Menambahkan pengguna SIEM atau SOAR ke Google SecOps

Didukung di:

Dokumen ini ditujukan bagi admin Google Security Operations yang ingin memberikan izin kepada pengguna tertentu untuk menggunakan hanya fitur SIEM di Google SecOps (seperti menyelidiki data mentah) atau hanya fitur SOAR di Google SecOps (seperti mengelola kasus). Karena sifat platform Google SecOps, kedua set pengguna memerlukan izin minimal dari sisi SIEM dan SOAR sebelum mereka dapat login ke platform.

Sebelum memulai

Prosedur ini didasarkan pada asumsi bahwa Anda telah melakukan aktivasi ke platform Google SecOps, mengaktifkan Chronicle API, dan mulai menggunakan izin IAM. Prosedur berikut mungkin sedikit berbeda, bergantung pada apakah Anda mengonfigurasi penyedia Cloud Identity atau penyedia identitas pihak ketiga.

Menyiapkan pengguna dengan izin hanya SIEM

  1. Tentukan peran bawaan atau peran khusus dengan izin SIEM yang relevan:
  2. Di salah satu halaman, petakan grup IdP atau grup email ke parameter akses kontrol minimal, sebagai berikut:
    • Grup izin:
      • Tetapkan jenis lisensi ke Standar.
      • Tetapkan halaman landing ke Penelusuran SIEM.
      • Di bagian Izin Baca/Tulis, klik tombol Halaman beranda.
    • Peran SOC: Pilih Khusus SIEM. Anda harus membuat peran SIEM SOC terlebih dahulu dengan menambahkannya sebagai peran SOC baru.
    • Lingkungan: Pilih Default.

Menyiapkan pengguna dengan izin khusus SOAR

  1. Tentukan peran standar atau peran khusus. Peran khusus harus berisi izin minimum berikut:
    • chronicle.instances.get
    • chronicle.preferenceSets.get.
  2. Jika Anda menggunakan Penyedia Identitas Cloud, petakan grup email pengguna ke halaman pemetaan grup email.
  3. Jika Anda menggunakan penyedia identitas pihak ketiga, petakan grup IdP ke halaman pemetaan grup IdP. Anda dapat memilih parameter akses kontrol yang sesuai dengan kebutuhan Anda. Untuk mengetahui informasi selengkapnya, lihat parameter kontrol akses.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.