Aggiungere utenti SIEM o SOAR a Google SecOps

Supportato in:

Questo documento è destinato agli amministratori di Google Security Operations che vogliono concedere l'autorizzazione a utenti specifici per utilizzare solo le funzionalità SIEM in Google SecOps (ad esempio l'analisi dei dati non elaborati) o solo le funzionalità SOAR di Google SecOps (ad esempio la gestione dei casi). A causa della natura della piattaforma Google SecOps, entrambi i gruppi di utenti hanno bisogno di autorizzazioni minime sia da SIEM che da SOAR prima di poter accedere alla piattaforma.

Prima di iniziare

Queste procedure si basano sul presupposto che tu abbia già eseguito l'onboarding alla piattaforma Google SecOps, abilitato l'API Chronicle e iniziato a lavorare con le autorizzazioni IAM. Le seguenti procedure possono variare leggermente, a seconda che tu abbia configurato un provider Cloud Identity o un provider di identità di terze parti.

Configurare utenti con autorizzazioni solo SIEM

  1. Definisci un ruolo predefinito o un ruolo personalizzato con le autorizzazioni SIEM pertinenti:
  2. In una delle due pagine, mappa i gruppi IdP o i gruppi email ai parametri di controllo dell'accesso minimi, come segue:
    • Gruppi di autorizzazioni:
      • Imposta il tipo di licenza su Standard.
      • Imposta la pagina di destinazione su SIEM Search.
      • Nella sezione Autorizzazioni Lettura/Scrittura, fai clic sul pulsante di attivazione/disattivazione Home page.
    • Ruoli del SOC: seleziona Solo SIEM. Devi prima creare il ruolo SIEM SOC aggiungendolo come nuovo ruolo SOC.
    • Ambienti: seleziona Predefinito.

Configurare utenti con autorizzazioni solo SOAR

  1. Definisci un ruolo predefinito o un ruolo personalizzato. Il ruolo personalizzato deve contenere le seguenti autorizzazioni minime:
    • chronicle.instances.get
    • chronicle.preferenceSets.get.
  2. Se utilizzi il provider di identità Cloud Identity, mappa i gruppi di email degli utenti nella pagina di mappatura dei gruppi di email.
  3. Se utilizzi un provider di identità di terze parti, mappa i gruppi IdP nella pagina di mappatura dei gruppi IdP. Puoi scegliere i parametri di accesso al controllo che soddisfano le tue esigenze. Per saperne di più, consulta la sezione Parametri di controllo dell'accesso.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.