Google SecOps に SIEM または SOAR ユーザーを追加する

bookmark_border コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このドキュメントは、Google SecOps の SIEM 機能（未加工データの調査など）のみ、または Google SecOps の SOAR 機能（ケースの管理など）のみを使用する権限を特定のユーザーに付与する Google Security Operations 管理者を対象としています。Google SecOps プラットフォームの性質上、どちらのユーザーも、プラットフォームにログインする前に、SIEM 側と SOAR 側の両方から最低限の権限を付与する必要があります。

始める前に

以降の手順は、Google SecOps プラットフォームにオンボーディングし、Chronicle API を有効にして、IAM 権限の使用を開始していることを前提としています。次の手順は、Cloud Identity プロバイダを構成した場合と、サードパーティの ID プロバイダを構成した場合で若干異なります。

SIEM のみの権限を持つユーザーを設定する

1. 関連する SIEM 権限を持つ事前定義ロールまたはカスタムロールを定義します。
   • Cloud Identity プロバイダを使用した場合は、IdP グループ マッピング ページでユーザーのメールアドレスをマッピングします。
   • サードパーティの ID プロバイダを使用している場合は、IdP グループ マッピング ページでグループをマッピングします。
2. どちらの場合も、[Idp グループのマッピング画面] で、メールまたはグループを最小制御アクセス パラメータにマッピングします。手順は次のとおりです。
   • 権限グループ:
     • [License Type] を [Standard] に設定します。
     • [ランディング ページ] を [SIEM 検索] に設定します。
     • [読み取り/書き込み] 権限で、[ホームページ] 切り替えボタンをオンにします。
   • SOC ロール: [SIEM only] を選択します。最初に、新しい SOC ロールとして追加して作成する必要があります。
   • 環境: [デフォルト] を選択します。

SOAR のみの権限を持つユーザーを設定する

1. 事前定義ロールまたはカスタムロールを定義します。カスタムロールには、次の最小権限が含まれている必要があります。
   • chronicle.instances.get
   • chronicle.preferenceSets.get
2. Cloud Identity プロバイダを使用している場合は、IdP グループ マッピング ページでユーザーのメールアドレスをマッピングします。
3. サードパーティの ID プロバイダを使用している場合は、IdP グループ マッピング ページでグループをマッピングします。ニーズに合った制御アクセス パラメータを選択できます。詳細については、アクセス パラメータを制御するをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。