Esta página foi traduzida pela API Cloud Translation.

Adicione utilizadores de SIEM ou SOAR ao Google SecOps

Compatível com:

Google secops

Este documento destina-se a administradores do Google Security Operations que querem conceder autorização a utilizadores específicos para usarem apenas as funcionalidades de SIEM no Google SecOps (como investigar dados não processados) ou apenas as funcionalidades de SOAR do Google SecOps (como gerir registos). Devido à natureza da plataforma Google SecOps, ambos os conjuntos de utilizadores precisam de autorizações mínimas dos lados do SIEM e SOAR antes de poderem iniciar sessão na plataforma.

Antes de começar

Estes procedimentos baseiam-se no pressuposto de que já integrou a plataforma Google SecOps, ativou a API Chronicle e começou a trabalhar com autorizações da IAM. Os seguintes procedimentos podem variar ligeiramente, consoante tenha configurado um fornecedor do Cloud ID ou um fornecedor de identidade de terceiros.

Configure utilizadores com autorizações apenas do SIEM

Defina uma função predefinida ou uma função personalizada com as autorizações do SIEM relevantes:
- Se estiver a usar o fornecedor de identidade na nuvem, mapeie os grupos de email de utilizadores na página de mapeamento de grupos de email.
- Se estiver a usar um fornecedor de identidade de terceiros, mapeie os grupos do IdP na página de mapeamento de grupos do IdP.
Em qualquer uma das páginas, mapeie os grupos do IdP ou os grupos de email para os parâmetros de acesso de controlo mínimo, da seguinte forma:
- Grupos de autorizações:
  - Defina o tipo de licença como Padrão.
  - Defina a página de destino como SIEM Search.
  - Em Autorizações de leitura/escrita, clique no botão Página inicial.
- Funções do SOC: selecione Apenas SIEM. Tem de criar primeiro a função do SOC do SIEM adicionando-a como uma nova função do SOC.
- Ambientes: selecione Predefinição.

Configure utilizadores com autorizações apenas de SOAR

Defina uma função predefinida ou uma função personalizada. A função personalizada tem de conter as seguintes autorizações mínimas:
- chronicle.instances.get
- chronicle.preferenceSets.get.
Se estiver a usar o fornecedor de identidade do Google Cloud, mapeie os grupos de email de utilizadores na página de mapeamento de grupos de email.
Se estiver a usar um fornecedor de identidade de terceiros, mapeie os grupos do IdP na página de mapeamento de grupos do IdP. Pode escolher os parâmetros de acesso de controlo que satisfazem as suas necessidades. Para mais informações, consulte os parâmetros de controlo de acesso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.