SIEM または SOAR ユーザーを Google SecOps に追加する

このドキュメントは、Google SecOps の SIEM 機能（未加工データの調査など）のみ、または Google SecOps の SOAR 機能（ケースの管理など）のみを使用する権限を特定のユーザーに付与したい Google Security Operations 管理者を対象としています。Google SecOps プラットフォームの特性上、両方のユーザーセットがプラットフォームにログインするには、SIEM と SOAR の両方から最小限の権限が必要です。

始める前に

以降の手順は、Google SecOps プラットフォームにオンボーディングし、Chronicle API を有効にして、IAM 権限の使用を開始していることを前提としています。次の手順は、Cloud Identity プロバイダまたはサードパーティの ID プロバイダを構成したかどうかによって若干異なる場合があります。

SIEM 専用の権限を持つユーザーを設定する

1. 関連する SIEM 権限を持つ事前定義ロールまたはカスタムロールを定義します。
   • Cloud Identity Provider を使用している場合は、メールグループ マッピング ページでユーザー メールグループをマッピングします。
   • サードパーティの ID プロバイダを使用している場合は、IdP グループ マッピング ページで IdP グループをマッピングします。
2. どちらのページでも、IdP グループまたはメールグループを最小制御アクセス パラメータにマッピングします。手順は次のとおりです。
   • 権限グループ:
     • ライセンス タイプを [Standard] に設定します。
     • ランディング ページを [SIEM 検索] に設定します。
     • [読み取り/書き込み権限] で、[ホームページ] 切り替えをクリックします。
   • SOC ロール: [SIEM のみ] を選択します。まず、新しい SOC ロールとして追加して、SIEM SOC ロールを作成する必要があります。
   • 環境: [デフォルト] を選択します。

SOAR 専用の権限を持つユーザーを設定する

1. 事前定義ロールまたはカスタムロールを定義します。カスタムロールには、次の最小権限が含まれている必要があります。
   • chronicle.instances.get
   • chronicle.preferenceSets.get
2. Cloud Identity Provider を使用している場合は、ユーザーのメールグループをメールグループ マッピング ページにマッピングします。
3. サードパーティの ID プロバイダを使用している場合は、IdP グループを IdP グループ マッピング ページにマッピングします。ニーズに合った制御アクセス パラメータを選択できます。詳細については、アクセス制御パラメータをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。