Agrega usuarios de SIEM o SOAR a Google SecOps
Este documento está dirigido a los administradores de Google Security Operations que desean otorgar permiso a usuarios específicos para que usen solo las funciones de SIEM en Google SecOps (como investigar datos sin procesar) o solo las funciones de SOAR de Google SecOps (como administrar casos). Debido a la naturaleza de la plataforma de SecOps de Google, ambos conjuntos de usuarios necesitan permisos mínimos tanto del SIEM como del SOAR antes de poder acceder a la plataforma.
Antes de comenzar
Estos procedimientos se basan en la suposición de que ya incorporaste la plataforma de SecOps de Google, habilitaste la API de Chronicle y comenzaste a trabajar con los permisos de IAM. Los siguientes procedimientos pueden variar ligeramente según si configuraste un proveedor de Cloud Identity o un proveedor de identidad externo.
Cómo configurar usuarios con permisos solo para el SIEM
- Define un rol predefinido o un rol personalizado con los permisos de SIEM pertinentes:
- Si usas el proveedor de identidad de Cloud Identity, asigna grupos de correos electrónicos de usuarios en la página de asignación de grupos de correos electrónicos.
- Si usas un proveedor de identidad externo, asigna grupos del IdP en la página de asignación de grupos del IdP.
- En cualquiera de las páginas, asigna los grupos de IdP o los grupos de correo electrónico a los parámetros de acceso de control mínimos de la siguiente manera:
- Grupos de permisos:
- Establece el tipo de licencia como Estándar.
- Establece la página de destino en SIEM Search.
- En Permisos de lectura/escritura, haz clic en el botón de activación Página principal.
- Roles de SOC: Selecciona Solo SIEM. Primero, debes crear el rol de SOC del SIEM agregándolo como un rol de SOC nuevo.
- Entornos: Selecciona Predeterminado.
- Grupos de permisos:
Cómo configurar usuarios con permisos solo para SOAR
- Define un rol predefinido o un rol personalizado.
El rol personalizado debe contener los siguientes permisos mínimos:
- chronicle.instances.get
- chronicle.preferenceSets.get.
- Si usas el proveedor de identidad de Cloud Identity, asigna grupos de correos electrónicos de usuarios a la página de asignación de grupos de correos electrónicos.
- Si usas un proveedor de identidad externo, asigna grupos del IdP en la página de asignación de grupos del IdP. Puedes elegir los parámetros de control de acceso que satisfagan tus necesidades. Para obtener más información, consulta parámetros de control de acceso.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.