Aggiungere utenti SIEM o SOAR a Google SecOps

Questo documento è rivolto agli amministratori di Google Security Operations che vogliono concedere a utenti specifici l'autorizzazione a utilizzare solo le funzionalità SIEM di Google SecOps (ad esempio l'analisi dei dati non elaborati) o solo le funzionalità SOAR di Google SecOps (ad esempio la gestione delle richieste). A causa della natura della piattaforma Google SecOps, entrambi i gruppi di utenti devono disporre di autorizzazioni minime sia per SIEM che per SOAR prima di poter accedere alla piattaforma.

Prima di iniziare

Queste procedure presuppongono che tu abbia già eseguito l'onboarding sulla piattaforma Google SecOps, attivato l'API Chronicle e iniziato a utilizzare le autorizzazioni IAM. Le procedure riportate di seguito possono variare leggermente, a seconda che tu abbia configurato un provider Cloud Identity o un provider di identità di terze parti.

Configurare gli utenti con autorizzazioni solo SIEM

1. Definisci un ruolo predefinito o un ruolo personalizzato con le autorizzazioni SIEM pertinenti:
   • Se hai utilizzato il provider di identità Cloud, mappa un indirizzo email utente nella pagina di mappatura dei gruppi IdP.
   • Se hai utilizzato un provider di identità di terze parti, mappa i gruppi nella pagina di mappatura dei gruppi IdP.
2. In entrambi i casi, nella schermata Mappatura gruppo IdP, mappa l'indirizzo email o il gruppo ai parametri di accesso di controllo minimo, come segue:
   • Gruppi di autorizzazioni:
     • Imposta il tipo di licenza su Standard.
     • Imposta la pagina di destinazione su Ricerca SIEM.
     • Nella sezione Autorizzazioni di lettura/scrittura, attiva l'opzione di attivazione/disattivazione Homepage.
   • Ruoli del SOC: seleziona Solo SIEM. Devi prima crearlo aggiungendolo come nuovo ruolo SOC.
   • Ambienti: seleziona Predefinito.

Configurare gli utenti con autorizzazioni solo SOAR

1. Definisci un ruolo predefinito o un ruolo personalizzato. Il ruolo personalizzato deve contenere le seguenti autorizzazioni minime:
   • chronicle.instances.get
   • chronicle.preferenceSets.get.
2. Se utilizzi Cloud Identity Provider, mappa un indirizzo email utente nella pagina di mappatura dei gruppi IdP.
3. Se utilizzi un provider di identità di terze parti, mappa i gruppi nella pagina di mappatura dei gruppi IdP. Puoi scegliere i parametri di controllo dell'accesso che soddisfano le tue esigenze. Per ulteriori informazioni, consulta Controllare i parametri di accesso.