Ajouter des utilisateurs SIEM ou SOAR à Google SecOps
Ce document s'adresse aux administrateurs Google Security Operations qui souhaitent autoriser des utilisateurs spécifiques à n'utiliser que les fonctionnalités SIEM de Google SecOps (comme l'analyse des données brutes) ou uniquement les fonctionnalités SOAR de Google SecOps (comme la gestion des cas). En raison de la nature de la plate-forme Google SecOps, les deux ensembles d'utilisateurs ont besoin d'autorisations minimales pour les côtés SIEM et SOAR avant de pouvoir se connecter à la plate-forme.
Avant de commencer
Ces procédures partent du principe que vous avez déjà été intégré à la plate-forme Google SecOps, que vous avez activé l'API Chronicle et que vous avez commencé à utiliser les autorisations IAM. Les procédures suivantes peuvent varier légèrement selon que vous avez configuré un fournisseur Cloud Identity ou un fournisseur d'identité tiers.
Configurer des utilisateurs disposant d'autorisations SIEM uniquement
- Définissez un rôle prédéfini ou un rôle personnalisé avec les autorisations SIEM appropriées :
- Si vous utilisez le fournisseur d'identité Cloud Identity, mappez les groupes d'adresses e-mail des utilisateurs sur la page de mappage des groupes d'adresses e-mail.
- Si vous utilisez un fournisseur d'identité tiers, mappez les groupes IdP sur la page de mappage des groupes IdP.
- Sur l'une ou l'autre de ces pages, mappez les groupes IdP ou les groupes de diffusion d'e-mails aux paramètres d'accès minimal, comme suit :
- Groupes d'autorisations :
- Définissez le type de licence sur Standard.
- Définissez la page de destination sur Recherche SIEM.
- Sous Autorisations de lecture/écriture, cliquez sur le bouton Page d'accueil.
- Rôles SOC : sélectionnez SIEM uniquement. Vous devez d'abord créer le rôle SOC SIEM en l'ajoutant en tant que nouveau rôle SOC.
- Environnements : sélectionnez Par défaut.
- Groupes d'autorisations :
Configurer des utilisateurs disposant d'autorisations SOAR uniquement
- Définissez un rôle prédéfini ou un rôle personnalisé.
Le rôle personnalisé doit contenir les autorisations minimales suivantes :
- chronicle.instances.get
- chronicle.preferenceSets.get.
- Si vous utilisez le fournisseur d'identité Cloud Identity, mappez les groupes d'adresses e-mail des utilisateurs sur la page de mappage des groupes d'adresses e-mail.
- Si vous utilisez un fournisseur d'identité tiers, mappez les groupes IdP sur la page de mappage des groupes IdP. Vous pouvez choisir les paramètres d'accès qui répondent à vos besoins. Pour en savoir plus, consultez Paramètres de contrôle des accès.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.