Adicionar usuários de SIEM ou SOAR ao Google SecOps

Este documento é destinado a administradores do Google Security Operations que querem conceder permissão a usuários específicos para usar apenas os recursos do SIEM no Google SecOps (como investigar dados brutos) ou apenas os recursos do SOAR do Google SecOps (como gerenciar casos). Devido à natureza da plataforma Google SecOps, os dois conjuntos de usuários precisam de permissões mínimas do SIEM e do SOAR antes de fazer login na plataforma.

Antes de começar

Esses procedimentos partem do princípio de que você já fez a integração à plataforma do Google SecOps, ativou a API Chronicle e começou a trabalhar com permissões do IAM. Os procedimentos a seguir podem variar um pouco, dependendo se você configurou um provedor do Cloud Identity ou um provedor de identidade de terceiros.

Configurar usuários com permissões somente de SIEM

1. Defina uma função predefinida ou uma função personalizada com as permissões relevantes do SIEM:
   • Se você estiver usando o provedor de identidade do Cloud Identity, mapeie os grupos de e-mail de usuários na página de mapeamento de grupos de e-mail.
   • Se você estiver usando um provedor de identidade de terceiros, mapeie os grupos do IdP na página de mapeamento de grupos do IdP.
2. Em qualquer uma das páginas, mapeie os grupos do IdP ou grupos de e-mail para os parâmetros mínimos de controle de acesso da seguinte forma:
   • Grupos de permissões:
     • Defina o tipo de licença como Padrão.
     • Defina a página de destino como Pesquisa do SIEM.
     • Em Permissões de leitura/gravação, clique na chave Página inicial.
   • Funções do SOC: selecione Somente SIEM. Primeiro, crie a função do SOC do SIEM adicionando-a como uma nova função do SOC.
   • Ambientes: selecione Padrão.

Configurar usuários com permissões somente de SOAR

1. Defina uma função predefinida ou uma função personalizada. O papel personalizado precisa ter as seguintes permissões mínimas:
   • chronicle.instances.get
   • chronicle.preferenceSets.get.
2. Se você estiver usando o provedor de identidade do Cloud Identity, mapeie os grupos de e-mail de usuários na página de mapeamento de grupos de e-mail.
3. Se você estiver usando um provedor de identidade de terceiros, mapeie os grupos do IdP na página de mapeamento de grupos do IdP. Você pode escolher os parâmetros de controle de acesso que atendem às suas necessidades. Para mais informações, consulte parâmetros de controle de acesso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.