tipo de licencia como Estándar.
     • Establece la página de destino en Búsqueda de SIEM.
     • En Permisos de lectura/escritura, activa el botón de activación Página principal.
   • Roles de SOC: Selecciona Solo SIEM. Primero, debes crearlo agregando un rol de SOC nuevo.
   • Entornos: Selecciona Predeterminado.

Cómo configurar usuarios con permisos solo de SOAR

1. Define un rol predefinido o un rol personalizado. El rol personalizado debe contener los siguientes permisos mínimos:
   • chronicle.instances.get
   • chronicle.preferenceSets.get.
2. Si usas el proveedor de identidad de Cloud, asigna el correo electrónico de un usuario en la página de asignación de grupos del IdP.
3. Si usas un proveedor de identidad de terceros, asigna grupos en la página de asignación de grupos del IdP. Puedes elegir los parámetros de control de acceso que satisfagan tus necesidades. Para obtener más información, consulta Controla los parámetros de acceso.