Ajouter des utilisateurs SIEM ou SOAR à Google SecOps

Ce document s'adresse aux administrateurs Google Security Operations qui souhaitent autoriser des utilisateurs spécifiques à n'utiliser que les fonctionnalités SIEM de Google SecOps (par exemple, l'analyse des données brutes) ou uniquement les fonctionnalités SOAR de Google SecOps (par exemple, la gestion des demandes). En raison de la nature de la plate-forme Google SecOps, les deux ensembles d'utilisateurs ont besoin d'autorisations minimales de la part du SIEM et du SOAR avant de pouvoir se connecter à la plate-forme.

Avant de commencer

Ces procédures partent du principe que vous avez déjà intégré la plate-forme Google SecOps, activé l'API Chronicle et commencé à travailler avec les autorisations IAM. Les procédures suivantes peuvent varier légèrement selon que vous avez configuré un fournisseur Cloud Identity ou un fournisseur d'identité tiers.

Configurer des utilisateurs disposant d'autorisations SIEM uniquement

1. Définissez un rôle prédéfini ou un rôle personnalisé avec les autorisations SIEM appropriées :
   • Si vous avez utilisé le fournisseur d'identité Cloud, mappez l'adresse e-mail d'un utilisateur sur la page de mappage des groupes d'IDP.
   • Si vous avez utilisé un fournisseur d'identité tiers, mappez des groupes sur la page de mappage des groupes de l'IDP.
2. Dans les deux cas, dans l'écran de mappage des groupes d'IDP, mappez l'adresse e-mail ou le groupe aux paramètres d'accès de contrôle minimal, comme suit :
   • Groupes d'autorisations :
     • Définissez le type de licence sur Standard.
     • Définissez la page de destination sur Recherche dans le SIEM.
     • Sous Autorisations de lecture/d'écriture, activez l'option Page d'accueil.
   • Rôles SOC: sélectionnez SIEM uniquement. Vous devez d'abord le créer en l'ajoutant en tant que nouveau rôle SOC.
   • Environnements: sélectionnez Par défaut.

Configurer des utilisateurs disposant d'autorisations SOAR uniquement

1. Définissez un rôle prédéfini ou un rôle personnalisé. Le rôle personnalisé doit contenir les autorisations minimales suivantes :
   • chronicle.instances.get
   • chronicle.preferenceSets.get.
2. Si vous utilisez le fournisseur d'identité Cloud, mappez l'adresse e-mail d'un utilisateur sur la page de mappage des groupes de l'IdP.
3. Si vous utilisez un fournisseur d'identité tiers, mappez des groupes sur la page de mappage des groupes de l'IdP. Vous pouvez choisir les paramètres de contrôle des accès qui répondent à vos besoins. Pour en savoir plus, consultez la section Paramètres de contrôle des accès.