Google SecOps에 SIEM 또는 SOAR 사용자 추가

이 문서는 Google SecOps의 SIEM 기능 (예: 원시 데이터 조사) 또는 Google SecOps의 SOAR 기능 (예: 케이스 관리)만 사용할 수 있는 권한을 특정 사용자에게 부여하려는 Google Security Operations 관리자를 위한 것입니다. Google SecOps 플랫폼의 특성상 두 사용자 집합 모두 플랫폼에 로그인하려면 SIEM 및 SOAR 측의 최소 권한이 필요합니다.

시작하기 전에

이 절차는 이미 Google SecOps 플랫폼에 온보딩하고 Chronicle API를 사용 설정했으며 IAM 권한을 사용하기 시작했다고 가정합니다. 다음 절차는 Cloud ID 공급업체 또는 서드 파티 ID 공급업체를 구성했는지에 따라 약간 다를 수 있습니다.

SIEM 전용 권한이 있는 사용자 설정

1. 관련 SIEM 권한이 있는 사전 정의된 역할 또는 맞춤 역할을 정의합니다.
   • Cloud ID 공급자를 사용하는 경우 이메일 그룹 매핑 페이지에서 사용자 이메일 그룹을 매핑합니다.
   • 서드 파티 ID 공급업체를 사용하는 경우 IdP 그룹 매핑 페이지에서 IdP 그룹을 매핑합니다.
2. 두 페이지 중 하나에서 다음과 같이 IdP 그룹 또는 이메일 그룹을 최소 제어 액세스 매개변수에 매핑합니다.
   • 권한 그룹:
     • 라이선스 유형을 Standard로 설정합니다.
     • 방문 페이지를 SIEM 검색으로 설정합니다.
     • 읽기/쓰기 권한에서 홈페이지 전환 버튼을 클릭합니다.
   • SOC 역할: SIEM 전용을 선택합니다. 먼저 새 SOC 역할로 추가하여 SIEM SOC 역할을 만들어야 합니다.
   • 환경: 기본을 선택합니다.

SOAR 전용 권한이 있는 사용자 설정

1. 사전 정의된 역할 또는 맞춤 역할을 정의합니다. 커스텀 역할에는 다음 최소 권한이 포함되어야 합니다.
   • chronicle.instances.get
   • chronicle.preferenceSets.get
2. Cloud ID 공급업체를 사용하는 경우 사용자 이메일 그룹을 이메일 그룹 매핑 페이지에 매핑합니다.
3. 서드 파티 ID 공급업체를 사용하는 경우 IdP 그룹을 IdP 그룹 매핑 페이지에 매핑합니다. 필요에 맞는 액세스 제어 매개변수를 선택할 수 있습니다. 자세한 내용은 액세스 제어 매개변수를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.